[résolu]IPCOP et NAT

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[résolu]IPCOP et NAT

Messagepar dimrun » 25 Fév 2008 18:22

Bonjour à priori mon problème est simple. Mon souci c'est que je n'ai rien pour le tester.

Je cherche des informations sur ÏPCOP et NAT. ( Note : J'ai tapé nat dans la section recherche ixus et j'ai trouvé 1802 réponses, mais au bout de 10 pages je n'ai rien trouvé de clair pour moi ).

Voici ma configuration :

WEB------IPCOP------REVERSE-PROXY-----SERVEURS

Ma configuration IPCOP du réseau est GREEN + RED.

J'ai tous testé sur vmware avec des IP fixes et tous marche.

Manque de pot, mon interface rouge aura une IP publique. Je voulais savoir, comment réagis le NAT avec IPCOP ? Devrais je modifier ma configuration ?

Note : Avec des IPs fixes mon testeur postionné à l'emplacement WEB connaissait l'adresse du reverse proxy. Il me semble qu'avec une IP publique, il faudra rediriger tous ce qui arrive sur l'interface rouge vers l'adresse IP de mon reverse proxy. Comment faire ?
Dernière édition par dimrun le 26 Fév 2008 15:21, édité 1 fois au total.
dimrun
Matelot
Matelot
 
Messages: 10
Inscrit le: 25 Fév 2008 12:13

Messagepar ccnet » 25 Fév 2008 18:40

Comment faire ?


Lire le newbie kit. Et accessoirement http://christian.caleca.free.fr/ pour mettre vos idées au clair.

Voici ma configuration :

WEB------IPCOP------REVERSE-PROXY-----SERVEURS

Ma configuration IPCOP du réseau est GREEN + RED.


Pas de poste clients ?

J'ai tous testé sur vmware avec des IP fixes et tous marche.

Manque de pot, mon interface rouge aura une IP publique.

Ce serait plutôt le contraire. Sinon je vous saohaite bien du plasir pour être connecté à internet.

Je voulais savoir, comment réagis le NAT avec IPCOP ?

Si vous savez ce qu'est le nat, vous savez comment ipcop réagit. Sinon retour au newbie kit.

Les références indiquées me semblent très nécessaires. A vous lire, il vous manque de nombreuses bases. Ce qui n'est pas grave, nous en avons tous un jour fait l'apprentissage. C'est votre tour !
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar dimrun » 25 Fév 2008 19:31

Lire le newbie kit. Et accessoirement http://christian.caleca.free.fr/ pour mettre vos idées au clair.


Bon avant de poster j'avais dèjà fait un tour sur http://christian.caleca.free.fr/ et j'avais fait une recherche dans le newbies kit sur les mots nat et translation. Je viens de refaire une recherche à la mano et j'ai rien trouvé sur mon problème. Est tu sur de l'avoir lu ce newbie kit...Il ne répond pas à tout.

Pas de poste clients ?


J'ai des postes de test au niveau WEB. Cette architecture traite une application particulière dont l'explication ne serait pas pertinent.

Ce serait plutôt le contraire. Sinon je vous saohaite bien du plasir pour être connecté à internet.


C'était une marque d'humour... J'ai testé avec des IPs fixes et l'IP de l'interface RED va devenir publique avec les soucis que çà implique. ( et que j'aimerais connaitre )

Mon souci n'est pas de comprendre le NAT mais de comprendre IPCOP. Ma question est toujours valable IPCOP natte-il et comment ?
dimrun
Matelot
Matelot
 
Messages: 10
Inscrit le: 25 Fév 2008 12:13

Messagepar ccnet » 26 Fév 2008 00:07

Mon souci n'est pas de comprendre le NAT mais de comprendre IPCOP. Ma question est toujours valable IPCOP natte-il et comment ?


Page 2 : Question : Comment rendre un serveur hébergé derrière IPCOP (web, ftp, etc ...) accessible depuis internet ?
Je crois que c'est assez clair. Limpide même.
NAT : Network Adess Translation.
Puis sachant que vous avez une adresse ip fixe, je ne vois pas comment fonctionne le NAT d'ipcop autrement que comme partout ailleurs dans ce cas de figure. Si vous comprenez le nat vous savez comment fait ipcop : comme les autres.

Maintenant il y a peut être autre chose qui vous gêne et peut être qu'en l'expliquant concrètement ....

En fait quel est votre problème ?

Si c'est de savoir si vous pouvez prendre tel que l'ipcop de test pour le mettre en service, la réponse est que vous n'avez pas donné les informations pertinentes. Votre interface RED aura un ip publique mais sera t elle affecté en dhcp ou en statique ? selon le cas la modification à faire est différente.

Si c'est autre chose je n'ai pas compris ... ce que vous ne comprenez pas.

J'ai des postes de test au niveau WEB. Cette architecture traite une application particulière dont l'explication ne serait pas pertinent.

Je repose la question autrement : pas de poste client connectés sur GREEN ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar dimrun » 26 Fév 2008 11:18

J'ai suivi les indications de la page deux. Mes sources sont "any" ma destination est l'adresse IP de mon reverse proxy. Les ports sont le 80 et le 443. Mon souci c'est qu'a chaque requête exterieure mes flux http ou https sont jetés par IPCOP. ( trames RST ) plutôt que de rediriger le flux.

Je repose la question autrement : pas de poste client connectés sur GREEN ?


Pas de client, je fait du service uniquement.

L'ip sera statique.
dimrun
Matelot
Matelot
 
Messages: 10
Inscrit le: 25 Fév 2008 12:13

Messagepar ccnet » 26 Fév 2008 11:25

Mes sources sont "any" ma destination est l'adresse IP de mon reverse proxy.

Qu'avez vous saisi exactement dans chacun des champs lors de la création des transferts de ports ?

Pas de client, je fait du service uniquement.

Pas même pour administrer ipcop ?

L'ip sera statique.

Vous devez donc reconfigurer ipcop en indiquant la nouvelle adresse statique pour RED
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar dimrun » 26 Fév 2008 11:51

Qu'avez vous saisi exactement dans chacun des champs lors de la création des transferts de ports ?


Voici le résultat de mes entrées :

Proto --- Source --------------------------- Destination
TCP ----- DEFAULT IP : 443(HTTPS) ---- 172.16.2.254 : 443(HTTPS)
TCP ----- DEFAULT IP : 80(HTTP) ------- 172.16.2.254 : 80(HTTP)

Tout est activé bien sur.

Pas même pour administrer ipcop ?


J'appelle ça une console admin. Ce n'est pas un client. Elle fait également office de sonde. Elle est situé entre IPCOP et le reverse proxy.

Vous devez donc reconfigurer ipcop en indiquant la nouvelle adresse statique pour RED


Je suis encore en période de test du coup j'ai rajouté une seconde ip à l'interface rouge qui devra être natté jusqu'au reverse proxy.
dimrun
Matelot
Matelot
 
Messages: 10
Inscrit le: 25 Fév 2008 12:13

Messagepar dimrun » 26 Fév 2008 12:58

J'avance un peu, je viens de le faire marcher. A priori IPCOP ne supporte pas deux adresses IPs différentes pour le nat. (bouh IPCOP t'est nul, tous le monde le gère (en fait juste les meilleurs)).

Juste par hasard est ce que quelqu'un à réussi à natter de l'interface rouge à l'interface green la deuxième IP de l'interface rouge.

C'est surtout pour être sur que ca vienne d'IPCOP et pas de moi.
dimrun
Matelot
Matelot
 
Messages: 10
Inscrit le: 25 Fév 2008 12:13

Messagepar ccnet » 26 Fév 2008 17:14

Votre configuration de transfert de ports est bonne.

Je suis encore en période de test du coup j'ai rajouté une seconde ip à l'interface rouge qui devra être natté jusqu'au reverse proxy.

Comme vous l'avez découvert c'est bien sur une mauvaise idée.

Juste par hasard est ce que quelqu'un à réussi à natter de l'interface rouge à l'interface green la deuxième IP de l'interface rouge.


La réponse existe sur le forum, c'est oui. Cela demande des modifications dans /etc/rc.d/rc.firewall

Exemple :
IP interne sur green : 192.168.1.254

IPs Publiques : 213.41.16.217 / 255.255.255.240

Dans /etc/rc.d/rc.firewall, ajouter la ligne suivante pour chaque serveur :

/sbin/iptables -t nat -A REDNAT -s ip_local_dmz -o $IFACE -j SNAT --to-source ip_public

juste avant la ligne:

/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE


Exemples :

/sbin/iptables -t nat -A REDNAT -s 192.168.1.1 -o $IFACE -j SNAT --to-source 213.41.16.219

/sbin/iptables -t nat -A REDNAT -s 192.168.1.3 -o $IFACE -j SNAT --to-source 62.161.X.X2
/sbin/iptables -t nat -A REDNAT -s 192.168.1.4 -o $IFACE -j SNAT --to-source 62.161.X.X3
/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE

Vous obtiendrez ainsi un NAT (1:1 comme on dit dans Pfsense ou un nat statique comme on dit chez Checkpoint). Ipcop gère mal des ip multiples sur l'interface RED. Ce sujet a été maintes fois débattu ici. Les modifications indiquées ci dessus sont un problème dans le sens où l'on cesse d'utiliser ipcop tel qu'il a été conçu avec tous les problèmes de maintenance, d'administration que cela comporte pour le futur. C'est à vous d'en décider. Vous pourriez choisir Pfsense si vous avez besoin de fonctionnalités plus évoluées.

Votre avant dernier message me conduit à quelques observations.

J'appelle ça une console admin. Ce n'est pas un client. Elle fait également office de sonde. Elle est situé entre IPCOP et le reverse proxy.

Cette configuration ne me semble pas recommandable parce qu'elle ne respecte pas un minimum de règles élémentaires de sécurité.

1. Les réseaux des machines accessibles depuis l'extérieur (serveur) et celui de celle qui ne le sont pas (poste de travail dont console d'admin) sont strictement séparés.

2. Le traffic sortant doit être étroitement contrôlé lui aussi.

De la règle 1 on déduit que votre ipcop devrait être en configuration RED+ORANGE+GREEN.
Serveurs et, ou Reverse proxy dans Orange. Poste de travail dans Green.

Sur configuration BOT devrait (doit) être installé pour non seulement contrôler précisément le traffic sortant, ce qui inclue le traffic entre les zones, mais aussi parce qu'il vous permet d'obtenir des logs que ipcop seul ne vous donnera pas.

La sonde. Snort je suppose, si oui c'est une fausse bonne idée de la position sur la machine qui sert à administrer ipcop. La configuration sure d'une sonde necessite à mon avis une machine spécifique avec 2 interfaces réseaux. Celle qui écoute le traffic n'aura pas d'adresse ip, ceci pour en limiter la détection.
La seconde interface, sécurisée pour administrer la sonde. Puis vient la question de placement de la sonde. Pour faire court : http://www.snort.org/docs/iss-placement.pdf

Je ne sais pas quel est l'objectif du reverse proxy (sécurité, performance, ...) dans tous les cas son emplacement c'est la DMZ ORANGE, ensuite pour les serveurs cela se discute au cas par cas. Mais en aucun cas dans le réseau GREEN avec la machine d'admin.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Gesp » 26 Fév 2008 17:27

C'est surtout pour être sur que ca vienne d'IPCOP et pas de moi.


IPCop supporte de base un certain nombre de choses simples (et d'autres un peu moins).
Le fait de définir un alias pour RED ne pourrait-il pas répondre à ton besoin?

Avant de modifier le code exitant pour nater à la mano une seconde adresse, peut-être aussi faudrait-il que tu te poses la question de savoir si la manière dont tu as formulé ton besoin est judicieuse.

Je n'en suis pas certain.

Parmis les questions auquelles tu dois te répondre :
- le positionnement du reverse-proxy en green est-il vraiment judicieux?
Ne serait-il pas plus logique en orange?
De même pour le serveur.

Sinon tu te prépares à transformer ton green en gruyère avec des trous partout.
Alors qu'avec des machines en oranges, tu transfères les ports que tu veux sur les serveurs en orange pour leur accès depuis l'extérieur.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar dimrun » 26 Fév 2008 17:59

Actuellement je ne fait que du dévelloppement. Ma console admin est la pour l'instant mais elle sera plus tard installé via des Vlans et tous le toin toin...Pas de souci niveau sécurité, par défaut elle sera débranché et pas configuré de la même manière.

La "sonde" c'est wireshark (ethereal) et c'est donc temporaire comme la console admin.

Comme mon service est très spéciale. Tous mes serveurs sont accessibles via l'exterieur. Mais IPCOP ne propose pas une config RED + ORANGE...

Je ne connaissais pas IPCOP avant de me lancer, ce n'est pas vraiment l'outil qu'il me fallait finalement.

Bon j'ai peut être été un peu "houleux" sur mon premier post mais merci ccnet
dimrun
Matelot
Matelot
 
Messages: 10
Inscrit le: 25 Fév 2008 12:13

Messagepar ccnet » 26 Fév 2008 18:12

Ma console admin est la pour l'instant mais elle sera plus tard installé via des Vlans et tous le toin toin...

L'usage des vlans ne change rien à l'architecture souhaitable et aux principes de sécurité.

Comme mon service est très spéciale. Tous mes serveurs sont accessibles via l'exterieur.

je ne vois pas ce que cela à de spécial. Il y a environ quelques millions d'entreprises dans cette situation.
je ne vois pas en quoi cela dispense de respecter certains principes de sécurité sains.

Mais IPCOP ne propose pas une config RED + ORANGE...

ha ??
J'ai écris RED + ORANGE + GREEN. Ce qui la configuration la plus fréquentes d'ipcop.

Pour finir je ne comprend pas l'utilité de tests dans une situation aussi éloignée de la configuration cible.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité