Routage derrière Box ? Je sèche...

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Routage derrière Box ? Je sèche...

Messagepar ManaGeY » 26 Nov 2009 16:07

Bonjour,

Voici ma configuration (plutôt simple je l'avoue) :


Internet --- LiveBox Pro (Ip Fixe) --- IPCop --- Serveur TSE


Procédures effectuées :
---------------------------

LiveBox : 192.168.1.0/24 - 192.168.1.1
IPCop : RED = 192.168.1.252 <---> GREEN = 192.168.14.252
Serveur TSE : 192.168.14.2

1) Redirection 3389 TCP internet vers 192.168.1.252

Service // Protocole // Port externe // Port interne // Adresse IP du serveur
TSE // TCP // 3389 // 3389 // 192.168.1.252

2) Redirection 3389 TCP IPCop vers 192.168.14.2

Résultats :
------------

- Pas de trace dans les Journaux du Pare-Feu.
- En revanche, j'ai une trace dans l'onglet Connexions :
tcp (6) 105 SYN_SENT 82.229.196.193 :3114 192.168.1.252 :3389 192.168.14.2 :3389 82.229.196.193 :3114 [UNREPLIED] 1

Pouvez-vous m'orienter afin de résoudre ce problème, s'il vous plait ?

N'hésitez pas à me demander de plus amples informations si nécessaire.


Cordialement...
ManaGeY
Matelot
Matelot
 
Messages: 8
Inscrit le: 07 Août 2007 16:28

Messagepar ccnet » 26 Nov 2009 16:36

Le problème est bien que vous ne parvenez pas à accéder au TSE depuis internet ?

Si ce n'est pas fait je recommande de configurer la LiveBox en utilisant l'option DMZ (je n'ai plus le nom de l'option en tête) et de désactiver, sur la Livebox, tout filtrage.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar ManaGeY » 26 Nov 2009 16:51

Bonjour CCNet,

Effectivement, l'objectif est bien d'accéder au serveur TSE du réseau local.

J'ai déjà essayé de mettre l'IPcop en DMZ avec/sans redirection et le résultat était le même (filtrage FireWall au minimum), pas d'accès.

Un résultat positif est de placer directement un PC derrière la LiveBox est là ça fonctionne, donc chuinter l'IPCop.

Merci de ton aide CCNet.
ManaGeY
Matelot
Matelot
 
Messages: 8
Inscrit le: 07 Août 2007 16:28

Messagepar ccnet » 26 Nov 2009 19:07

Paramétrez la Livebox (Configuration - Avancée - Routeur ) et utiliser l'option "Configuration de la dmz".

Mettre l'ip RED d'ipcop comme machine dmz.
Mettez le firewall de la Livebox au minimum (en fait tout est transférer vers l'interface "dmz").

Ensuite sur ipcop vous devez créer un transfert de port de RED vers 192.168.14.2 pour le port 3389.

Cela devrait fonctionner. J'ai plusieurs fois utilisé cette configuration sans difficulté.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 26 Nov 2009 19:20

Je confirme ce qu'écrit ccnet : on oublie souvent de mettre le firewall de la Livebox à minimum quand on configure la dmz.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ManaGeY » 27 Nov 2009 15:51

Bonjour ccnet/jdh,

J'ai bien tenté cette manipulation :

Internet --- LiveBox Pro (DMZ 192.168.1.252 + FW mini) --- IPCop (Red : 192.168.1.252 <- NAT 3389 -> Green : 192.168.14.2) --- Serveur TSE (192.168.14.2)

Puis celle-ci, DMZ + NAT sur la LiveBox au cas où :

Internet --- LiveBox Pro (DMZ 192.168.1.252 + FW mini + NAT 3389) --- IPCop (Red : 192.168.1.252 <- NAT 3389 -> Green : 192.168.14.2) --- Serveur TSE (192.168.14.2)

Et j'ai toujours ce résultat de TCP SYN_SENT !!!

J'ai modifié par la suite le rc.firewall en commentant les lignes suivantes :

# New tcp packets without SYN set - could well be an obscure type of port scan
# that's not covered above, may just be a broken windows machine
# /sbin/iptables -N NEWNOTSYN
# /sbin/iptables -A NEWNOTSYN -m limit --limit 10/minute -j LOG --log-prefix "NEW not SYN? "
# /sbin/iptables -A NEWNOTSYN -j DROP
...
# NEW TCP without SYN on interface red
# /sbin/iptables -A BADTCP -i $RED_DEV -p tcp ! --syn -m state --state NEW -j NEWNOTSYN

Redémarrage et même résultat TCP SYN_SENT uniquement dans l'onglet Connexions :?

Je vous avoue que ce n'est à plus rien y comprendre, sachant que ça fonctionne très bien dans une autre architecture, càd BOX (Bridge) + IPCop en NAT !!!

Merci encore pour votre analyse. Cordialement.
ManaGeY
Matelot
Matelot
 
Messages: 8
Inscrit le: 07 Août 2007 16:28

Messagepar ccnet » 27 Nov 2009 20:51

Dans ce contexte je conseil de retirer les commentaires et de revenir à la configuration standard.
Pouvez vous vérifier que la route retour du TSE est bonne ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Franck78 » 27 Nov 2009 21:57

Pouvez vous vérifier que la route retour du TSE est bonne ?

autrement dit que IPcopGreen est la default gateway...
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar ccnet » 28 Nov 2009 13:55

C'est en effet plus clairement dit ainsi.
Utilisez vous BOT sur Ipcop ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité