Erreur proxy si accès DMZ

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Erreur proxy si accès DMZ

Messagepar Blutch66 » 19 Mai 2008 12:02

Bonjour

J'ai
+ Ipcop 1.4.18 (REG - ORANGE - GREEN) + BOT + OpenVPN
+ un domaine dans le LAN : lan.xxx.com
+ un domaine dans la DMZ : dmz.xxx.com

Sur chaque domaine :
- un serveur DHCP pour sa propre zone
- un serveur DNS pour sa propre zone + un redirecteur pour les résolution dans l'autre domaine.

Si j'active le proxy,
- OK si j'accède à des serveurs du WAN (ex : http://www.ixus.net)
- ERR si j'accède du LAN à la DMZ : Unable to determine IP address from host name for host1.dmz.xxx.com (normal ...)

Comment corriger cela ?
Définir le redirecteur au niveau de IPCop ?
Exclure un sous-domaine dans le paramétrage du proxy ?

Merci d'avance
Dernière édition par Blutch66 le 19 Mai 2008 15:19, édité 1 fois au total.
Blutch66
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 08 Juin 2007 10:25

Messagepar gemoussier » 19 Mai 2008 13:27

Bonjour,
J'opterai plus pour un problème de DNS au vu du message d'erreur.

Si j'ai bien compris chaque zone dispose de son propre serveur DNS. Je suppose donc que le domaine de la DMZ "dmz.xxx.com" est géré par celui de la zone Orange. Pour le redirecteur sous Bind (désolé je n'utilise que ce système) :
zone "dmz.xxx.com" { type forward; forward first; forwarders { w.x.y.z; }; };

Et vérifier au niveau de la configuration de BOT que le port 53 est bien autorisé GREEN -> ORANGE
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar Blutch66 » 19 Mai 2008 13:39

Je suis bien d'accord, c'est un problème de résolution DNS, lors d'une tentative de résolution par le proxy.

La config pour Bind est donc bien celle qu'il me faut, mais c'est dnsmasq qui est utilisé sur IPCop.
Si quelqu'un connait l'équivalent ...

PS : pour BOT Green -> Orange, pas de problème, puisque nslookup aaa.dmz.xxx.com fonctionne ...
Blutch66
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 08 Juin 2007 10:25

Messagepar gemoussier » 19 Mai 2008 15:17

Désolé, j'ai cru que vous utilisiez un serveur DNS sur une machine distincte de l'IPCop. Je ne sais pas du tout comment réalisé cette opération avec dnsmasq. J'ai remplacé ce service par bind sur ma machine IPCop.
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Re: Erreur proxy si accès DMZ

Messagepar ccnet » 19 Mai 2008 15:29

Blutch66 a écrit:Bonjour
Définir le redirecteur au niveau de IPCop ?
Merci d'avance


Pour info dnsmasq sur ipcop ne dessert que les clients de la zone verte. Mais je ne comprend pas bien votre problème, je n'assurerai pas que cela à un rapport.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Blutch66 » 19 Mai 2008 15:39

J'ai peut être été un peu trop vite ....

Je veux accéder depuis GREEN à un serveur http hébergé sur ORANGE : yyy.dmz.xxx.com

La résolution DNS au niveau de GREEN est assuré par un serveur DNS dans GREEN, pour lequel j'ai précisé un redirecteur pour la zone dmz.xxx.com

Si le proxy sur IPCop est activé, j'ai l'erreur indiqué plus haut. Normal, le service proxy ne sait pas comment résoudre yyy.dmz.cadwin.com.

Quel est le serveur/service DNS utilisé par le proxy ?
Comment lui ajouter un redirecteur pour la zone dmz.xxx.com ?

Ou peut être y a t il une autre facon de faire ...
Blutch66
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 08 Juin 2007 10:25

Messagepar Gesp » 20 Mai 2008 15:25

Si le proxy sur IPCop est activé, j'ai l'erreur indiqué plus haut. Normal, le service proxy ne sait pas comment résoudre yyy.dmz.cadwin.com.


Je suppose que ce n'est pas le service proxy en particulier mais la machine IPCop en entier.

Quel est le serveur/service DNS utilisé par le proxy ?
Comment lui ajouter un redirecteur pour la zone dmz.xxx.com ?


Quel DNS as-tu indiqué dans IPCop?
Le serveur DNS du FAI ou ton serveur DNS en green?
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar Blutch66 » 20 Mai 2008 15:33

Gesp a écrit:
Si le proxy sur IPCop est activé, j'ai l'erreur indiqué plus haut. Normal, le service proxy ne sait pas comment résoudre yyy.dmz.cadwin.com.


Je suppose que ce n'est pas le service proxy en particulier mais la machine IPCop en entier.

Bien sûr.
La remarque de ccnet m'a troublé : le service proxy et tout IPcop utilise bien dnsmasq ?

Gesp a écrit:
Quel est le serveur/service DNS utilisé par le proxy ?
Comment lui ajouter un redirecteur pour la zone dmz.xxx.com ?


Quel DNS as-tu indiqué dans IPCop?
Le serveur DNS du FAI ou ton serveur DNS en green?

Celui de mon FAI ...
Si je mets celui de green, j'aurai une dépendance croisée (pas au niveau DNS, mais au niveau du bon fonctionnement général)
Je préférerais éviter.
Blutch66
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 08 Juin 2007 10:25

Messagepar ccnet » 20 Mai 2008 15:46

La remarque de ccnet m'a troublé : le service proxy et tout IPcop utilise bien dnsmasq ?


Pour le service proxy je n'en sais rien. Une chose dont je suis certain : les machines situées sur le réseau Orange n'utilisent pas dnsmasq, mais doivent comporter des dns accessibles. En ce sens tout ipcop n'utilise pas dnsmasq. D'où le doute ...
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 20 Mai 2008 16:14

Je confirme ce qu'écrit ccnet :


* en zone Orange, le dns (d'Ipcop, c'est à dire dnsmasq) n'est pas fourni (sous-entendu comme pour la zone Orange.



Par contre, je ne comprends pas bien : un domaine en dmz, un DHCP en dmz. Moi je n'organise rien du tout comme cela ! (Surtout un dhcp en dmz, cela n'a AUCUN sens pour moi !)

Une DMZ, c'est un réseau constitué de quelques serveurs dont le rôle est d'être accédé depuis Internet ou depuis le réseau interne. Il y a ici 2 mots importants : quelques, cela veut 2, 3, 4 tout au plus; et serveurs, cela veut dire que la config est définie une fois pour toute, notamment l'adresse ip (fixe évidemment), et le dns.

Il est aussi très clair que le proxy est destiné à des machines en Green et pas en Orange ... puisque ce ne sont pas des machines qui vont naviguer à fond ... parce que ce sont des serveurs.

Pour moi, AMHA, il y a là un problème de conception (ou de compréhension) du rôle ou du sens des zones.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Blutch66 » 20 Mai 2008 16:37

:( Bigre, quelle violence dans le propos ... :(

Peut être un peu plus d'explication pour calmer les ardeurs :

Rassurez vous, je n'ai que quelques serveurs dans la DMZ...
Il s'agit de 4-5 serveurs http installés sur des machines - virtuelles - différentes.
J'ai fait le choix d'installer une machine (IP Fixe / serveur DNS / serveur DHCP / Apache en reverse proxy )

Pour le reste
- attribution des IP : je laisse faire le DHCP
- règles de redirection du revers proxy : je travaille avec le FQDN

Et je confirme que je ne veux me servir du proxy que depuis green.
Blutch66
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 08 Juin 2007 10:25

Messagepar jdh » 20 Mai 2008 16:47

Concernant le dns,

- IPCOP utilise, comme n'importe quelle machine Unix/Linux, comme serveur dns, le serveur indiqué dans /etc/resolv.conf.
- IPCOP fait tourner le service dnsmasq qui est un serveur dns limité : d'une part, il est relais dns, d'autre part, il fournit la résolution pour une liste de machines, dans le cas d'IPCOP, celle des "hotes statiques".
- le dnsmasq est configuré pour être disponible SEULEMENT au machines en Green.

(Il serait étonnant que le "nameserver" soit 127.0.0.1, c'est à dire le dnsmasq. Donc on peut dire que les services IPCOP n'utilisent pas le service dnsmasq.)


Très basiquement,
- chaque serveur en DMZ doit avoir une adresse ip fixe (évidemment),
- chaque serveur en DMZ doit utiliser l'adresse ip Orange de l'IPCOP comme passerelle,
- chaque serveur en DMZ doit avoir, comme dns, les dns du FAI,
- chaque serveur en DMZ doit avoir un nom fqdn DECLARE dans "hôtes statiques"

Ainsi chaque PC en Green pourra accéder avec le nom fqdn au serveur en dmz.

Enfin, c'est comme ça que je ferais ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron