Problème DMZ. RED -> ORANGE

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Problème DMZ. RED -> ORANGE

Messagepar netik » 24 Mai 2011 16:52

Bonsoir,

Je viens vers vous car je suis bloquer sur un problème de paramétrage dans IpCOP, je m'explique:
Tout d'abord voici mes réseaux:
-green -> 200.0.0.254/24 avec le DHCP de x.x.0.10 à x.x.0.20 (1 machine connecté)
-orange -> 200.0.1.254/24 avec un serveur web en 200.0.1.1
-rouge -> 10.0.0.254/24 (simulation d'internet, avec un poste)

Alors voila, je pense que cela provient d'un problème DNS.
Je n'arrive pas a accèdé a mon serveur web (dmz) depuis l'internet (rouge) même après avoir tester l'ouveerture des port 80 un peu partout (durant les test)
Le DNS est-il obligatoire ?Comment faire pour simuler une situation pratique sans internet?

Merci de vos réponse
netik
Matelot
Matelot
 
Messages: 5
Inscrit le: 24 Mai 2011 16:43

Re: Problème DMZ. RED -> ORANGE

Messagepar jdh » 24 Mai 2011 17:34

Quelques remarques :

- L'adressage choisi ne vous dérange pas ?
NB : il n'est pas conforme à RFC1918 et le filtrage par défaut ne l'accepte peut-être pas ...

- Le DNS est utile mais pas nécessaire
On observe qu'avec un serveur web ou même simplement un Linux sans DNS, il s'écoule de 30" à 1' lors du premier accès car le serveur essaye une résolution reverse pour l'indiquer dans le log !

- config d'une machine en Orange (avec Ipcop)
Le DNS est à indiquer et ce ne peut pas être Ipcop.

- Un serveur web en Orange
A-t-il été testé en direct (=dans le même réseau) ?
Etes vous sur du port forward défini ?
Que se passe-t-il en regardant tcpdump (interface par interface) ?


Sans DNS, on rempli les tables hosts !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Problème DMZ. RED -> ORANGE

Messagepar netik » 24 Mai 2011 17:40

Merci.

Pour l'adresse choisi, il n'y a pas de problème car cette maquette n'ira pas sur internet. (présentation lors d'un examen)

- config d'une machine en Orange (SRV Web)
Le DNS actuelle est l'interface d'ipcop 200.0.1.254.

- Un serveur web en Orange
Oui le serveur est fonctionnelle est et accèsible du réseau Vert (200.0.0.0) avec le port 80
Les requetes reste bloquer sur 10.0.0.254 et accède pas aux réseau orange DMZ

la table hosts doit t-elle est rempli sur IpCOP et sur mon serveur WEB (fedorra)?

Merci
netik
Matelot
Matelot
 
Messages: 5
Inscrit le: 24 Mai 2011 16:43

Re: Problème DMZ. RED -> ORANGE

Messagepar jdh » 24 Mai 2011 23:07

Quelques remarques :

- pour un examen, l'orthographe entre en ligne de compte sur l'impression générale, idem pour un recrutement (et sanction immédiate),

- si pour une maquette, vous ne respectez pas la rfc1918, cela ne passera pas !

- "Le DNS actuelle est l'interface d'ipcop 200.0.1.254." Et ce que j'écris (je ne fais que copier le newbie-kit et c'est dans une centaine de fils) ?

- "Etes vous sur du port forward défini ? Que se passe-t-il en regardant tcpdump (interface par interface) ? " Je pose 3 questions et il n'y a réponse qu'à la première !


J'ai donné des pistes, explorez les ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Problème DMZ. RED -> ORANGE

Messagepar ccnet » 24 Mai 2011 23:27

Une maquette dites vous ... Pourquoi fait on une maquette ? Pour tester un système, une configuration avant sa mise en production ou simplement pour prouver le bon fonctionnement du système en question.
Dès lors comment peut on faire l'impasse sur une question comme l'adressage ? Sur certains firewalls, compte tenu de certains paramètres par défaut, le passage d'un adressage publique à un adressage privée est suffisant pour induire de nombreux biais de configuration et des problèmes lors du passage en production. Du coup la maquette ne valide plus rien. Ce n'est pas le but recherché.
Pour l'orthographe, même si ce n'est pas la matière de l'examen, il est certain qu'avec une telle densité de fautes l'appréciation finale va s'en ressentir. Pour une candidature c'est classement vertical direct en ce qui me concerne.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Problème DMZ. RED -> ORANGE

Messagepar netik » 25 Mai 2011 10:25

Bonjour,

Tout d'abord, veuillez m'excuser pour l'orthographe. Vous avez raison pour l'adressage ip.
j'ai donc changé l'interface rouge en 200.0.3.0/24.
Pour les redirections de port, je ne sais plus comment procéder, quand j'autorise les adresses du réseau 200.0.3.0/24 a accédé au réseau 200.0.1.0 par le port 80, cela ne fonctionne pas...
Dans les logs, je vois bien la demande du poste (réseau orange) représentant internet 200.0.3.1 à accédé au serveur Web 200.0.1.1 par le port 80, mais cela ne passe pas.
J'ai aussi enlevé l'adresse dns sur mon serveur web.
Mes tables hosts sont correctes.
Pour la maquette, cela est pour une PTI (travaux pratiques d'informatique), je doit créer une situation d'entreprise.

Excuser moi, je débute dans l'utilisation d'IPCOP
netik
Matelot
Matelot
 
Messages: 5
Inscrit le: 24 Mai 2011 16:43

Re: Problème DMZ. RED -> ORANGE

Messagepar netik » 25 Mai 2011 10:47

Voici le fichier de logs :
Image

Puis ma redirection de port:
Image
netik
Matelot
Matelot
 
Messages: 5
Inscrit le: 24 Mai 2011 16:43

Re: Problème DMZ. RED -> ORANGE

Messagepar ccnet » 25 Mai 2011 11:41

j'ai donc changé l'interface rouge en 200.0.3.0/24.

C'est une adresse réseau (broacast) et non d'interface. 200.0.3.1/24 par exemple serait correct.

Dans les logs, je vois bien la demande du poste (réseau orange) représentant internet 200.0.3.1 à accédé au serveur Web 200.0.1.1 par le port 80, mais cela ne passe pas.

Relisez la documentation pour bien comprendre comment cela est conçu dans Ipcop. Il faut corriger votre transfert de port en conséquence.

En général le transfert de port est effectué entre une machine située sur internet donc arrivant par l'interface RED et c'est l'ip de celle ci que l'on transfert vers le serveur interne, le plus souvent en dmz (ORANGE).

Pour la maquette, [...] je doit créer une situation d'entreprise.

Raison de plus pour respecter les standards, les normes et les bonnes pratiques.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Problème DMZ. RED -> ORANGE

Messagepar netik » 25 Mai 2011 12:29

Merci pour vos réponses

Pour l'interface rouge, l'adresse est 200.0.3.254 du réseau 200.0.3.0, ceci est une faute de frappe.
Je me demande après avoir lu plusieurs documentations sur mon problème si cela ne pourrait pas venir de l'anti-spoofing ?
Etant donnée que j'utilise que des adresses local.
Si oui, comment couper ce service ?
netik
Matelot
Matelot
 
Messages: 5
Inscrit le: 24 Mai 2011 16:43

Re: Problème DMZ. RED -> ORANGE

Messagepar trollineto » 25 Mai 2011 16:09

netik a écrit:Puis ma redirection de port:
Image


Ce n'est pas correct : dans une situation simple, il faut (par exemple) rediriger le port 80 externe d'IPCop vers le port 80 du serveur visé. De cette manière, on renvoie les requêtes sur le port externe d'IPCop vers le bon serveur.
(Ipcop-red-est-implicite):80 --> serveur-sur-orange:80

Sinon, utiliser les adresses privées ne me semble pas un luxe ! Un peu de doc ? http://fr.wikipedia.org/wiki/R%C3%A9seau_priv%C3%A9 ou http://fr.wikipedia.org/wiki/Adresse_IP
trollineto
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 23 Nov 2007 13:35

Re: Problème DMZ. RED -> ORANGE

Messagepar ccnet » 25 Mai 2011 17:27

Au risque de me répéter :
Relisez la documentation pour bien comprendre comment cela est conçu dans Ipcop. Il faut corriger votre transfert de port en conséquence.

Il faut aussi que l'exercice reste formateur, raison pour laquelle je ne donne pas la réponse "toute cuite", prête à consommer.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron