[Résolu] Pb Communication DMZ vers GREEN

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Résolu] Pb Communication DMZ vers GREEN

Messagepar antho5914 » 10 Juil 2008 20:50

Bonjour,

Je vous explique ma situation, j'ai récemment installé sur une nouvelle bécane la dernière version d'IpCop en reprenant sur le proxy existant IpCop les informations à l'identique y compris les routes.

La mise sur le réseau c'est bien effectuer mais le souci est de taille, en effet nous travaillons en configuration GREEN ORANGE RED et nous avons constaté que certain de nos serveurs communiqué plus ensemble enfaite la communication passe bien dans le sens GREEN > ORANGE(DMZ) mais impossible dans l'autre sens.

En résumé Un PC de la zone GREEN ping un PC de la zone ORANGE mais un PC de la zone ORANGE ne ping pas un PC de la zone GREEN.

Moi et mes collègues avons retourné la situation dans tous les sens sans que nous sachions d'ou peux provenir le problème.

Si une personne aurai une idée afin de nous éclaircir, cela serai fort sympathique.

Merci
Dernière édition par antho5914 le 02 Fév 2009 10:41, édité 1 fois au total.
antho5914
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 10 Juil 2008 20:43
Localisation: Lille

Messagepar ccnet » 10 Juil 2008 21:15

Une première idée serait que vous donniez toutes les informations sur votre configuration.

en reprenant sur le proxy existant IpCop les informations à l'identique y compris les routes.

Je ne comprend pas cette partie de la phrase. Ipcop sur proxy existant ? des routes sur un proxy ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar antho5914 » 10 Juil 2008 23:52

Une ancienne version d'Ipcop est installer sur une vieille bécane, j'ai donc les meme paramètres routes... sur la nouvelle bécane et la nouvelle version d'IpCop et j'ai ce soucis la.
antho5914
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 10 Juil 2008 20:43
Localisation: Lille

Messagepar ccnet » 10 Juil 2008 23:57

Une première idée serait que vous donniez toutes les informations sur votre configuration.

Je persiste.
http://forums.ixus.fr/viewtopic.php?t=38987

et :
En résumé Un PC de la zone GREEN ping un PC de la zone ORANGE mais un PC de la zone ORANGE ne ping pas un PC de la zone GREEN.

car :
http://forums.ixus.fr/viewtopic.php?t=24737
Question : Qu'est-ce qu'IPCOP bloque et laisse passer comme flux.


Sauf information complémentaire tout est normal chez vous.
Dernière édition par ccnet le 11 Juil 2008 00:02, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar antho5914 » 11 Juil 2008 00:00

La malheuresement je suis chez moi et je n'ai pas acces au proxy de chez moi :s
antho5914
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 10 Juil 2008 20:43
Localisation: Lille

Messagepar ccnet » 11 Juil 2008 00:04

Quel proxy ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar antho5914 » 11 Juil 2008 00:08

Le proxy de l'entreprise où je travail.

J'ai lu les différents liens donnés précédement et regarder dans les ports ouvert et fermé d'IpCop, Ok pour les acces à la DMZ mais j'ai repris exactement les mêmes acces à la DMZ qu'il y avait sur l'ancien sur le nouveau.
antho5914
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 10 Juil 2008 20:43
Localisation: Lille

Messagepar ccnet » 11 Juil 2008 00:12

Je ne vois pas ce que viens faire le proxy dans cette affaire.

Vous avez probablement fait une erreur quelque part en reportant les informations.

Ensuite et pour la dernière fois :
Citation:
Une première idée serait que vous donniez toutes les informations sur votre configuration.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar antho5914 » 11 Juil 2008 00:13

ccnet a écrit:Je ne vois pas ce que viens faire le proxy dans cette affaire.

Vous avez probablement fait une erreur quelque part en reportant les informations.

Ensuite et pour la dernière fois :
Citation:
Une première idée serait que vous donniez toutes les informations sur votre configuration.


Oui oui j'ai bien pris note mais vous désiez quoi comme informations sur la configuration ?

Edit : Je vous ferrez une description plus détaillé sur les différentes configurations dès demain quand je serai devant la machine. Merci
antho5914
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 10 Juil 2008 20:43
Localisation: Lille

Messagepar antho5914 » 11 Juil 2008 09:20

Donc voici comme convenu un peu plus de détail concernant la configuration :

Auparavant nous disposons d'un serveur proxy firewall IpCop v1.3.0 celui-ci devenu obsolète nous avons décider de changer de machine et par le même occasion de version d'IpCop pour la v1.4.18.

L'installation s'est bien dérouler en prenant soin de prendre les bonnes adresses pour la carte GREEN (172.XX.XX.XX) masque 255.255.0.0 , la carte ORANGE (192.168.XX.XX) masque 255.255.255.0 et enfin la carte RED (80.XX.XX.XX) masque 255.255.255.252.

Après l'installation je me suis donc connecté via l'interface GREEN à l'interface web pour y configurer différentes choses à savoir :

- Dans l'onglet Pare-feu :
> Les Transferts de port sont à l'identique ceux de la version 1.3.0
> Les accès externe le sont également
> Même chose pour les accès à la DMZ
Exemple d'accès
TCP ORANGE 192.168.XX.XX >> GREEN 0.0.0.0 : 25(SMTP) ON
TCP ORANGE 192.168.XX.XX >> GREEN 172.XX.XX.XX : 53 (DOMAIN)
- Dans l'onglet Service
> Proxy Avancé (Add-on Proxy Advanced + URL Filter)
Activé sur GREEN coché
Mode transparant GREEN coché
Désactiver le proxy interne pour accéder au GREEN depuis les autres sous-réseaux coché.
Dans les Sous-réseaux permis j'ai :
172.16.0.0/255.255.0.0
172.17.0.0/255.255.0.0
172.18.0.0/255.255.0.0
192.168.0.0/255.255.0.0

Voila ce que je peut voir dire sur la configuration général

Je vous rappel tout de même le soucis que nous avons :

Il est impossible d'accéder à un PC de la zone GREEN via un PC de la zone ORANGE malgrès les accès à la DMZ.

Merci pour votre aide !
antho5914
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 10 Juil 2008 20:43
Localisation: Lille

Messagepar jdh » 11 Juil 2008 09:36

(Qu'aurais coûté de faire dès le départ cette description ? La question est posée pour TOUS.)


Les adresses privées n'ont pas à être masquées alors que les adresses publiques DOIVENT l'être.

(Les adresses privées sont définis par le RFC1918 : 192.168.?.?, 172.16-31.?.?, et 10.?.?.?, masque au choix).

Je ne comprends pas
- Green : 172.X.X.X/255.255.0.0
- sous réseaux permis : 172.16.0.0/255.255.0.0, 172.17.0.0/255.255.0.0, 172.18.0.0/255.255.0.0

(Je ne parle même pas de 192.168.x.x : nul besoin de proxy pour les machines en DMZ !)


Il y a un problème de compréhension de la façon de fonctionner d'IPCOP : il n'est pas conçu pour avoir 2 sous-réseaux en Green. Donc le réseau autorisé de Squid (=proxy) devrait être IDENTIQUE au réseau Green.

Par ailleurs, un masque de 255.255.0.0 permet d'avoir 65532 machines. Il me parait injustifié alors d'utiliser 3 sous réseaux de cette taille.

Le fait d'écrire "les informations à l'identique y compris les routes", ces informations maintenant indiquées semblent montrer que le plan réseau n'est pas clair du tout ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 11 Juil 2008 10:23

Mêmes remarques que Jdh. Parlons un peu de méthode de travail. Je comprend que l'on souhaite retrouver les mêmes fonctionnalités après remplacement d'ipcop. Je comprend mal que l'on reporte aveuglément les paramètres alors que l'on passe de la version 1.3.x à la 1.4.18. Avec le masquage des ips privées le plan d'adressage n'est pas très clair. La bonne façon de travailler serait à mon sens de repartir d'une configuration de base (en laissant le proxy de coté au début), en faisant les paramétrage avec pour objectif les fonctionnalités de la version précédente mais en tenant compte des caractéristiques d'ipcop 1.4.18.
Exemple d'accès
TCP ORANGE 192.168.XX.XX >> GREEN 0.0.0.0 : 25(SMTP) ON
TCP ORANGE 192.168.XX.XX >> GREEN 172.XX.XX.XX : 53 (DOMAIN)

Là il y a plusieurs choses que je comprend plus ou moins bien. La première ligne avec GREEN 0.0.0.0:25(SMTP). Mettez les adresses complètes. Ce que je comprend : un relais smtp dans orange qui transmet ensuite les mails vers un serveur de messagerie dans green.
Pour la seconde ligne je comprend encore moins. 53 (DOMAIN) ... vous avez un serveur dns dans green ? Sauf configuration et implémentation spécifique (en particulier ibm), le protocole dns utilise UDP et non TCP.
Tout cela semble nécessiter une bonne remise à plat. Une bonne idée serait d'utiliser BOT pour un contrôle plus fin des trafics entre les zones. N'oubliez pas qu'ipcop 1.4 laisse tout sortir de green vers red sans aucune restriction, ce qui n'est pas souhaitable. C'est même tout à fait dangereux. Une fis tout cela fonctionnel et propre, vous ajouterez votre configuration proxy. Celle ci va concerner les utilisateur du réseau green accédant à internet, c'est à dire principalement http, https.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar antho5914 » 11 Juil 2008 11:39

Voila j'ai refait une install sans aucun addon sans aucune route, il y a juste les acces a la DMZ le transfert de port et les acces externes mais sans succès toujours le même soucis..
antho5914
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 10 Juil 2008 20:43
Localisation: Lille

Messagepar ccnet » 11 Juil 2008 12:16

C'est icmp de Orange vers Green votre problème ?
Vérifier quand même cela :
http://www.ipcop.org/1.4.0/en/admin/htm ... ll-options
Sinon le transfert du trafic SMTP de Orange vers Green est fonctionnel ?

L'autre problème de fonctionnement non pas d'ipcop de mais de antho5914, c'est qu'il ne répond pas non plus (pas au ping) aux questions qu'on lui pose pour essayer de comprendre les données de son problème.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar antho5914 » 11 Juil 2008 12:29

merci pour ton aide mais je ne suis pas tous le temps sur le forum j'essai en parallèle de chercher et essaillé de résoudre le problème.


Rien n'est fonctionnel du ORANGE vers le GREEN.

Nous n'avons pas de serveur DNS dans le GREEN
antho5914
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 10 Juil 2008 20:43
Localisation: Lille

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité