Pb Transfert Port SSH vers GREEN

par **NeoKoD** » 18 Mai 2003 15:11

Bonjour, J'ai beau chercher sur le forum et regarder la FAQ et la Doc je n'ai pas trouvé reponse à mon probleme. J'aimerais transferer le port 22 du FW vers une machine de mon GREEN ( port 22 également ). Je suis sous IPCop 1.3 ( + les 2 fix ) J'ai mis dans transfert de port : TCP DEFAULT IP : 22(SSH) 10.0.0.4 : 22(SSH) J'ai pas très bien compris l'utilité de "accès aux services externes" mais j'ai tenté de faire : TCP 10.0.0.4 DEFAULT IP 22 mais aussi TCP Tout DEFAULT IP 22 J'ai tenter de redemarrer, de tester différentes configuration, j'ai aussi éssayer de mettre le port 2222 au lieu de 22 sur le FW mais impossible, a chaque fois je ne peux pas me connecter de l'exterieur vers le port 22 ( ou 2222 ). Que faut-il faire d'autre ? Merci

par **micj** » 18 Mai 2003 18:37

Si tu veux accéder au shell de ton firewall, ce n'est pas le port 22 ni le port 2222 mais le port 222 que tu dois utiliser et il ne faut rien changer pour cela à la configuration standard (juste activer le ssh dans l'interface web)

par **NeoKoD** » 18 Mai 2003 19:24

Re, J'ai du mal m'exprimer, j e ne veux pas faire du SSH sur le Firewall ( ce qui marche bien d'ailleurs ) mais faire un SSH sur une machine de mon GREEN de l'exterieur. mon FW IPCop : 10.0.0.1 la machine du GREEN : 10.0.0.4 Sur la machine du GREEN un server SSH tourne ( port 22 ). Je voudrais du travail accéder a cette machine via le transfert de port. Hors je n'y arrive pas <IMG SRC="images/smiles/icon_frown.gif"> J'ai tenté de faire un transfert de port (22 ou 2222) sur le Firewall IPcop qui devrais rerouté vers la machine 10.0.0.4:22 mais rien n'y fait .. Peut-être faut il une configuration supplémentaire dans "accès aux services externes" ? Mais je pensais que cette page permettait d'activer les services GREEN -> Extérieur et non l'inverse. J'ai beau faire comme dans la documentation, et j'ai également regarder sur le forum mais ca ne marche pas <IMG SRC="images/smiles/icon_frown.gif"> Question subsidiaire : Quand je fais un Transfert de Port, suis-je obliger de rédémarrer la machine entierement ou le bouton "redemarrer (le service)" suffit ? en l'occurence j'fait un vrai reboot a chaque fois pour etre sur..

par **seb57** » 18 Mai 2003 19:34

juste pour la question subsidiaire: non pas besoin de "vrai reboot" juste démarrer le service et c'est opérationnel <IMG SRC="images/smiles/icon_smile.gif">

par **micj** » 18 Mai 2003 20:45

Est-ce que ton sshd est correctement configuré sur ta machine interne pour autoriser les connexions provenant d'un serveur remote?

par **NeoKoD** » 18 Mai 2003 21:39

J'arrive de n'importe quel machine de mon GREEN a faire ma connexion SSH sur la machine 10.0.0.4 (port 22). Pour ce qui est du bouton redémarrage dans l'interface "transfert de port", j'ai l'impression qu'il ne se passe vraiment rien quand je clic dessus, soit le submit et reload de la page est très rapide soit ca bug <IMG SRC="images/smiles/icon_smile.gif"> Pour info, quand j'essaye de faire le transfert via le port 22 ( ou meme sur le port 2222 ) un nmap sur mon IPCop n'affiche pas le port 22(ni 2222) mais uniquement les ports 80, 81, 222, 445 et 800(?!) Faut-il faire des manips particulière dans "accès aux services externes" pour faire du forwarding ? J'ai tenté diverses configuration : TCP Tout DEFAULT IP 22 TCP Tout DEFAULT IP 2222 TCP 10.0.0.4 DEFAULT IP 22 TCP 10.0.0.4 DEFAULT IP 2222 J'ai redemarrer la machine pour être certains que les changements est été pris mais toujours pas de port 22 ou 2222 avec un nmap <IMG SRC="images/smiles/icon_frown.gif"> Pourtant dans la doc, ils disent juste d'ajouter dans transfert de port le port IPCop source (22 ou 2222) et ma machine/port distant ( 10.0.0.4:22 ) en prenant soin d'activer ceci ( déjà coché par défaut ). Bien entendu j'ai laisser le champ Où est le problème ? Est-ce moi ou la distrib qui a un probleme ( ce qui m'étonnerais ) ?

par **micj** » 18 Mai 2003 23:35

As-tu quelque chose dans les logs d'IPCop au moment de tes essais de connexion depuis une machine remote vers ton ssh?

par **ONC** » 19 Mai 2003 13:19

Question con mais qui m'est déjà arrivé : ta machine SSH a-t-elle bien l'adresse IP d'IPCop en passerelle par défaut et serveur DNS ? Autrement dit, peux tu accéder à internet depuis cette machine ? C'est con, mais on y pense pas toujours <IMG SRC="images/smiles/icon_smile.gif">

par **NeoKoD** » 19 Mai 2003 14:00

Bonjour, Alors là je ne comprend plus rien ... A ma grande surprise en tentant ce midi de me connecter sur la machine depuis mon poste du travail ca marche très bien ! Je faisais les tests ce week end de chez moi, hors apparement quand je suis dans le GREEN si je tente de faire une connexion SSH vers mon IP externe (ppp0) ca reste continuellement dans les choux jusqu'a un timeout.. Bref ca marche de l'exterieur mais pas de l'intérieur.. Je me demande donc pourquoi et comment faire pour que ca marche aussi de l'intérieur de mon GREEN ? A savoir de mon GREEN, le nmap n'affiche pas du tout de port 22 ouvert Mais de mon travail nmap le vois ouvert ( après 1053.473 secondes d'attente ) PS: Il y a apparement un bug avec ce forum, en tentant de répondre avec la saisie login/pass il me disais a chaque fois que le pass été faux. J'ai du me logguer d'abord pour ensuite pouvoir répondre ici.

par **mad_dog** » 19 Mai 2003 14:53

j'ai le meme problème ... aolors as tu utilisé le port 22 ou 2222 ??

par **ONC** » 19 Mai 2003 15:06

En effet. IPCop a toujours fonctionné comme ca. On ne peut y acceder avec son adresse internet depuis la zone verte. (interface rouge inaccessible depuis interface verte) Ce qui fait que pour tester les serveurs web etc, ben faut le faire de l'exterieur <IMG SRC="images/smiles/icon_smile.gif"> Personnellement je me connecte par VNC soit chez moi si je suis au bureau, soit au bureau si je suis chez moi.

par **NeoKoD** » 19 Mai 2003 19:18

Bonsoir, Pour info j'ai fait mon transfert de port sur le 22 et ca transfert correctement via l'exterieur. Je ne comprend pas trop la politique d'IPCop sur le fait que l'on ne puisse accéder a sa propre IP Externe ( ppp0 ) a l'interieur du GREEN ? Merci en tout cas pour votre aide à tous <IMG SRC="images/smiles/icon_smile.gif">

par **tomtom** » 19 Mai 2003 19:27

C'est pas une politique, ça s'apelle de l'antispoofing. La règle, c'est qu'une IP non routable sur internet (celle de ton nat) qui arrive sur l'interface rouge de ta box, ça ressemble fort à quelqun qui veut se faire passer pour un poste du lan dans le but de franchir le firewall.. En tout état de cause, il fuat refuser des paquets non "conformes" aux standards sur une interface rouge ! De plus, tu ne devrais pas avoir besoin d'acceder à ton firewall par l'interface rouge ! Tom

par **NeoKoD** » 19 Mai 2003 19:32

Ok je comprend mieux la raison <IMG SRC="images/smiles/icon_smile.gif"> En effet je n'avais pas pensé au spoofing.. très bonne raison en effet Merci !

par **mad_dog** » 19 Mai 2003 22:54

J'ai toujours un pb lorsque je fais la tentative de connexion ... c ùmon putty qui se ferme tous seul .. pas de time out ... d'après vous c koi le pb ???

Pb Transfert Port SSH vers GREEN

Qui est en ligne ?