accès aux services externes

par ry » 08 Mai 2003 16:25

C'est quoi exactement ? Et pourquoi j'ai une règle activé : Protocole TCP Adresse IP source Tout Adresse IP de destination DEFAULT IP Port de destination 113 113 étant : auth 113/tcp authentication tap ident <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">

par **seb57** » 08 Mai 2003 16:37

ne t'inquietes c'est une régle par default le 113 c'est pour l'identification a distance si tu n'en a pas l'utilité tu peux la supprimer sans crainte <IMG SRC="images/smiles/icon_smile.gif">

par ry » 10 Mai 2003 19:38

Ah d'accord, j'avais un peu peur ! Sinon, j'ai du mal à distinguer les 4 choses suivantes : Transfert de ports | alias externes | accès aux services externes | accès à la DMZ Je peux trouver de l'aide sur ça dans le guide ? Où une âme charitable est prete à me l'expliquer ?

par ry » 10 Mai 2003 19:45

D'après le guide, j'ai compris que : - transfert de ports : transférer des ports... (??) - alias externes : ça c'est un truc dont on se sert pas (en rapport avec notre FAI) - accès aux services externes : ça, c'est pour || lan VERS extérieur || - accès à la DMZ : ça, pour || extérieur VERS lan (DMZ) || Mais à quoi sert le transfert de port puisque "accès aux services externes" et "accès à la DMZ" font déjà tout ?

par **tomtom** » 10 Mai 2003 20:00

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-10 19:45, ry a écrit: D'après le guide, j'ai compris que : - transfert de ports : transférer des ports... (??) - alias externes : ça c'est un truc dont on se sert pas (en rapport avec notre FAI) - accès aux services externes : ça, c'est pour || lan VERS extérieur || - accès à la DMZ : ça, pour || extérieur VERS lan (DMZ) || Mais à quoi sert le transfert de port puisque "accès aux services externes" et "accès à la DMZ" font déjà tout ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Oula ! Tu pars sur de mauvaises bases là.. 1- architecture: Tu peux avoir jusq'à 3 interfaces sur IPCop : RED : c'est Internet GREEN : c'est la LAN ORANGE : c'est la DMZ, c'est à dire une zone moins protégée que le LAN mais avec des restrictions tout de même. 2 - Le transfert de ports Suppose que tu aies un serveur web (apache) qui ecoute sur son port par defaut (le 80) et que tu veuilles le rendre disponible sur Internet. La seule adresse que l'on voit sur internet est celle du RED de IPCop, mais tu voudrais le mettre dans la DMZ dont les adresses sont 192.168.0.*. Pour faire cela, on fait un transfert de ports, cad que l'on dit : "tout ce qui arrive sur mon adresse RED sur le port 80 , je l'envoie vers l'adresse que moi je connais en DMZ (192.168.0.5) ou il y a un serveur web , toujours sur le port 80. 3- Alias externes : j'ai deja repondu à cette question, grosso modo ca sert si tu as plusieurs ip sur le red... Ca ne te concerne probablement pas 4- Acces aux services externes : Tout le contraire de ce que tu penses, mais c'est vrai que la traduction est hasardeuse, il est difficile de traduire "external services", mais en fait ce sont les services fournis par ton IPCop à l'exterieur (acces par le RED). Ex : acces en ssh depuis l'exterieur, ou à l'interface d'admin sur le port 445 etc. 5- Acces à la DMZ : Ca c'est pour les communications entre la DMZ et le GREEN Voila, j'espère que ca t'eclairera un peu. Lis bien en profondeur le manuel d'installation ainsi que le manuel d'admin. Et essaye de determiner ton besoin avant de te lancer ! Thomas

par ry » 10 Mai 2003 20:17

Merci beaucoup. En effet, je me trompais sur accès aux services externes. Pour ce qui est du manuel, il n'est pas traduit en français à ma grande déception (celui du 1.3.0). J'ai du le lire trop en vitesse donc je vais le relire calmement, et en anglais, tanpis <IMG SRC="images/smiles/icon_smile.gif"> Merci encore.

par ry » 10 Mai 2003 20:33

Voila mes dernières questions : 1/ comment on définit "tel PC sera dans ma DMZ" ? En lui mettant une adresse IP particulière ? 2/ J'ai pas bien compris "accès à la DMZ" <IMG SRC="images/smiles/icon_frown.gif"> J'ai une explication, qqun pourrait confirmer : peut-etre est-ce parce que si j'ai un serveur dans la DMZ (ORANGE), je peux pas le joindre quand je suis dans le réseau local "normal" (GREEN) ? Et c'est pour ça qu'on peut là aussi définir des règles pour qu'on puisse y accéder du GREEN vers ORANGE ? (c'est p-e aussi parce que je ne connais pas bien les DMZ, d'ou ces deux questions proches...) 3/ Dans le forwarding de port, que mettre dans le Port Source ?? Logiquement, c'est le client qui se connecte au serveur sur le port 80 (port de destination pour un srv web) mais le port source faut mettre quoi ? merci !

par **Breizh-Tux** » 10 Mai 2003 21:11

--> 1/ comment on définit "tel PC sera dans ma DMZ" ? En lui mettant une adresse IP particulière ? La DMZ correspond à l'interface ORANGE , donc c'est le pc connecté sur cette interface. Ex : adresse de la carte ORANGE sur IpCop : : 192.168.1.2 Adresse de la carte du pc connetcé à cette interface : 192.168.1.1 Cependant ton réseau LAN (GREEN) devra avoir une adresse différente :: ex 192.168.0.0/24 Ce qui permet à IpCop de différencier deux réseau différents et de leur attribuer des règles diférentes. --> 2/ J'ai pas bien compris "accès à la DMZ" ... CF -->5- Acces à la DMZ : Ca c'est pour les communications entre la DMZ et le GREEN --> 3/ Dans le forwarding de port, ... Le port source correspond au port sur lesquel arrivent les requetes que vous voulez router donc pour apache c'est 80 en source en 80 en destination cf httpd.conf ou 8080 comme vous le souhaitez ou 443 pour SSL ... Le port source est en fait celui de la machine IpCop.

par **tomtom** » 10 Mai 2003 21:12

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-10 20:33, ry a écrit: Voila mes dernières questions : 1/ comment on définit "tel PC sera dans ma DMZ" ? En lui mettant une adresse IP particulière ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> La DMZ est un reseau à part entière : adresses ip différenets (ex : green = 192.168.1.0 mask 255.255.255.0, dmz=192.168.0.0 mask 255.255.255.0) Elle a une "patte" branchée sur une troisième interface du firewall (ipcop) il te faut donc une carte réseau supplémentaire <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 2/ J'ai pas bien compris "accès à la DMZ" <IMG SRC="images/smiles/icon_frown.gif"> J'ai une explication, qqun pourrait confirmer : peut-etre est-ce parce que si j'ai un serveur dans la DMZ (ORANGE), je peux pas le joindre quand je suis dans le réseau local "normal" (GREEN) ? Et c'est pour ça qu'on peut là aussi définir des règles pour qu'on puisse y accéder du GREEN vers ORANGE ? (c'est p-e aussi parce que je ne connais pas bien les DMZ, d'ou ces deux questions proches...) </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> C'est surtout le contraire : un serveur de la dmz ne peut pas acceder au green (green peut acceder à tout le monde. Fait bien attention que les règles ne sont pas bidirectionnelles !) Sauf les exceptions marquées dans ces acces :ex : un serveur web en red peut acceder à une base de données du green sur 1 port donné. Je ne suis pas partisan de l'utilisation de ce genre de règle, je trouve que ça introduit des failles. Mais parfois on ne peut pas faire autrement <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 3/ Dans le forwarding de port, que mettre dans le Port Source ?? Logiquement, c'est le client qui se connecte au serveur sur le port 80 (port de destination pour un srv web) mais le port source faut mettre quoi ? merci ! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Le port source correspond en fait au port de destination de la requete initiale (oui je sais c'est pas cair). Ainsi, suppose que quelque mette <a href="http://ton_ip/" target="_blank">http://ton_ip/</a> dans un browser. le firewall recoit un paquet avec son ip et 80 en port dest. La c'est à toi de voir, mais suppose que ton serveur en dmz ecoute sur le port 8080, tu vas rediriger ce paquet vers le nouveau numero de pport Pour realiser cette config, il te faut donc renseigner : port source : 80 ip source : default ip ip destination : ip_serveur_web (en interne) port dest : 8080 Et voila, le client à l'exterieur ne verra jamais la vraie adresse du serveur, la seul ip qu'il connaisse est celle de tonRED. C'est¨IPCop qui s'occupe de tout traduire au fur et à mesure ! Genial, non ? Thomas

par ry » 10 Mai 2003 21:46

C'est plus clair. 1/ Dans mon cas, j'ai : Ipcop - RED - 192.168.0.1 PCs - GREEN - 192.168.0.1/254 Si je veux mettre un PC en DMZ, dois je faire : DMZ - ORANGE - 192.168.1.1 par exemple ? Pour le mettre sur "un autre réseau" ? De toute façon, je crois que je le ferais pas pour le moment (je ne connais pas assez)/ 2/ Sinon pour l'histoire du GEEN / DMZ j'ai bien compris mais ça ne me concerne donc pas si je n'ai pas de PC dans la DMZ ? ou meme si je n'ai pas de DMZ tout simplement. En revanche si j'ai un serveur dans mon réseau local, je dois faire du transferts de ports seulement, ça suffit non ? 3/ Pour finir, qu'est ce que 8080 ? je croyais que pour le web, c'était 80 uniquement non ? Puis 81 ou 445 pour https, etc mais 8080 ? C'est un second port pour les srv web ? Quelle différence avec 80 ? Une denière chose : comment connaitre le port de destination spécifique à tel service ?!

par **Breizh-Tux** » 10 Mai 2003 22:04

-- 1/ Dans mon cas, j'ai : Ipcop - RED - 192.168.0.1 PCs - GREEN - 192.168.0.1/254 -- Ipcop - RED = interface réseau connectée au net donc pas 192.168.0.1 mais peut etre : Ipcop - GREEN = 192.168.0.1 Pc1 - LAN = 192.168.0.2 Pc2 - LAN = 192.168.0.3 Pc3 - LAN = 192.168.0.4 etc ... Si tu utilises un serveur web sur une machine tu peux la mettre dans la DMZ 192.168.1.1 avec Ipcop - ORANGE = 192.168.1.2 par exemple. -- 3/ Pour finir, qu'est ce que 8080 ? -- C'est juste une alternative au port 80, c'est l'ancien port par défaut des serveurs web ... C'est également le port par défaut du serveur open source Zope.

par **tomtom** » 10 Mai 2003 22:06

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-10 21:46, ry a écrit: C'est plus clair. 1/ Dans mon cas, j'ai : Ipcop - RED - 192.168.0.1 PCs - GREEN - 192.168.0.1/254 Si je veux mettre un PC en DMZ, dois je faire : DMZ - ORANGE - 192.168.1.1 par exemple ? Pour le mettre sur "un autre réseau" ? De toute façon, je crois que je le ferais pas pour le moment (je ne connais pas assez)/ 2/ Sinon pour l'histoire du GEEN / DMZ j'ai bien compris mais ça ne me concerne donc pas si je n'ai pas de PC dans la DMZ ? ou meme si je n'ai pas de DMZ tout simplement. En revanche si j'ai un serveur dans mon réseau local, je dois faire du transferts de ports seulement, ça suffit non ? 3/ Pour finir, qu'est ce que 8080 ? je croyais que pour le web, c'était 80 uniquement non ? Puis 81 ou 445 pour https, etc mais 8080 ? C'est un second port pour les srv web ? Quelle différence avec 80 ? Une denière chose : comment connaitre le port de destination spécifique à tel service ?! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Cher ry tu as une scacrée curiosité ! 1 -ca m'etonnerait que ton IPCop ait la même adresse ip sur le green et sur le red ! Effectivement sinon, pour mettre un pc en DMZ, il suffit de lui mettre une autre adresse et de le brancher à un autre endroit <IMG SRC="images/smiles/icon_biggrin.gif"> Et de configurer IPCop correcteemnt. Tu ne dois pas posséder de DMZ dans ta config je pense. Lors de l'insttall, tu as du mettre RED+GREEN, ce qui suffit amplement ! 2- N'ayant pas de dmz, tu ne t'embetes pas avec ça. Par contre il est deconseillé de faire un transfert de port vers un ordinateur dans la zone green. Pourquoi veux-tu faire cela ? quel est ton but ? 3- Pour le web, on peut mettre tout ce qu'on veut comme port. Simplement, pour une utilisation standard, on préfère utliser des ports prédéfinis pour etre surs de trouver les serveurs même sans connaitre le sports. J'ai pris 8080 car c'est souvent ce que l'on met comme port si on a un deuxième serveur ou si on utlise un procy, mais c'etait juste un exemple pour te montrer que le port peut etre different ! Pour la liste des ports "standard" appellés "well known ports", tu la trouveras sur ixus : <a href="http://www.ixus.net/modules.php?name=Ixus_Nettools&d_op=PortsIP" target="_blank">http://www.ixus.net/modules.php?name=Ixus_Nettools&d_op=PortsIP</a> Essaye de bien lire la doc et de lire des posts dans les forums, ca t'aidera à mieux comprendre ce qu'il se passe <IMG SRC="images/smiles/icon_smile.gif"> Thomas

par ry » 10 Mai 2003 23:12

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-10 22:06, tomtom a écrit: Cher ry tu as une scacrée curiosité ! 1 -ca m'etonnerait que ton IPCop ait la même adresse ip sur le green et sur le red ! Effectivement sinon, pour mettre un pc en DMZ, il suffit de lui mettre une autre adresse et de le brancher à un autre endroit <IMG SRC="images/smiles/icon_biggrin.gif"> Et de configurer IPCop correcteemnt. Tu ne dois pas posséder de DMZ dans ta config je pense. Lors de l'insttall, tu as du mettre RED+GREEN, ce qui suffit amplement ! </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Oui en effet, je me suis trompé <IMG SRC="images/smiles/icon_wink.gif"> Ce doit être : IPCOP - RED - mon ip actuelle du "net" 80.***** IPCOP - GREEN - 192.168.0.1 (DMZ - ORANGE - 192.168.1.1) PC - GREEN - 192.168.0.2 PC - GREEN - 192.168.0.3 PC - GREEN - 192.168.0.4 ... Lorsque j'ai installé IPCop, je ne me souviens plus de ce que j'ai mis malheureusement (je ne savais pas trop à quoi correspondait tout ça... donc ça ne m'importait peu. Ya t-il moyen de le savoir une fois IPCop installé ? <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 2- N'ayant pas de dmz, tu ne t'embetes pas avec ça. Par contre il est deconseillé de faire un transfert de port vers un ordinateur dans la zone green. Pourquoi veux-tu faire cela ? quel est ton but ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Oui mais justement, si je possède un serveur dans la zone GREEN, je suis bien obligé de faire du transfert de port comme ceci (avec un srv web sur 192.168.0.3) : -de- INTERNET (toutes les ips) -vers- SERVEUR (192.168.0.3) -port- 80 à moins qu'ipcop oblige de mettre les serveurs dans la DMZ ? <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 3- Pour le web, on peut mettre tout ce qu'on veut comme port. Simplement, pour une utilisation standard, on préfère utliser des ports prédéfinis pour etre surs de trouver les serveurs même sans connaitre le sports. J'ai pris 8080 car c'est souvent ce que l'on met comme port si on a un deuxième serveur ou si on utlise un procy, mais c'etait juste un exemple pour te montrer que le port peut etre different ! (...) Thomas </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Voila, merci, merci et merci ! <IMG SRC="images/smiles/icon_smile.gif">

par **seb57** » 10 Mai 2003 23:40

slt pour connaitre ton instal tu te connecte en route sur la console et tu taper setup mais si tu fait des modif faudra rebooter et pour ton serveur t'es pas obligé d'avoir une dmz mais bon c'est vivement conseillé la seul chose c'est qu'il te faudra juste une carte réseau supplémentaire sur ta machine ipcop ton green et ta dmz seront physiquement séparé perso je pense que ça vaut le coup d'y réfléchir et surtout tu n'a pas besoin d'être un pro de la dmz dis toi juste que tu as deux réseau séparé derriere ton ipcop un top sécurisé et un qui l'est un peu moins sur lequel tu as ton serveur <IMG SRC="images/smiles/icon_smile.gif">

par **loup** » 23 Mai 2003 07:40

salut, en relisant ce post, ca ma permit d eclaircir certaines choses: cependant , j ai un souci: derrier ipcop j ai un serveur mail sur Free-eos j ai donc fowarder les ports 25 et 110 sur l adresse de ce serveur, et la je n ai que mon courrrier qui sort. impossible a partir d internet de m envoyer du courrier sur mon serveur! evidemment j ai un nom de domaine , mise a jour dns etc etc d ou cela peut il venir? a plus

accès aux services externes

Qui est en ligne ?