le http (80) passe du bleu vers le vert...

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

le http (80) passe du bleu vers le vert...

Messagepar olivier_morin » 02 Mai 2008 15:45

Bonjour, est-ce normal que dans la dernière version IPCOP un poste bleu atteigne un serveur HTTP vert ?

:wink:
Avatar de l’utilisateur
olivier_morin
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 186
Inscrit le: 15 Jan 2003 01:00

Messagepar ccnet » 02 Mai 2008 17:15

Le newbie kit nous dit :
A l'installation d'IPCOP, sans ajout de addons, sans modification du système, les flux sont gérés de la manière suivante :

BLUE => IPCOP : fermé****
BLUE => GREEN : fermé***
BLUE => ORANGE : fermé****
BLUE => RED : ouvert**

Vous êtes bien dans la configuration par féfaut , quelle adressage ? Switchs, hubs bien séparés ?
Etes vous certain que le flux traverse bien l'ipcop ? Que dit un tracert vers l'ip du serveur web ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Molinié Didier » 07 Mai 2008 14:21

Bonjour
Je travaille avec olivier_morin

Je préciserais qu'aprés l'installation d'IPCOP 1.4.18
bleu -> IPCOP fermé
bleu -> vert fermé
bleu -> orange fermé
bleu -> rouge fermé

test des ping et tracert depuis un poste BLEU : échec
test d'ouverture d'une page WEB sur le reseau VERT : echec


Le fait d'ouvrir une adresse IP BLEU vers le ROUGE (Menu -> PARE-FEU -> ACCES BLEU)
cela entraine que ce même poste peut ouvrir une page WEB sur tout les serveur WEB du réseau VERT, mais ne peut pas pinger ces mêmes serveurs WEB. (cache du poste vidé)


Pour info, le poste sur la zone BLEU est directement relié par un cable croisé à IPCOP.


Comment peut on visualiser les routes sur la console d'IPCOP.
Est-ce un BUGUE ?
En informatique, tous est possible... mais ce n'est pas forcément évident !!! (JCB)
Molinié Didier
Matelot
Matelot
 
Messages: 3
Inscrit le: 07 Mai 2008 13:49
Localisation: Bergerac

Messagepar gemoussier » 07 Mai 2008 14:55

Bonjour,
Personnellement sans avoir modifié expressément les règles, un accès web de bleu vers vert est bloqué.
Le menu "Accès bleu" sert à définir les couples adresses IP/MAC des postes autoriser à se connecter sur l'interface bleue et au reste du réseau par extension (orange, rouge et vert via l'accès DMZ ou VPN).
Vérifiez que vous n'avez pas une règle qui autorise ce trafic à partir du menu "Accès à la DMZ". Vous pouvez aussi vérifier que personne n'a modifié le fichier /etc/rc.d/rc.firewall.local dans ce sens.

Enfin pour visualiser les "routes", c'est possible depuis l'interfaces Web, menu "Etat du réseau", ou directement sur le PC avec la commande "route".

A titre d'information voilà un lien présentant un schéma représentant les règles de filtrages sur IPCop (de base) : http://ipcops.com/faq/traffic.png
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar Molinié Didier » 07 Mai 2008 15:12

les routes sont ok.
le fichier rc.firewall.local est ok

quand j'ouvrir l'adresse IP BLEU vers le ROUGE (Menu -> PARE-FEU -> ACCES BLEU) il a accés aussitot au WEB du VERT alors que le ping ne focntionne pas.
IPCOP est configuré pour autoriser les pings, et la regle DMZ de l'adresse BLEU vers un serveur Web VERT est desactivé, je l'ai même supprimé. Je seche.........



Il doit y avoir un Probleme au moment de l'instal.
Mon objectif est d'autoriser une adresse BLEU vers un seul serveur Web VERT.

Je pars pour une reinstallation......
En informatique, tous est possible... mais ce n'est pas forcément évident !!! (JCB)
Molinié Didier
Matelot
Matelot
 
Messages: 3
Inscrit le: 07 Mai 2008 13:49
Localisation: Bergerac

Messagepar jdh » 07 Mai 2008 15:36

Dans le newbie kit, il est aussi indiqué que les adressages de chaque zone doivent être différents.

Mais comme cela n'est pas indiqué dès la première question, on ne peut pas deviner.

Il faudrait comprendre qu'exposer un problème c'est fournir BEAUCOUP de renseignements (et surtout ce qui ne vous semble sans intérêt ...).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 07 Mai 2008 15:58

A tout hasard je repose ma question pour essayer de comprendre un peu mieux :
quel adressage ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Molinié Didier » 07 Mai 2008 16:39

OK, je vais tenter donner plus d'information :-)

nous avons monté un IPCOP avec une zone ORANGE et une ZONE BLEU

Adressage :
ZONE VERTE : 141.227.0.0 ( je sais cette plage d'adresse n'est pas super, mais c'est l'historique)
ZONE ORANGE : 192.168.124.0 (dans cette zone nous avons un FTP) il y a aucun probleme, il est accessible de l'extérieur (Internet) comme de l'interrieur (Zone VERT)
ZONE BLEU : 192.168.123.0 (actuellement il n'y a qu'un seul PC permettant de réaliser les tests connecté directement sur IPCOP avec un cable croisé)

Mon objectif final est de pouvoir mettre en reseau plussieurs PC dans le ZONE BLEU.
afin d'en autoriser seulement un ou deux à sortir uniquement sur INTERNET et un troisième (ip : 192.168.123.120) qui serait autorisé à n'aller que sur une seul serveur WEB de la ZONE VERTE (serveur web 141.227.100.1) et non sur les autre.

J'espère que j'ai été plus préci.



Est ce que ce système est possible avec IPCOP ?
si oui, Pourquoi le poste de test dans la zone bleu a accès a tout les serveurs web de la zone verte quand on autorisons l'adresse IP 192.168.123.120 (zone BLEU) vers le ROUGE (MenuIPCOP -> PARE-FEU -> ACCES BLEU) ?
En informatique, tous est possible... mais ce n'est pas forcément évident !!! (JCB)
Molinié Didier
Matelot
Matelot
 
Messages: 3
Inscrit le: 07 Mai 2008 13:49
Localisation: Bergerac

Messagepar ccnet » 07 Mai 2008 20:32

ZONE VERTE : 141.227.0.0 ( je sais cette plage d'adresse n'est pas super, mais c'est l'historique)

Historique je comprend bien, mais complètement ingérable. Le réseau 141.227.0.0 est, au moins pour partie, utilisé par Total pour son adressage sur le net. Vous ne pouvez pas rester avec un adressage pareil. Un test vous en dira un peu plus : ping -a 141.227.1.1

J'espère que j'ai été plus préci.

Sans les masques il est difficile d'être certain de ce qui se passe sur votre réseau.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Franck78 » 08 Mai 2008 19:18

Molinié Didier a écrit:OK, je vais tenter donner plus d'information :-)

nous avons monté un IPCOP avec une zone ORANGE et une ZONE BLEU

Adressage :
ZONE VERTE : 141.227.0.0 ( je sais cette plage d'adresse n'est pas super, mais c'est l'historique)


historique, mouais, belle excuse que voila pour ne rien entreprendre....
y a quoi sur le réseau? Mille imprimantes IP et deux cents vieux serveurs planqués un peu partout? Des tonnes de sources avec IP écrites en dur ?


C'est le proxy squid qui permet à un poste BLEU d'atteindre un HTTP en VERT.

Code: Tout sélectionner
Rejeter le proxying vers les réseaux BLEU/VERT:


est une option récente qui peut être fonctionne mal ou est dérangée par autre chose.....
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar m2nis » 23 Fév 2010 18:47

Désolé, je déterre un vieux sujet...

Franck78 a écrit:C'est le proxy squid qui permet à un poste BLEU d'atteindre un HTTP en VERT.

C'était la conclusion à laquelle je tendais à arriver à la découverte, par hasard, de ce "bug" (je ne sais pas très bien s'il faut mettre des guillemets ou pas...).

Franck78 a écrit:
Code: Tout sélectionner
Rejeter le proxying vers les réseaux BLEU/VERT:

A première vue, je ne situe pas cette option.

Si c'est uniquement parce que mon proxy n'est pas tout à fait à jour, je trouverai (sauf que pour le moment, advproxy.net ne répond pas...).
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar fleib » 23 Fév 2010 19:39

Si tu fais référence à la page http://www.advproxy.net/download.html, je te confirme qu'elle fonctionnait il y a une minute...
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Messagepar m2nis » 24 Fév 2010 08:26

fleib a écrit:Si tu fais référence à la page http://www.advproxy.net/download.html, je te confirme qu'elle fonctionnait il y a une minute...

Ce matin encore, j'ai eu un mal fou à obtenir l'extension, alors qu'Urlfilter fonctionnait très bien au même moment. Problème avec mon serveur DNS ?

En tous les cas, j'ai fini par mettre la main sur cette option... que j'avais peut-être déjà mais qui est placée un peu trop bas dans les options à mon avis car, en cas d'activation du proxy, il me parait indispensable de voir et de comprendre cette option.

Merci en tous les cas pour cette information qui m'a permis de régler rapidement mon problème.


Par ailleurs, je ne suis pas sûr que ce soit le bon endroit, mais la traduction française n'est pas correcte. Pour une option, nous avons :
-Désactiver le proxy interne pour accéder au Green depuis les autres sous-réseaux
et pour l'autre :
-Désactiver le proxy interne pour accéder depuis Blue aux autres sous-réseaux

D'après mes tests, ce serait la seconde qui est mal traduite et qui devrait être :
-Désactiver le proxy interne pour accéder à Blue depuis les autres sous-réseaux
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité