imprimer sur green depuis blue

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

imprimer sur green depuis blue

Messagepar DM » 20 Avr 2007 16:24

Bonjour,

Je vous explique mon pb :

IPCop avec Red/Blue/Green + Zerina
tout marchait nickel (green et blue avec accès web, vpn ayant accès à vert et bleu) jusqu'a ce qu'on mette un copieur dans Green (impression via LPR)
Depuis Green je peux imprimer dessus sans soucis .Par contre depuis Blue, impossible.

j'ai ajouter les ip et mac adress de mes pcs BLUE (PCs sous 98 et serveur sous NT)
dans les accès DMZ j'ai ouvert les ports 445 et 631
j'ai essayé aussi avec netbios (137,138,139) sans succés

j'ai tenté également de faire les choses à la mimine :
iptables -A INPUT -i eth0 -s $BLUE/masque -d $COPIEUR -m state --state NEW -p tcp --dport 515 -j ACCEPT

Si je remet le copieur dans Blue, mes pcs BLUE peuvent imprimer sans soucis.

Une idée sur la manip à faire ?

ps : BOT n'est pas installé.
IPCOP 1.4.10 + OpenVPN
DM
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 02 Août 2005 12:17

Messagepar micjack » 20 Avr 2007 19:50

Salut,

Entre deux interfaces, c'est FORWARD qu'il faut utiliser.. Le INPUT c'est pour avoir accés à la machine elle même depuis un réseau interne ou externe, comme par exemple le cas pour SSH qui est un service qui tourne en local, donc on autorise une entrée depuis l'exterieur par un INPUT sur la carte Red.

Ton cas est de passer d'une carte à l'autre ayant deux réseaux différants, c'est donc FORWARD
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar DM » 20 Avr 2007 22:28

donc si je fais un forward avec la meme commande je devrais pouvoir faire passer mes impressions ?
IPCOP 1.4.10 + OpenVPN
DM
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 02 Août 2005 12:17

Messagepar micjack » 21 Avr 2007 00:27

La même commande, j'en sais rien, puisque tu as des variables $ zarbi genre $COPIEUR, sorties de je ne sait d'ou :?

Cependant sur les interfaces, faut choisir, soit on utilise le -i et -o sur les interfaces entrée/sortie des ethx, soit les -s et -d en spécifiant une adresse ou plage, mais pas les deux sur la même régle.

De toutes facons, tu ne risque rien de tester cela en ligne de commande, cela ne va pas mêtre en vrac ton IPCop... Puis si ca marche pas, t'es dans le doute, tu reboot et puis c'est tout :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Poupou94 » 21 Avr 2007 09:35

Bonjour,

Tu dois mettre une règle dans chaque sens du genre

iptables -A FORWARD -s $BLUE/masque -d $COPIEUR -p tcp --dport 515 -j ACCEPT

iptables -A FORWARD -d $BLUE/masque -s $COPIEUR -p tcp --sport 515 -j ACCEPT

avec ça tu ne devrais pas être très loin de la solution

Pascal.
Poupou94
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 195
Inscrit le: 28 Mars 2007 11:09

Messagepar micjack » 21 Avr 2007 14:06

Salut,

Comme le réseau est déja restrictif au niveau du port, donc y'a que l'imprimante qui peut passer, on pourait carrement mettre les interfaces plutot que source / destination comme cela il n'y a pas d'erreur d'adresse ou de variables

iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 515 -j ACCEPT

Dans l'exemple eth1 est le Bleu et eth2 le Green

Par contre, il me semble pas util de taper la regle dans l'autre sens, puisque il semblerait que par défaut, le Green a déja accées au Bleu.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar DM » 21 Avr 2007 17:11

pour les variables je les ai juste mise sur le post pour éviter d'avoir à me trimbaler des 192.x.x.x

je teste lundi matin et je vous dis si l'ouverture de ce port suffit
IPCOP 1.4.10 + OpenVPN
DM
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 02 Août 2005 12:17

Messagepar micjack » 22 Avr 2007 01:42

DM a écrit:pour les variables je les ai juste mise sur le post pour éviter d'avoir à me trimbaler des 192.x.x.x
Donc comme déja dit, autant utiliser tes régles sur les interfaces :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron