ping de DMZ vers internet bloqué ?

[tito]

Bonjour,

De ma zone orange je ne peux pas pinguer une adresse extérieure. Par contre je peux accéder au web avec un navigateur.

Il semblerait qu'ipcop bloque le ping d'orange à internet. Est-ce bien le cas ? Si oui quelle en est la raison ? Peut-on changer ce comportement ?

Merci d'avance

[tomtom]

Oui il me semble avoir deja vu ce bloquage dans certains posts, mais j'avoue ne pas comprendre du tout l'interet..... ?

Sinon, une règle iptables devrait arranger ça sans problèmes, mais as-tu vraiment un besoin de faire des pings depuis orange ?

a+

t.

[tito]

Merci tomtom.

Je n'en ai pas vraiment besoin, ça m'aurait été un peu utile : il faut qu'on administre des balises à distances à partir d'un pc en DMZ, et la première étape était de vérifier si on pouvait bien les pinguer...

Sinon, à part le ping, vous me confirmez que par défaut tout est ouvert dans le sens orange->red ?

[tomtom]

Je n'ai pas d'IPCop, mais je pense que oui, moyennant qu'il faut utiliser les DNS externes (ceux du FAI par exemple) car IPCop ne répond pas aux requets qui viennent de Orange.


t.

[tito]

ok. Merci.

[shwing]

Salut,

Sinon, à part le ping, vous me confirmez que par défaut tout est ouvert dans le sens orange->red ?

Oui

Code: Tout sélectionner

Connexions en provenance de => à destination de
RED => IPCOP : fermé*
RED => GREEN : fermé*
RED => ORANGE : fermé*
RED => BLUE : fermé*

ORANGE => IPCOP : fermé**
ORANGE => GREEN : fermé***
ORANGE => BLUE : fermé***
ORANGE => RED : ouvert**

BLUE => IPCOP : fermé****
BLUE => GREEN : fermé***
BLUE => ORANGE : fermé****
BLUE => RED : ouvert**

GREEN => IPCOP : ouvert**
GREEN => ORANGE : ouvert**
GREEN => BLUE : ouvert**
GREEN => RED : ouvert**


Annotations :

      * : pour ouvrir, utilisez l'interface graphique d'IPCOP avec PARE-FEU => TRANSFERTS DE PORTS
      ** : pour fermer voir http://forums.fr.ixus.net/viewtopic.php?p=199127#199127
      *** : pour ouvrir, utilisez l'interface graphique d'IPCOP avec PARE-FEU => ACCES A LA DMZ
      **** : pour ouvrir, utilisez l'interface graphique d'IPCOP avec PARE-FEU => ACCES A BLUE

Je n'ai pas d'IPCop, mais je pense que oui, moyennant qu'il faut utiliser les DNS externes (ceux du FAI par exemple)

Tout a fait juste. Je prends ceux de mon FAI.

[tito]

J'avais raté ta réponse Shwing. Donc avec retard, je te remercie.

[helvetik]

Hello !


Je viens de remarqué aussi que le ping (et le protocole icmp en générale) était désactivé pour orange>red...

Malheureusement, ça me pose problème, car j'utilise sur mon serveur web un script php qui vérifie l'état de certains serveurs Mysql externes en utilisant la commande ping...

Du coup, mon script ne fonctionne pas dans la zone orange..

Avez-vous une astuce pour débloquer ICMP ?

Merci,


Hel

[ccnet]

Si BOT est installé vous pouvez le faire en créant un service icmp que vous pouvez même limiter précisément aux types de requètes souhaitées. Vous pourriez aussi limiter la portée de cette règle à vos serveurs Mysql externes en créant un groupe de serveurs. Si BOT n'est pas installé, il faut l'installer. Assez fondamental à mon avis.

[helvetik]

Donc d'après vous, aucun moyen d'éviter l'installation de BOT ?
Même pas une règle iptables ?

Bon, ben je vais me renseigner au niveau de BOT.

Merci,


Hel

[ccnet]

Non, ce n'est pas ce que je dis.
C'est sans doute parfaitemnt faisable avec iptables. BOT ne fait pas autrement. Vous aurez une interface agréable pour gérer tout cela. Avec iptables, si vous ne maitrisez pas et je crois comprendre que c'est le cas, vous aller recopier une règle sans trop savoir. Je vous souhaite bon courage pour maintenir quelque chose que vous ne maitrisez pas et qui ne se voit pas dans l'interface d'admistration. Dans un environnement professionnel on applique des méthodes professionnelles. Le professionnalisme me semble être d'utiliser le bon outil, c'est à dire BOT.
Au delà, il me semble indispensable d'utiliser BOT systématiquement. Dit autrement je ne conçois pas un firewall qui laisse absolument tout sortir. Pour moi c'est un non sens.

[Poupou94]

Bonsoir,

Totalement d'accord avec ce que dit ccnet, BOT amène la souplesse d'une interface graphique et évite les erreurs de syntaxe, la maintenance à la truelle etc...

Pascal