Accès à serveur sur Orange derrière un routeur Netgear

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Accès à serveur sur Orange derrière un routeur Netgear

Messagepar Maelvon » 10 Mars 2009 19:05

Bonjour,

L'internet m'est fourni au moyen d'un Netgear CBVG834G (192.168.0.254) par Numéricable, sur lequel est connecté un IPCop (
Red: 192.168.0.1,
Green: 10.0.0.254 <- Réseau local dhcp et fixe,
Orange: 192.168.200.254 <- Serveur: 192.168.200.1)
J'ai une IP fixe pour mon Netgear, et j'aimerais pouvoir avoir accès au Serveur de l'extérieur connecté sur Orange.

J'ai l'impression que le Netgear faisant routeur lui-même, il m'empêche de voir l'Orange.

J'ai essayé de passer 192.168.0.1 en DMZ sur le Netgear mais niet. Il faudrait que j'arrive à mettre le Netgear en bridge ou un truc dans le style car je n'arrive pas à voir mon serveur connecté sur Orange. Mais je ne vois rien de ce type dans l'interface d'administration du Netgear,

Ce type de configuration est-elle possible ? Et comment ?

Merci de vos conseils avisés,

Maelvon
Maelvon
Matelot
Matelot
 
Messages: 5
Inscrit le: 10 Mars 2009 18:40

Messagepar ccnet » 10 Mars 2009 20:10

Netgear + ipcop = 2 routeurs nat l'un derrière l'autre.

Idéalement il faudrait mettre (sous réserve que ce soit possible) le netgear en mode pont de telle façon que votre ip publique soit sur l'interface red d'ipcop.
Si ce n'est pas possible il faut configurer le netgear pour qu'il envoie tout le trafic, sans limitation, vers l'interface red d'ipcop.
Ensuite, que le netgear soit en routeur ou en pont, il faut absolument mettre en place un transfert de port de red vers orange si vous voulez voir votre serveur depuis internet.
Maintenant si vous disiez à quoi vous souhaitez accéder sur le serveur situé dans Orange, nous ne nous en porterions pas plus mal pour vous aider.
Enfin il est absolument indispensable de compléter cette configuration par BOT pour empêcher ipcop de tout laisser sortir, ce qu'il fait pas défaut.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Maelvon » 11 Mars 2009 12:11

Effectivement, ça donne deux routeurs nat l'un derrière l'autre, vais re-regarder sur le forum à ce sujet.

Il ne me semble pas possible de mettre le Netgear en mode pont. Je n'ai rien vu de ce type dans l'interface d'admin.

Configurer le Netgear pour qu'il renvoie tout le trafic vers la RED d'ipcop, c'est comme de la DMZ ou il faut configurer port par port ?

Sur Orange j'ai un serveur Debian, sur lequel je fait tourner du Http et Ftp

BOT, connais pas, ok c'est un plugins, je vais regarder ça. Encore pas mal de configuration en vue :-)

Merci ccnet de ces premières pistes.

Maelvon
Maelvon
Matelot
Matelot
 
Messages: 5
Inscrit le: 10 Mars 2009 18:40

Messagepar ccnet » 11 Mars 2009 12:21

Configurer le Netgear pour qu'il renvoie tout le trafic vers la RED d'ipcop, c'est comme de la DMZ ou il faut configurer port par port ?

Je ne connais pas bien ce type de produit. Je pense que cela peut être fait globalmement. Chez Orange, c'est effectivement une option DMZ ou quelque chose de ce genre.

Sur Orange j'ai un serveur Debian, sur lequel je fait tourner du Http et Ftp

N'oubliez pas dans ipcop les transferts de ports de red vers orange pour les ports tcp 80 et 21
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Maelvon » 16 Mars 2009 11:00

Ok j'ai réussi à toucher ma Debian derrière l'ipcop (ftp et http).

Je viens d'installer BOT, et je me retrouve bloqué avec la config des règles pour Pidgin (MSN, etc...). À ce que j'ai compris si je mets dans la Configuration de BlockOutTraffic

État de la Connexion:
[X] Lien autorisé, connexions établies

Il me prend les connexion établies, je n'ai plus besoin des règles de transfert de port ? Je galère avec le mode passif du FTP en TLS/SSL.
J'ai vu des fils où les gars modifiaient le /etc/rc.d/rc.firewall.local, parce que la coche sur Lien autorisé, connexion établie ne fonctionnait pas.

Pareil avec Pidgin (MSN, etc…) je n'arrive pas a configurer de règle pour le clavardage, bien que j'ai ouvert pas mal de ports, les connus, il bloque toujours.

Pff!!!

Maelvon
Maelvon
Matelot
Matelot
 
Messages: 5
Inscrit le: 10 Mars 2009 18:40

Messagepar ccnet » 16 Mars 2009 13:34

Il me prend les connexion établies, je n'ai plus besoin des règles de transfert de port ?

Non. Il y a là deux confusions.
1. En dehors de tout filtrage, réalisé par BOT (ou même autre chose), n'importe quel firewall doit savoir quoi faire d'une connexion entrante (Syn = 1) destinée à un hôte du réseau interne et cela pour un port donné. Il faut donc le lui indiquer. Vous aurez donc toujours besoin d'une ou plusieurs règles de ce type.

2. L'option "Lien autorisé, connexions établies" est tout autre chose. Par défaut BOT bloque tout le trafic sortant. Il bloque donc aussi bien la connexion d'un navigateur situé dans le réseau interne vers un site web que le paquet réponse à un trafic venant de l'extérieur vers votre serveur Debian. Cocher cette case permettra sans ajouter de règles dans BOT de laisser sortir un paquet TCP dont le champ numéro d'acquittement correspond (mais non égal) au champ numéro de séquence d'un paquet reçu (donc en sens inverse).

J'ai vu des fils où les gars modifiaient le /etc/rc.d/rc.firewall.local, parce que la coche sur Lien autorisé, connexion établie ne fonctionnait pas.

En général des gens qui ne comprennent pas ce qu'ils font et ne parvienne pas à leurs fins simplement parce qu'il ne comprenne ni leur problème ni le fonctionnement de TCPIP.

Pareil avec Pidgin (MSN, etc…) je n'arrive pas a configurer de règle ...

Reprenez l'analyse du problème à la base il doit y voir des incompréhensions.

Je ne sais pas ce dont vous avez besoin en FTP. Ce protocole nécessite de nombreuses précautions. Si c'est pour de la maintenance, un accès dans un tunnel ssh (winscp par exemple) est préférable.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Maelvon » 16 Mars 2009 15:51

Merci encore une fois pour ces précisions ccnet. Je comprend bien le coup de l'option « Liens autorisés, connections établies », je reste comme ça.

En ce qui concerne la Debian, je souhaite mettre à disposition un serveur FTP. J'utilise pure-ftpd avec TLS=2 (Seulement session TLS/SSL est accepté.). Par contre je n'arrive pas à me connecter faire un LIST une fois connecté, depuis un client extérieur. Ça fonctionne en réseau local. Ce qu'il y a de bizarre c'est que je n'arrive pas avec Filezilla (Ubuntu), et lftp (Debian), mais qu'un collègue y arrive avec Flash fxp (Windows). J'ai tenté la configuration des ports du mode Passif de pureftpd en 40000:50000, mais ça n'a pas l'air de passer. Et pureftpd à un mode ForcePassiveIp que je n'arrive pas à activer. Je cherche. edit (c'était ForcePassiveIP et non ForcePassiveIp), mais maintenant j'ai un : L'authentification a échoué.: ftp:ssl-force est défini et le serveur ne supporte pas SSL. à suivre)

J'utilise le TLS/SSL avec le Ftp pour plus de sécurité, et que proposer à mes client de faire du Scp c'est pas top. Au moins le FTPES est accessible sur des clients Mac, Win et Linux. Mais peut-être que je fais fausse route.

Sinon BOT à l'air de bien fonctionner, si ce n'est que tout à l'heure un des ordi du réseau local ne pouvait plus accèder au http, il a fallu que je lui indique l'ip et le port 800 du proxy alors qu'il est en mode transparent et que sur d'autres ordis cela fonctionne. Pareil pour l'accès FTP, avec BOT activé, impossible de ce connecter à un FTP par sa seule IP (Pas de DNS pour cette IP). Est-ce que ce sont des bugs ? Problème de proxy transparent avec OSX 10.4 en fait (Ip du type 10.0.0.X, DNS=10.0.0.254 (ip de mon IPCop), l'impression que ça vient de là, pas de problème sur OSX 10.5.

Pour autoriser les ports de Pidgin (MSN, AIM, ICQ), pas trouvé de pistes… Si, y'a bien http://www.iana.org/assignments/port-numbers mais c'est pas pour autant que ça fonctionne. Je fait un :

Code: Tout sélectionner
tail -f /var/log/messages | grep REJECT


mais rien comme port du type de MSN, etc …

Kenavo !

Maelvon
Maelvon
Matelot
Matelot
 
Messages: 5
Inscrit le: 10 Mars 2009 18:40

Messagepar fets » 27 Août 2009 00:12

Je ne sais pas si le tiens est résolu ton problème mais on a quasi le même souci !!

Perso :
  • IPCop 1.4.21, ports TCP 20 21 et UDP 1234 => 1492 fowardé vers IP local Debian
  • Debian Lenny, en GREEN
  • proFTPd en TLS/SSL

=> impossible de se connecter autrement qu'en mode ACTIF.

Pour ce faire j'ai du dire dans proftpd.conf, à la ligne MasqueradAdress de mettre l'IP local de la machine et non l'IP du WAN !!

Je n'ai rien touché à IPtables, IP Conntrack ou installé BOT.

++
Avatar de l’utilisateur
fets
Major
Major
 
Messages: 78
Inscrit le: 12 Mars 2004 01:00
Localisation: 57r455b0µr9


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité