Ma DMZ n'accede pas au net !!!

par **lesyo** » 27 Mai 2003 15:10

Bonjour J'ai installé IPCOP avec le mode GREEN+ORANGE+RED, au début j'ai installé une machine sous le réseau GREEN et la aucun probleme...tout fonctionnait bien. Aujourd'hui je souhaite installé un serveur de mail dans ma DMZ et la oh surprise aucun accès au net. Ma machine (orange) est visible depuis IPCOP, depuis GREEN également. Ma machine qui est sur GREEN accède au net en prenant comme DNS et comme passerelle l'interface green de ipcop. Sur ma machine qui est en orange j'ai tout essayé comme DNS et comme passerelle: l'interface orange de ipcop, l'interface verte de ipcop. Voici mon plan d'adressage : IPCOP: GREEN: 192.168.1.1 255.255.255.0 ORANGE: 192.168.2.1 255.255.255.0 RED : adresse public Machine dans réseau GREEN : 192.168.1.2 255.255.255.0 DNS: 192.168.1.1 GW: 192.168.1.1 Machine dans réseau ORANGE : 192.168.2.2 255.255.255.0 DNS: 192.168.2.1 GW: 192.168.2.1 Comme je l'ai dis j'ai essayé de changer les valeurs en mettant celles de l'interface verte...sans résultat. Je n'ai pas touché à la config de IPCOP, c'est une version 1.3 avec les deux patchs. Mon DNS fonctionne bien... Help me please je n'y comprend rien... <IMG SRC="images/smiles/icon_confused.gif">

par **lesyo** » 27 Mai 2003 15:23

Pour l'instant je n'ai rajouté aucune règles dans la section accès à la DMZ. J'en profite pour poser une autre question : Quelle est la syntaxe du champs port de la section accès à la DMZ pour rentre une plage de port et non un port unique ? J'ai éssayé pas mal de truc du style ", ; espace [] () ..." mais sans succès. Pense tu qu'il faille ajouter une règle pour accéder au net ??? C'est quand meme bizzare que ca ne fonctionne pas d'office...le but d'une DMZ c'est quand meme d'etre visible du net et d'y accéder... Merci

par **antolien** » 27 Mai 2003 15:23

sinon il te suffit de mettre les dns de ton fai, plutôt que d'ouvrir un accès entre la dmz et le lan

par **tomtom** » 27 Mai 2003 15:28

moi j'essayerai bien : ou - pour une plage de ports... Tom

par **lesyo** » 27 Mai 2003 15:29

Problème c'est que je n'accède à rien après mon interface RED... J'arrive à pinger mon interface RED mais si je prend une autre IP, je n'obtien rien. Information supp : mon interface RED n'est pas directement branché sur le net mais est dans un réseau local d'entreprise...mais je ne pense pas que ca soit cela qui pose problème vue que à partir du réseau vert il n'y à aucun soucis. Comme DNS de IPCOP, j'ai donc donné les serveurs DNS de l'entreprise. Mais vu que je n'arrive meme pas à les atteindre à partir de l'interface orange...je ne peut donc pas les mettre comme DNS de ma machine ORANGE...

par **lesyo** » 27 Mai 2003 15:31

tomtom à dit : > moi j'essayerai bien : ou - pour une plage de ports... J'ai déja essayé les deux solution sans succès...mais merci quand meme. Yo

par **antolien** » 27 Mai 2003 15:31

en fait les plages de ports pour les accès à la dmz ne fonctionnent pas , et la syntaxe est bonne avec - ou : car dans transfert de ports ça marche. sinon, pour le cache dns je ne comprends pas pourquoi il ne fonctionne pas pour la dmz mais avec les dns du fai ça fonctionne...

par **tomtom** » 27 Mai 2003 15:52

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-27 15:31, antolien a écrit: sinon, pour le cache dns je ne comprends pas pourquoi il ne fonctionne pas pour la dmz mais avec les dns du fai ça fonctionne... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Il ne fonctionne pas car dnsmasq n'ecoute pas sur l'interface orange.... Je ne comprends absolument pas pourquoi, mais ca a été decidé comme ça... Je suppose qu'il suffit de regarder dans la conf de dnsmasq, je crois même que c'est sur la ligne de commande de lancement que l'on specifie les interfaces... Il faut regarder dans les scripts de lancement.... Thomas

par **lesyo** » 27 Mai 2003 15:59

en réponse à: Il ne fonctionne pas car dnsmasq n'ecoute pas sur l'interface orange.... J'ai vérifié et dnsmasq écoute bien sur l'interface orange tout comme sur la verte...vu que je n'arrive rien à atteindre (ping) en dehors des 3 interfaces de mon ipcop je pense que ca vien de la passerelle. Car le probleme ne vien pas de la résolution de nom vu que meme avec des adresses IP je ne peut rien pinger... qu'avez vous mis comme passerelle sur les machines de votre réseau orange ???

par **antolien** » 27 Mai 2003 16:07

ne t'embète pas avec dnsmasq. tu configure le serveur en dmz avec comme passerelle l'@ip de l'interface orange d'ipcop. puis en dns tu met les adresses de ton fai (ceux que tu as mis lors de l'install d'ipcop) ça fait 3 fois que je le répète, essayes et ça va marcher;

par **lesyo** » 27 Mai 2003 17:11

C'est bon ca marche... Vu que je ne connai pas l'@ du dns de mon FAI et que je suis branché sur un réseau d'entreprise, j'ai mis comme DNS l'@ du DNS de l'entreprise et la ca marche...je ne comprend pas pourquoi parce ma machine ne pouvait pas pinger cette adresse mais bon bref ca marche... donc merci antolien... Par contre il y à autre chose que je ne comprend pas...avec cette config je n'accède pas à mon poste qui est dans la DMZ par ping et je ne peut rien pinger a partir de celui ci...la résolution de nom marche nickel mais je n'ai aucune réponse du ping alors que ca fonctionne à partire de la machine qui est dans green. On dirai que la machine qui est dans orange est mieux protégé que celle qui est dans vert !!! Bizarre !!! Puije avoir votre avis sur la question ??? Merci Yo

par **tomtom** » 27 Mai 2003 17:30

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-27 17:11, lesyo a écrit: C'est bon ca marche... Vu que je ne connai pas l'@ du dns de mon FAI et que je suis branché sur un réseau d'entreprise, j'ai mis comme DNS l'@ du DNS de l'entreprise et la ca marche...je ne comprend pas pourquoi parce ma machine ne pouvait pas pinger cette adresse mais bon bref ca marche... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Si il ne repond pas au ping c'est probablement parcequ'il n'est pas configuré pour ça... Ce qui est assez logique pour un serveur, bien que ce soit parfois emm** Encore une preuve que le dnsmasq ne resoud pas pour le orange.. Je me pencherai la desus un jour... <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> donc merci antolien... Par contre il y à autre chose que je ne comprend pas...avec cette config je n'accède pas à mon poste qui est dans la DMZ par ping et je ne peut rien pinger a partir de celui ci...la résolution de nom marche nickel mais je n'ai aucune réponse du ping alors que ca fonctionne à partire de la machine qui est dans green. On dirai que la machine qui est dans orange est mieux protégé que celle qui est dans vert !!! Bizarre !!! Puije avoir votre avis sur la question ??? Merci Yo </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> wow.. On ne s'enerve pas.... Sache que le ping n'est pas l'outil ultime pour savoir si on a ou pas la connexion... De nombreux firewall/serveurs bloquent les ping et autres icmp. Ensuite, essaye d'explique plus clairement ce qu etu veux pinger, spuis ou etc. Normalement la config est la suivante : lan -> red tout passe lan -> orange aussi orange -> red je ne sais pas trop, je pesne que ca ne doit pas forcement passer par defaut orange -> green ca ne passe pas par defaut. red -> green bien sur rien ne passe red -> orange suivant les ports forwardes... en clair, d'une machine orange tu pourras pinguer : l'adresse orange d'ipcop. eventuellement des ip dans le red d'une machine green tu dois tout pouvoir pinguer si le icmp n'est pas bloqué d'une machine du red tu ne devrais rien pinguer du tout. Si tu as d'autres questions essaye d'être precis STP <IMG SRC="images/smiles/icon_smile.gif"> Thomas

par **antolien** » 27 Mai 2003 17:50

pour le dnsmasq, j'arrive pas à le trouver dans les fichiers de config. juste un /usr/local/bin/dnsmasq qui contient des truc incompréhensibles (crypté) pas vu non plus de dnsmasq_interface... <IMG SRC="images/smiles/icon_bawling.gif">

par **lesyo** » 27 Mai 2003 17:50

en réponse à : Sache que le ping n'est pas l'outil ultime pour savoir si on a ou pas la connexion... tu as raison...je n'ai pas de réponse mais tout fonctionne correctement. Par contre vu que c'est une machine de test qui est relativement bien protégé vu qu'elle est déja dans un lan d'entreprise est ce que j'ai la possibilité d'autoriser les requetes ICMP sur mon réseau orange sachant qu'elle passe sur le vert... Je n'ai vu aucun chapitre traitant de ca sur l'interface web de ipcop...faut il y allé à l'ancienne cad à la main si oui à quel endroit parce que je suis en débutant linux. Merci Yo

par **tomtom** » 27 Mai 2003 17:56

Cheche dans les forums, il y a deja de nombreux posts qui parlent de ça ! En plus, il me semble que par defaut le ping fonctionne sur le orange.... Est-ce que ce ne serait pas ton serveur en orange qui bloque ? C'est quoi comme serveur ? Thomas _________________ "Ce n'est pas parce qu'un problème n'a pas été résolu qu'il est impossible à résoudre" A. Christie

Ma DMZ n'accede pas au net !!!

Qui est en ligne ?