[Résolu ?]SME 7.3 - Serveur Uniquement - SSH derrière IPCOP

[Hugotor]

Bonjour,

faisons bref :
Accès SSH en réseau local : OK

Accès depuis internet : BAD

Le fait que la SME soit en "serveur uniquement" pose apparemment un problème.

Any questions ?

Merci pour votre aide

(oui j'ai cherché comme un mataf...)

a+

[Muzo]

Bonjour,

Non cela ne me choque pas. Car en Server only, tu n'as qu'un seule carte réseau. Donc SME ne fait pas la différence entre accès internet et accès local. Car si tu bloque l'accès ssh sur ta SME, plus personne ne s'y connectera, car pour elle tout le monde viens du range d'adresses fournit par ton ipcop.

C'est à ton ipcop d'empêcher les connections internet vers ton SME.

/Muzo

[Hugotor]

Bonsoir,

Merci Muzo. Oui bon ben j'ai été trop bref.

Je voudrais bien accéder à ssh depuis l'extérieur, en local , internet (avoir OK partout) .

Pourquoi l'accès local fonctionne et l'accès distant ne fonctionne pas !
Je n'ai pas rien fait de spécial.

Infos données par netstat sur le serveur
Etat
SYN_RECV

C'est là ou je ne comprends pas.

Bon ben merci Muzo, je n'avais pas été précis.

Salut.

[jibe]

Salut,

Je ne pense que Muzo en savait assez pour te répondre

Entrer par la porte de devant : Ok
Entrer par la porte de derrière : BAD

Apparemment, le fait que la maison n'ait qu'une porte d'entrée pose un problème.

Tu peux préciser que tu cherches à entrer par la porte de derrière, cela ne changera pas la réponse de Muzo : il l'avait bien compris !

Mais comment fais-tu donc pour avoir un accès local et un accès distant sur un serveur seul qui n'a qu'une interface locale ???

[Hugotor]

Bonjour,

J'ai trouvé !

Sécurité d'IPCOP :

GREEN est inaccessible depuis RED .

C'est normal !

Bon ben moi faut que je rajoute une carte dans l'IPCOP pour avoir un orange (zut!) et je change les directives...grrrmegrmmmgrrrrmgrm

Merci et à bientôt.

[fraedhrim]

Salut,

Ou alors il y a (qui a dit encore ?) un truc que je n'ai pas pigé ou alors il y a un truc que je n'ai pas pigé...

Bon déjà que tu accèdes à ton SSH en local implique que tu as autorisé l'accès SSH à ta machine depuis au moins ton réseau local via le server-manager.
Donc pour pouvoir accéder à ton serveur en SSH as-tu :
- autorisé l'accès à "public (tout Internet)" ?
- fait le renvoi du port nécessaire de ton IPCOP vers ton serveur SME (TCP 22 vers TCP 22) ?

En marge permettre le SSH de partout est quand même assez dangereux. Tu aurais au moins intérêt à changer le port (ne serait-ce qu'au niveau de ton renvoi de port sur l'IPCOP : l'IPCOP écoute sur le port 222 et renvoi sur le port 22 de ta SME). Au mieux tu limites l'accès à des IP sources fixes via IPCOP ou via les réseaux locaux de SME. Au super mieux tu utilises un VPN.

A+

[jibe]

Salut,

Bon, je crois que je commence à comprendre, mais vu l'asence de schéma, le peu d'explications, l'oubli qu'IPCOP est un firewall et ne laissera pas passer SSH dans le LAN sans que ce soit explicitement demandé , et la décision de mettre SME en DMZ simplement pour résoudre ce problème sans se poser d'autres questions, je prends peur.

Pourquoi SME derrière une IPCOP ? Quels services tournent sur SME (de là vient la décision de la mettre dans le LAN ou en DMZ... ou sans IPCOP )

Il semble que ton architecture réseau soit déterminée de manière totalement empirique. Ne t'amuse pas à bricoler des usines à gaz si tu n'es pas capable de définir clairement et précisément tes besoins et contraintes, et de penser qu'un firewall interdit l'accès au LAN depuis le WEB