Rajout de routes sur IPCOP : est-ce logique ?

[louis-g]

Bonjour,

je me présente, je suis actuellement en formation TSGERI à l'afpa
je souhaiterai avoir votre avis sur un point concernant ipcop

voici ci dessous, un réseau, réalisé avec l'outil de virtualisation VMware Server Console 1.0.3



voici les règles que j'ai rajouté pour le transfert de port et l'accès à la DMZ
redirection des requêtes entrantes sur 192.168.10.101:80 vers le serveur Web 192.168.2.1:80

redirection vers le serveur de la base de données MySQL 192.168.5.5:3306
des requêtes provenant du serveur web 192.168.2.1


cela me permet d'accéder avec mon client XP "en dur" 192.168.10.105 (hors VMware)
à la base de données MySQL, résidant sur la machine : lgidesk1 192.168.5.5 (réseau privé VERT)
en me connectant via l'interface ROUGE d'ipecop 192.168.10.101
à PhpMyAdmin qui est installé sur le Serveur Web IIS 6.0 : lgiserv2003 192.168.2.1 (DMZ ORANGE)



j'ai pour celà : (tout est noté sur le schéma)
rajouté 2 routes à IPCOP
rajouté 2 regles iptables sur le routeur pour masquer les adresses IP privées
rajouté les routes par défaut sur le routeur et ipcop
activé l'IP Forwarding sur le routeur et ipcop

tout fonctionne,

mais je me pose cependant la question, à savoir, si celà est "logique" ? et "sécurisé" ?
de rajouter des routes à ipcop, ?
de rediriger tout ce qui sort du serveur web 192.168.2.1 vers 192.168.5.5:3306 ?
j'ajoute que le fichier config.inc.php de phpmyadmin est configuré pour pointer sur
le serveur de base de données 192.168.5.5 :
$cfg['Servers'][$i]['host'] = '192.168.5.5';

voilà,
j'espère avoir été assez clair et concis pour mon 1er message sur votre forum
si toutefois vous pouvez me donner votre avis ?

merci
lgi

PS : j'ai cherché en supprimant les routes sur ipcop et en remplaçant la règle d'accès à la DMZ
par une règle de transfert de ports 192.168.2.1:3306 --> 192.168.3.254:3306
en ne modifiant pas le config.inc.php de phpmyadmin
pour que le routeur ait bien l'adresse de destination 192.168.5.5
mais lorsque que j'essaie de me connecter, phpmyadmin m'indique que le serveur ne répond pas.
la commande tcpdump / 192.168.5.5 & 192.168.3.254 me donne aucune information ...

[jdh]

Tout d'abord, bravo pour le schéma qui expose clairement les zones, les éléments !
J'apprécie particulièrement les notations "vmnetX" puisqu'on est dans la virtualisation sous VMware !
Pour un 1er post, il est du point de vue de la description, assez bon !
Il manque de parfaitement comprendre l'objectif ...


La machine "au centre" dite "routeur dhcp relay" effectue, par script au démarrage, les instructions

iptables -t nat -A POSTROUTING -s 192.168.X.0/24 -j MASQUERADE (avec X=0 et 5 pour chaque réseau connecté)

Cela revient à donc masquer au niveau d'ipcop l'adresse ip source réelle (en la remplaçant par l'ip externe de ce routeur). Au yeux de l'ipcop, le trafic est issu de CETTE machine. Point.

Il n'y a donc pas lieu de
- ajouter dans ipcop une route vers les réseaux 192.168.X.0 (puisqu'ils sont masqués),
- créer un renvoi de ports vers une machine de CES réseaux (puisqu'inaccessibles puisque pas de route parce que pas possible).

J'ai du mal à comprendre que ces routes puissent fonctionner ...

Et si la masquerade est confirmée, le "routeur dhcp relay" devient plutôt un routeur NAT.
Un tel routeur NAT doit (devrait ?), comme ipcop, assurer les renvois de ports nécessaire (MySQl=tcp/3306 vers serveur MySQL) par "iptables ... -j DNAT --to-destination ...".

"règle de transfert de ports 192.168.2.1:3306 --> 192.168.3.254:3306" : NON ! le serveur en dmz peut accéder au "routeur dchp relay" à partir d'une règle BOT par exemple ET le routeur "dhcp relay" doit faire du DNAT cf au dessus.


Mais, à l'instant j'entends "routeur dhcp relay" et un doute m'assaille !
Le dhcp fournit par ce "routeur dhcp relay" ne devrait pas être "relay" du serveur dhcp d'ipcop.
Mais, bien être serveur dhcp autonome !

[Franck78]

Hello,
bien le schéma. Il y en a qui devraient s'en inspirer (G-YutZ).

Pour mettre 1 dans ip_forward de IPCop quand c'est déjà à 1.....?

Les routes, oui c'est normal de les ajouter à la main. Il n'y a ni rip ni ospf ni quoique ce soit d'autre dans IPCop pour qu'il apprenne la topo réseau. C'est un firewall fait pour UN réseau GREEN/ORAGE/BLUE.

Mais ce n'est pas interdit. Cependant, il faut tout vérifier. Le principal piège étant que IPCop vérifiant souvent qui fait quoi d'ou ca vient et ou ca va, il pourrait jeter les 'réseaux green inconnus' (c'est pas les route --add qui changeront les vérifs).

Pour ca il faut qu'IPCop pense que les 192.168.{5,2,3,xxx}.0/24 ne sont qu'un seul et même réseau.

Par exemple en disant que sur et derrière green, les numéros réseau sont 192.168.128+{5,2,3}.0 / 17
(255.255.128.0). Il faudra encore trifouiller la table de routage pour placer les routes /24 devant la /17

Bon, faut adapter, vérifier ce que je dit car il est tard

il n'y a pas besoin de NAT sur le routeur interne.


bye

[jdh]

@franck78 ;

Tu m'as parfaitement compris sur le schéma : G-YutZ, comme d'autres, se faciliterait bien leur job, et nous par la même occasion, s'il commençait par faire ce type de schéma, c'est tout à fait clair ! Faire un tel schéma est le témoignage d'une bonne réflexion, d'une bonne préparation ...


J'aime bien ta façon d'analyser ce schéma ... car c'est exactement l'opposé de la mienne !

Tu penses qu'il faut regrouper tous les réseaux en un seul réseau Green (plus grand) (parce que, et tu le rappelles à juste titre, ipcop est prévu pour UN réseau Green).

Moi, j'ai pensé réduire le réseau au plus simple, c'est à dire réduit au seul "routeur dhcp relay".
J'ai pensé cela pour 2 raisons :
- l'adressage ip qui correspond,
- les instructions de masquerade qui masquent les réseaux, et qui sont bien caractéristiques d'un routeur NAT.

C'est donc diamétralement opposé à mon analyse. Et c'est bien d'apporter 2 réponses différentes, et donc complémentaires, à louis-g.

La différence correspondra à la juste configuration du "router dhcp relay"
- avec franck78, ce routeur doit être juste un routeur : une ip sur chaque patte, ip_forward à 1, une route par défaut vers Green, et pas du tout de masquerade,
- avec moi, ce routeur doit être un "full" routeur NAT : une ip sur chaque patte, ip_forward à 1, une route par défaut vers Green, et une masquerade fonctionnelle, plus le DNAT pour le serveur mysql.

A choisir pour louis-g ...

[louis-g]

Merci pour vos réponses

@ Franck78
"Pourquoi mettre 1 dans ip_forward de IPCop quand c'est déjà à 1.....?"
évidement ..... la prochaine fois je vérifierais mieux ce que j'écris ....

voici, donc les modifications que j'ai apporté à mon réseau

l'adresse du serveur de base de données visible dans l'interface de PhpMyAdmin est désormais :
192.168.3.254, soit l'interface eth2 du Routeur DHCP Relay
et non plus 192.168.5.5 comme dans mon 1er post


j'ai en fait "mixé" vos conseils :

ROUTEUR :
il est désormais sans règle de masquage comme le propose Franck78
et il fait du DNAT pour le serveur MySQL comme le propose jdh

# Iptables -t nat -A PREROUTING -s 192.168.2.1 -dst 192.168.3.254 -p tcp --dport 3306 -j DNAT --to-destination 192.168.5.5:3306

Nota :j'ai donc aussi remplacé l'adresse 192.168.5.5 par 192.168.3.254 dans le fichier config.inc.php de PhpMyAdmin

IPCOP :
Masquage du réseau 192.168.3.0/24
# iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j MASQUERADE

Acceptation du "Forwarding" des paquets provenant du serveur Web port 3306 (MySQL)
# iptables -t filter -A FORWARD -s 192.168.2.1 -p tcp –-dport 3306 -j ACCEPT

j'ai gardé les routes vers les réseaux : 192.168.0.0/24 & 192.168.5.0/24
( !! elles servent uniquement à obtenir le net pour ces réseaux !! )

pour finir, j'ai supprimé dans l'interface graphique d'Ipecop la règle d'accès à la DMZ citée dans mon 1er post

voilà, cette méthode fonctionne aussi,
qu'en pensez-vous ?

et encore merci pour vos conseils et pour ce forum ixus.fr
où j'ai déjà pu recueillir de précieuses informations ...

lgi

ps : d'ailleurs, étant à la recherche d'un stage en entreprise pour début avril 2010 (8 semaines)
je vais aller faire un tour dans la rubrique : Emploi et stages

[jdh]

C'est à dire que nos deux analyses (à Franck78 et à moi) sont diamétralement opposées :

- nous posons comme principe : s'en tenir aux jeux de couleurs d'ipcop,
- franck avec un réseau Green agrandi et un routeur simple + qq routes,
- moi avec le réseau Green rikiki et un routeur nat total (une sorte d'ipcop bis).

L'intérêt est de vous proposer 2 directions d'améliorations mais Nord-Sud !

(Et ce n'est pas un problème puisque nous nous apprécions l'un l'autre, chacun avec le respect de l'expertise de l'autre, et pour moi le très normal respect du développeur !).

Il faut donc noter que Franck78 est un développeur d'ipcop (il y a participé - regardez le site ...), tandis que moi, je suis assez ignorant d'ipcop. (Ce qui ne veut pas dire que c'est "tout de suite vu" !)


Il serait curieux que le DNAT au niveau du routeur central puisse fonctionner sans une masquerade pour les paquets retour !

Je pense que dans votre cadre d'évaluation, il serait judicieux d'expérimenter l'un et l'autre des solutions, ce qui serait un bon retour vers les professeurs ... (thèse - antithèse - synthèse)

[louis-g]

sans DNAT sur le routeur
et en pointant directement 192.168.5.5 dans le fichier config.inc.php de PhpMyAdmin
çà marche, mais la route vers 192.168.5.0/24 dans ipecop est necessaire.

[Franck78]

je me présente, je suis actuellement en formation TSGERI à l'afpa

prof ou élève?

j'espère avoir été assez clair et concis pour mon 1er message sur votre forum

pas tout à fait en fait

Il y avait un existant, une évolution je suppose puis cette situation pour laquelle tu demandes conseil. Donc pourquoi maintenant?

On te lisant, j'ai l'impression que tu es l'administrateur (ou l'auteur) de toute cette installation, d'ou la première question...

[louis-g]

je suis stagiaire
en fait je me rend compte, qu'il y a plusieurs moyens d'arriver au résultat escompté :

- accéder à une base de données MySQL depuis un poste client externe
- cet accès devant se faire grâce une application (PhpMyAdmin) installé sur un serveur Web (en DMZ, accessible depuis l'extérieur)
- qui lui même accède à une base de données situé dans un réseau privé pour qu'elle ne soit pas accessible de l'extérieure (sécurité)

ensuite je me pose la question :
quelle est la solution la plus
- sécurisée
- logique (au niveau conception du réseau et de ses règles à mettre en place)
- optimisée (traffic, "légèreté du code" ? + il y a d'infos à lire dans des fichiers de configurations plus on risque de ralentir l'execution du code ? non ?)

PS : j'ai effectivement monté toutes ces machines sous vmware afin d'avoir un réseau opérationnel pour mes différents TP.
pour les postes clients sous vmware, je n'en ai que 2
1 pour tester l'adressage en ip fixe avec le serveur dhcp
1 en adressage dynamique que je change de vmnet (2 ou 3) pour tester le bon fonctionnement du dhcp avec le routeur "relay"
pour l'accès à la base de données, je me sers de mon poste client windows xp pro "en dur" dont l'ip est 192.168.10.105

[Franck78]

je suis stagiaire

Tu as l'air d'avoir un niveau élevé par rapport à ceux qui passent par ici exposer leurs problèmes de stagiaire....
Tant mieux pour toi

[jdh]

C'est à dire que quand on commence à se poser les bonnes questions, qu'on fait correctement un schéma, qu'on progresse pas à pas, on peut mettre moins de temps à résoudre un problème.

[tomtom]

Bonjour,

Juste pour répondre à cette question :

ensuite je me pose la question :
quelle est la solution la plus
- sécurisée
- logique (au niveau conception du réseau et de ses règles à mettre en place)
- optimisée (traffic, "légèreté du code" ? + il y a d'infos à lire dans des fichiers de configurations plus on risque de ralentir l'execution du code ? non ?)

-Logique: Ca se vaut, à vrai dire ça dépendrait plutot des règles d"internes" de cloisonnement que l'on ne connait pas (ne ne sait pas si 192.168.0.0/24 soit parler avec 192.168.5.0/24)
- Optimisée : Ca se vaut, sauf pour la performance eventuelle au niveau du routeur si il doit gérer un grand nombre de NATs

- Sécurisée :
Là, il faut se poser les bonnes questions....
"Empecher" les acces directs de l'extérieur vers la BDD, c'est bien... Mais....

Le point faible de to onfra; c'est clairement le serveur web !
IIS est régulièrement bourré de failles, et PHPmyAdmin aussi...
DOnc l'attaque la plsu simple pour un eventuel intrus, ce sera exploiter une faille quelconque sur IIS, prendre la main et compromettre la machine de la DMZ, et de là il peut attaquer ta base de données (et en plus il peut essayer de récuérer les mots de passe par exemple)

Poure renforcer la seurité, il faut que tu trouves un moyen de pousser des informations de la BDD vers la DMZ (une réplique "publique" par exemple.

Après, si le but est d'offrir un accès à la BDD depis l'exterieur, ben il n'y a pas grand chose de mieux faire, la faille restera résiduelle....


A+

t.

[louis-g]

Bonjour,
veuillez m'excuser si je repond un tard sur ce fil de discussion
depuis mon dernier post, nous avons du avancer sur LDAP (OpenLDAP) & Windows Server 2003 (AD, ISA ...)

après réflexion et en m'informant auprès de mes formateurs,
modification dans la DMZ (cf post tomtom) :
- remplacement de IIS par Apache
- suppression de PhpMyAdmin, il ne servira, éventuellement qu'en interne sur le réseau vert
- si il doit y avoir une administration de la bdd MySQL depuis l'exterieur cela devra se faire via une connexion sécurisée ssh & un VPN ?
- Réplique éventuelle de base de données MySQL si il est necessaire qu'elle soit accessible depuis l'exterieure par une (des) applications(s) afin de ne pas risquer de corrompre les données sources stockées en interne.

n'ayant pas encore abordé le cas du VPN :
- cela va-t-il me permettre d'annuler les routes sur ipecop ?
- et est-ce que je vais devoir modifier le forwarding du port 3306 MySQL ?
(-s 192.168.10.101 ou192.168.3.253 au lieu de -s 192.168.2.1)
- ou gérer l'accès à la bdd avec une regle de type DNAT ?
(--to-destination 192.168.5.5 : serveur hebergeant la bdd)
en me relisant, je devrait garder ma route 192.168.5.0 --> 192.168.3.254
ou "dnater" 2x, 1x vers 192.168.3.254 et 1x (à partir du routeur DHCP Relais) vers 192.168.5.5
"dnater" 2x me parait pas très logique .... de toute façon (cf post jdh/franck78: soit routeur simple soit routeur full nat)
il faut que je trouve du temps pour étudier les VPN,
par contre si toutefois vous avez quelques pistes ?

encore merci pour vos avis

[ccnet]

- si il doit y avoir une administration de la bdd MySQL depuis l'exterieur cela devra se faire via une connexion sécurisée ssh & un VPN ?

VPN.

Désolé pour les autres questions mais je n'ai pas le fil en tête et je n'ai pas beaucoup de temps.

Comme conseillé pat Tomtom : cloisonnez un maximum. C'est essentiel, il faut limiter au maximum les possibilités de rebond depuis une machine corrompue. Ipcop est un peu juste dans ce cas de figure.