traffic depuis orange vers RED

[ontheroadagain]

version 1.4.15
je sais que normalement le traffic de orange vers red est autorisé
mais chez moi ça ne marche pas
je n'ai qu'un serveur en dmz
j'arrive à pinguer la patte dmz de mon ipcop
mais ça ne va pas plus loin

tcppdump sur patte dmz de l'ipcop lors d'un ping depuis mon serveur dmz :

root@ipcop:~ # tcpdump -i eth2 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 68 bytes
12:27:56.517770 IP srv-dmz > www2.vip.ukl.yahoo.com: ICMP echo request, id 50444, seq 1, length 64
12:27:57.528437 IP srv-dmz > www2.vip.ukl.yahoo.com: ICMP echo request, id 50444, seq 2, length 64
12:27:58.528627 IP srv-dmz > www2.vip.ukl.yahoo.com: ICMP echo request, id 50444, seq 3, length 64
12:27:59.528824 IP srv-dmz > www2.vip.ukl.yahoo.com: ICMP echo request, id 50444, seq 4, length 64
12:28:00.529017 IP srv-dmz > www2.vip.ukl.yahoo.com: ICMP echo request, id 50444, seq 5, length 64

5 packets captured
5 packets received by filter
0 packets dropped by kernel
root@ipcop:~ #


mais quand je fais le tcpdump sur les autres interfaces de l'ipcop je ne voie pas sortir les ping


table de routage de l'ipcop :

root@ipcop:~ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
IPREDPPP * 255.255.255.255 UH 0 0 0 ppp0
IP-RESEAU-RED * 255.255.255.0 U 0 0 0 eth3
IP-RESEAU-DMZ * 255.255.255.0 U 0 0 0 eth2 <------ DMZ
IP-RESEAU-BLUE * 255.255.255.0 U 0 0 0 eth1
IP-RESEAU-GREEN * 255.255.0.0 U 0 0 0 eth0
default IPREDPPP 0.0.0.0 UG 0 0 0 ppp0 <------ RED
root@ipcop:~ #

je sèche un peu ...

[ontheroadagain]

[Franck78]

Salut,
Avant d'appeler les pompiers (tcpdump), on commence par faire vérifier l'installation.

Adresses IP et masque de IPCop, machines en dmz?

[ontheroadagain]

Code: Tout sélectionner

                                                 | ppp0
                                                 |
                                               eth3
                                                 |
                                                 |                     
srv-dmz (10.1.0.2/24) ------- eth2 (10.1.0.1) IPCOP----- eth1 (non utilisée)
                                                 |
                                                 |
                                     eth0 (172.16.0.1/16)
                                                 |
                                                 |
                            network-green (172.16.0.0/16)


[Franck78]

Bon, au moins ce n'est pas l'erreur classique number one , adresses fantaisistes.

Reste
-pas grand chose a vrai dire !

Tu peux pinger depuis l'IPCop vers Orange et Green?

Pas d'addons ou autres modifs non maitrisée?

[monsieurhoule]

Bonjour,

Je viens de m'inscrire pour me joindre à votre conversation, car moi aussi j'ai le même problème.

Voici un shéma de mon réseau :

Green Zone 192.168.2.255/24
Orange Zone 192.168.1.255/24
Red Zone 24.204.111.255/24

Eth0 : 192.168.2.1
Eth1 : 192.168.1.1
Eth2 : 24.204.111.15 gateway 24.204.111.1

Depuis la Green Zone, tout est normal et j'ai accès à l'Internet. Je peux pinger :
192.168.1.1 (Orange)
192.168.1.14 (Ordi dans la Orange Zone avec Adresse IP Statique)
24.204.111.15 (Red)
24.204.111.1 (Gateway)

Depuis la Orange Zone, je n'ai pas accès à l'Internet. Je peux pinger :
192.168.2.1 (Green)
192.168.1.1 (Orange)
24.204.111.15 (Red)


Depuis IPCup, je peux tout pinger.

Je ne sais plus trop quoi faire???

[Franck78]

Pour monsieurhoule, c'est le dns qui mal renseigné. Sur 'ORANGE' le dns doit être celui du FAI.

Sur ORANGE:
ping www.novell.com hote inconnu
ping 130.57.5.25 répond

n'est-ce pas?

[ontheroadagain]

Bon, au moins ce n'est pas l'erreur classique number one , adresses fantaisistes.
Reste
-pas grand chose a vrai dire !

Tu peux pinger depuis l'IPCop vers Orange et Green?
Pas d'addons ou autres modifs non maitrisée?

si en addon j'ai advproxy en transparent + squidguard mais bon ...

tu voies que y'a besoin de l'artillerie lourde lol

[ontheroadagain]

j'ai craqué j'ai réinstallé ... on saura pas la cause mais au moins ça marche ...

[monsieurhoule]

Bonjour Frank,

Je suis heureux d'avoir une réponse. Maleureusement, se n'est pas la bonne.

Je ne ping pas le nom de domaine, mais l'adresse IP directement.

J'arrive à pinger ma carte RED 24.204.111.15, mais pas au-dela.

Je n'ai pas de réponse de la passerelle de mon FAI 24.204.111.1 depuis la orange zone.

Par contre, je peux pinger sans probleme depuis la green zone ou depuis le serveur IPCup directement.

[monsieurhoule]

Re-bonjour Franck,

Désolé de t'avoir contredit

J'ai ce problème depuis longtemp et je n'ai jamais cru bon de faire pointé les DNS sur ceux du FAI, puisque de toutes façons, je n'arrivais pas à pinger mon FAI.

Bref, magie! Ça marche!

Merci encore.