Un pro de l'archi réseau ...

[tonton13]

Me revoila ...

J'ai une machine hote debian avec 2 interfaces réseaux.
Sur cette machine j'ai mis vmware server avec 4 OS dont ipcop

Sur ETH0 de la debian, le réseau green en bridge
Sur ETH1 de la debian, le réseau Red, avec une freebox reliée sur l"interface en mode NAT (pour le moment)

Voici un schéma:




Mon pb:

Sur le Orange (DMZ) j'ai un serveur apache sur la fedora. J'arrive a accéder au site en local via l'adresse 192.168.2.1 depuis un poste green ou bien depuis winXp en dmz aussi. Je suis sur de la config de apache, car il tourne en // sur un autre serveur et tout marche bien.

Par contre si je tappe l'url par ex http://msr.ath.cx (vous allez tester, ca marche car c'est l'autre serveur en prod la ...) et bien il ne trouve pas la page. L'url est juste un redirection chez dyndns.

Donc je pensais en fait que lorsque je tape l'url ou bien mon ip publique de chez free, il va pas ou il faut mais la je bloque...
Il doit se dire que comme ma connection passe par la debian dabord puis sur l'interface virtuelle ipcop via le nat, mais en fait cela ne passe meme pas par l'interface red .... Un tracert depuis win xp en dmz me sort juste la sortie 192.168.2.254 puis après plus rien .

Autrement j'ai bien tout mes accès en local et j'arrive a accéder au web depuis n'importe quel réseau.

Merci de votre aide

[jdh]

Concernant VMware, j'apprécie ce produit qui permet de tester des config quelques fois scabreuses.

Je considère d'un firewall (IPCOP) DOIT être hors d'un VMware, même sur une machine peu puissante.

Dans ce schéma, je ne comprends pas le Red d'IPCOP : la debian ne devrait pas avoir d'adresses sur cette carte, et la carte Red devrait être en "bridge" sur la carte Debian, tout en étant configuré en dhcp pour récupérer l'adressage à partir de la Freebox.

Le réseau Orange devrait AMHA un réseau VMnet autre que "host only" puisque "host only" est destiné à communiquer avec la machine hôte (la Debian).

Concernant la zone Orange d'un IPCOP, il est écrit et réécrit que le DNS n'est pas fourni par IPCOP au contraire de la zone Green (ce qui est incompréhensible puisqu'IPCOP est sensé être bien sécurisé donc le cache DNS aussi). Un tcpdump peut-être ?



(Faire un host en Debian et créer une VM avec Fedora pour en faire un serveur Web : il ne serait pas plus simple de "capitaliser" sur Debian ?)

[jmripert]

(rien à voir mais, c'est pour un cas d'école ? )

Tes dns étant configuraient sur free, tu reçois comme réponse l'adresse publique ce qui doit bloquer au niveau d'ipcop. Définis en local la résolution dns de tes sites, ou mieu si tu as un serveur dns...

[tonton13]

Ok, j'ai résolu mon pb en mettant en bridged le red.

Mainteant je voudrais, transférer la totalité des flux issus de Eth1 vers l'interface Red de ipcop, pour que debian ne puisse pas avoir accès au réseau sauf par l'interface grren eth0 brdgée elle aussi.

Code: Tout sélectionner

# Connexions ETH1 Debian <-> RED IPCOP

###############################################################################
### Initialisation des tables
###############################################################################
# Initialise la table Filter (par defaut tout les echanges sont refuses)
echo "  + Initialisation de la table Filter"
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT   DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT  DROP

# Initialise la table NAT (par defaut tout les echanges sont actives)
echo "  + Initialisation de la table NAT"
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P OUTPUT      ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# Initialise la table Mangle (par defaut tout les echanges sont actives)
echo "  + Initialisation de la table MANGLE"
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING  ACCEPT
iptables -t mangle -P INPUT       ACCEPT
iptables -t mangle -P FORWARD     ACCEPT
iptables -t mangle -P OUTPUT      ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT

# Desactivation du NAT (fonction routeur)
echo "  + Desactivation du NAT"
echo 0 > /proc/sys/net/ipv4/ip_forward

###############################################################################
### Creation des regles de filtrages
###############################################################################
# Autorise l'interface loopback à dialoguer avec elle-meme
echo "  + Regles du localhost"
iptables -t filter -A OUTPUT -o lo -p all -j ACCEPT
iptables -t filter -A INPUT  -i lo -p all -j ACCEPT



IP_DEBIAN_ETH1_RED=192.168.10.253
IP_IPCOP_LAN_RED=192.168.10.254
IP_RED_LAN_BCAST=192.168.10.255
IP_FREEBOX=192.168.10.1
LAN_ETH1=eth1

RANGE_FTP_PORT=60000:61000
FTP_SRV_PORT=21
SSH_PSRV_PORT=22
HTTP_SRV_PORT=80
STREAM_SRV_PORT=8080
STREAM2_SRV_PORT=1234


iptables -A FORWARD -i $LAN_ETH1 -d $IP_IPCOP_LAN_RED -p tcp --dport $FTP_SRV_PORT -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o $LAN_ETH1 -s $IP_IPCOP_LAN_RED -p tcp --sport $FTP_SRV_PORT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $LAN_ETH1 -d $IP_IPCOP_LAN_RED -p tcp --dport $HTTP_SRV_PORT -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o $LAN_ETH1 -s $IP_IPCOP_LAN_RED -p tcp --sport $HTTP_SRV_PORT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $LAN_ETH1 -d $IP_IPCOP_LAN_RED -p tcp --dport $SSH_SRV_PORT -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o $LAN_ETH1 -s $IP_IPCOP_LAN_RED -p tcp --sport $SHH_SRV_PORT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $LAN_ETH1 -d $IP_IPCOP_LAN_RED -p tcp --dport $STREAM_SRV_PORT -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o $LAN_ETH1 -s $IP_IPCOP_LAN_RED -p tcp --sport $STREAM_SRV_PORT -m state --state ESTABLISHED,RELATED -j ACCEPT





Donc le résultat doit etre:

tout doit etre bloqué au niveau de eth1 debian sauf les règles ci dessus qui doivent donnéer accès au web juste a l'interface red ipcop.

Est correct?

Merci