Probleme trafic ICMP de Orange vers Rouge

[jdevincre]

Bonjour à tous,

Désolé de débarquer comme un malpropre avec mes petits soucis qui ont sans doute été résolus 150 fois, mais je n'ai rien trouvé malgré pas mal de recherches dans les posts passés.

Alors voila, j'ai un ipcop sur un petit réseau d'entreprise qui fonctionne très bien depuis plusieurs années en GREEN + RED.

IPCop v1.4.21
GREEN : 192.168.1.1 : IPs du réseau local en DHCP servies par un serveur tierce.
RED : Eth0 + ppp0 + modem Orange
Tout est fermé de RED vert GREEN.
DHCP désactivé, DNS activé

Tout ça fonctionne très bien.

-----------------------------------------------

Pour héberger un ftp illimité en DMZ, on décide de passer en GREEN + ORANGE + RED.

J'ajoute donc une carte Ethernet supplémentaire, un coup de "setup" via SSH pour la reconnaître et la configurer et je me retrouve dans la config suivante :

GREEN : 192.168.1.1 : IPs du réseau local en DHCP servies par un serveur tierce.
ORANGE : 192.168.2.1 : IPs de la DMZ statiques !
RED : Eth0 + ppp0 + modem
Tout est fermé de RED vert GREEN.

A partir de là, je monte un serveur FTP sous Linux, câblé dans la zone ORANGE et dont l'adresse IP fixe est 192.168.2.2

Puis j'applique consciencieusement le howto d'ipcop pour configurer mon routeur. Donc, je redirige les ports 21 et 49152 à 49162 vers les mêmes ports sur 192.168.2.2

Et là, c'est un vrai bonheur, tout fonctionne impeccablement ... ou presque :

- Le trafic de GREEN vers RED est OK.
- Le trafic de GREEN vers ORANGE est OK.

- L'accès au serveur FTP depuis GREEN ou RED fonctionne bien.

-------------------------------

Seul problème insoluble (pour moi) : Il m'est totalement impossible d'initier une connexion depuis ORANGE vers RED !??

Et aussi bien via un nom de domaine que via une adresse IP, rien ne sort depuis la DMZ vers l'Internet, alors que la doc d'IPCop indique que cette voie est normalement ouverte !

Le serveur situé dans la DMZ utilise un DNS de mon FAI et a comme passerelle l'adresse ORANGE d'IPCop, soit 192.168.2.1
La table de routage indiqué par IPCop semble correcte.


Si vous avez des idées, je suis preneur (n'hésitez pas à me demander des infos complémentaires).

[Franck78]

Et aussi bien via un nom de domaine que via une adresse IP, rien ne sort depuis la DMZ vers l'Internet

c'est faux puisque tu dis que le FTP fonctionne....!
Et puis c'est peut être la machine supportant le serveur ftp qui bloque tout (sauf ftp of course)!

[jdevincre]

Bon, pour être plus précis, toutes les connexions sortantes depuis la DMZ échouent.

Comme le FTP est serveur (ftp passif qui plus est), il n'initie pas de connexion sortante, et là, ça marche !

Ce n'est pas le serveur qui bloque, j'ai essayé avec 3 machines différentes (Linux, windows).
J'ai aussi ramené le serveur FTP dans la zone GREEN (ainsi que son IP), et tout va bien vers le Net...

D'ailleurs, vu que les connexions au serveur aboutissent et que le trafic "sortant" initié de l'extérieur fonctionne, ça semble confirmer un blocage au niveau d'IPCop.


En revanche, pendant l'installation de la nouvelle carte, j'ai un peu ramé avec la conf, les zones rouges et orange sont passées successivement d'une carte à l'autre. Du coup, je me demande si une règle de filtrage normalement appliquée à RED vers une autre zone ne serait pas restée en vrac dans la configuration de ce qui est finalement l'adaptateur réseau ORANGE.

[ccnet]

Si vous commenciez par une série de tests basiques avec icmp (ping) conduit de proche en proche depuis une machine dans orange ? Adresse ip pour commencer puis noms si les tests avec adresses ip sont positifs. Puis tcpdump ou Wireshark pour observer ce qui se passe exactement su orange, puis au delà. Où est votre ip publique (quelle interface) ?

[team94]

Bonjour est ce que bot est installé ?

car moi j'ai le meme "probleme" mais quand j'arrete BOT l'accés au net via la machine du réseaux orange se fait bien.

[jdevincre]

Merci pour vos réponses.

Si vous commenciez par une série de tests basiques avec icmp (ping) conduit de proche en proche depuis une machine dans orange ? Adresse ip pour commencer puis noms si les tests avec adresses ip sont positifs. Puis tcpdump ou Wireshark pour observer ce qui se passe exactement su orange, puis au delà. Où est votre ip publique (quelle interface) ?

Résumé de la conf réseau vue par IPCop

eth0 :
Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
inet addr:192.168.1.1
Bcast:192.168.1.255
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

eth1
Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
Link encap:Ethernet
inet addr:1.1.1.1
Bcast:1.1.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

eth2
Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
inet addr:192.168.2.1
Bcast:192.168.2.255
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

lo
Link encap:Local Loopback
inet addr:127.0.0.1
Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1

ppp0
Link encap:Point-to-Point Protocol
inet addr: MON IP PUBLIQUE P-t-P:xxx.xxx.xxx.xxx Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MTU:1456 Metric:1

---------------

Tests ICMP depuis la DMZ (192.168.2.2 ou 192.168.2.3) :
ping 192.168.2.2 : OK
ping 192.168.2.1 : OK
ping MON IP PUBLIQUE : OK. C'est une surprise, je pensais être déjà bloqué à ce stade.

Depuis une machine en green, j'ai fait un tracert vers le site google. la première machine "pingable" est 193.253.80.54

Un ping vers cette adresse depuis la DMZ n'aboutit pas.

Le problème est déjà visible à ce stade. Les essais vers toutes autres adresses IPs sur Internet échouent aussi.

Un point peut être intéressant : Les requêtes ICMP de 192.168.2.2 vers l'extérieur se retrouvent dans les journaux du pare-feu d'IPCop :

09:59:53 - OUTPUT - eth2 - ICMP - 192.168.2.2 - ICMP - ::::: - 193.253.80.54 - ICMP

Alors que ce n'est pas le cas pour les requêtes venant de GREEN.

Bonjour est ce que bot est installé ?

car moi j'ai le meme "probleme" mais quand j'arrete BOT l'accés au net via la machine du réseaux orange se fait bien.

Rien de plus qu'IPCop lui-même n'a été installé (par moi en tout cas). Peut on vérifier facilement si BOT est installé ?

[Franck78]

1) si tu penses avoir troublé IPCop en ajoutant la carte réseau, pourquoi pas. Une seule solution, réinstalle un IPCop en entier.
2) tu n'as pas de BOT puisque tu dis ne rien avoir ajouté à IPCop
3) un tcpdump -i ppp0 te permettra de voir si tes 'pings' sortent et appellent une réponse.....

[jdevincre]

1) La réinstallation complète est une solution, mais je souhaite l'éviter autant que possible car le système est en exploitation dans l'entreprise. Quand on a quelque chose qui fonctionne...

2) J'ai pas installé le système à la base, d'où le doute.

3) Je teste ça dès que possible. D'autant que ça va surement m'éclairer sur un autre point :
- Lorsque je ping une adresse IP, la requête ICMP file tout droit dans les logs du firewall.

- En revanche, si je ping un nom de machine, je ne vois rien dans les logs. La requête au DNS doit donc sortir, mais je pense que ça ne passe pas au retour et que les pings ne sont finalement pas émis; j'essaierai de vérifier ça demain à l'aide de tcpdump.


Petite question complémentaire, si j'ai réellement mis le souk dans la conf et que je réinstalle tout puis que je réimporte ma configuration, est-ce que je prends le risque de me retrouver dans la même situation ? Pour être plus clair, quand on fait une sauvegarde, est-ce une sauvegarde de paramètres IPCop ou est-ce une sauvegarde directe de fichiers de configuration Linux ?

[jdevincre]

Merci pour votre aide.

Quelques progrès :

- Je m'étais planté dans la configuration des DNS du serveur dans la zone ORANGE. Une fois corrigé, ça se passe beaucoup mieux. Les accès vers l'extérieur fonctionnent.

- Sauf le trafic ICMP sortant qui est intercepté par le Firewall. Tout les pings sortant de la DMZ échouent.

Ce n'est pas très pénalisant, ça peut rester en l'état, mais si quelqu'un a une idée de la cause, je suis preneur.