Pb acces site Web dans DMZ

par **Argenlos** » 29 Mai 2003 23:15

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-29 17:07, grosbedos a écrit: oui par exemple tu fait ecouter ton serveur web sur un autre port.. le plus simple étant de le faire ecouter sur le meme port que squid, comme sa du lan c cool, apres tu mets juste une regle qui forward le port 80 venant du RED vers l @IP du serveur avec le port squid </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Apparement le port de Squid est le 800. J'ai fait ce que GrosBedos m'a conseillé, mais bide total. Le foward du port 80 de mon @ip rouge vers le port de Squid (donc 800) sur la DMZ, avec le serveur web "écoutant" ce même port (toujours le 800). Merci a DgSe95 pour son coup de main (g bien fait un "netstat -a" avant et apres l'activation de squid pour la determination du port) Si vous avez une idée ou un conseil, je suis tout ouîe. Merci. Je cherche, et je teste d'autre soluce <IMG SRC="images/smiles/icon_rolleyes.gif"> Argenlos Bonne soirée

par **grosbedos** » 29 Mai 2003 23:40

ce n'est pas ca.. tu dois forward le port 80 venant du RED sur le 800 avec l'adress IP du serveur en dmz.. le serveur doit ecouter sur le 800... obliger ca marche

par **DgSe95** » 30 Mai 2003 00:39

content que ma soluce t'es aider un petit peu, et fait comme a dis grosbedos, ça devrai marcher

par **tomtom** » 30 Mai 2003 14:56

Attendez, on se calme.... Cours réseau + iptables, step 1. Un paquet arrive depuis internet (interface ppp0 disons). Il se frappe en premier la chaine prerouting de netfilter. Qu'est-ce qu'il voit dedans ? paquet dest port 80 redirigé vers port squid (800). ok, il le fait. Problème ! Pourquoi un paquet arrivant depuis Internet traverse le proxy ???? N'importe quoi. DU reste, heureusement, squid refuse cette connexion car l'ip source ne fait pas partie des ip autorisées à utiliser le proxy (ouf, car sinon tu avais ouvert un proxy anonyme sur Internet. Je suppose que ce n'est pas ton but.) Donc, il faut comprendre pourquoi ce paquet est forwardé vers squid.... Action corrective : 1- test : desactiver squid pour voir si ca marche sans. 2- si ca marche : corriger. Aller dans son rc.firewall.. trouver la ligne du genre iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 800 (ou un equivalent) : le -A peut etre un -I, le -j REDIRECT peut etre un -J DNAT etc...). Ajouter une condition pour ne pas faire ça pour ce qui arrive du web : remplacer la ligne precedente par un truc du genre : iptables -t nat -A PREROUTING -p tcp --dport 80 -i ! $IFACE_RED -j REDIRECT --to-port 800 ($IFACE_RED correspond à ton interface red, voir dans le rc.firewall. Ca risque d'etre ppp0 ou un eth....) 3- prevenir le dev d'ipcop que c'est bizarre de faire du redirect sur squid des paquets arrivant d'Internet. Avant de faire cette action, verifier que c'est bien le cas en demandant par exemple à d'autres utilisateurs d'IPCop d'activer le proxy et de faire des tests.... Eventuellement poster ici le resultat d'un iptables -t nat -L, ou mieux me faire parvenir ton fichier rc.firewall (dans un mp par exemple ) pour qu eje regarde un peu ce truc... Voila, tiens nous au courant <IMG SRC="images/smiles/icon_smile.gif"> Thomas

par **grosbedos** » 30 Mai 2003 16:35

lol tu m'as mal compris!!! je ne redirige pas le port 80 venant d'internet sur le port de squid!!! Je le redirige vers l'@IP du serveur web en DMZ!! il passe pas par squid.... <IMG SRC="images/smiles/icon_biggrin.gif">

par **grosbedos** » 30 Mai 2003 16:42

je peux plus verif pour rc.firewall..j'ai pu ipcop mais je pense sue tu te plante tom..

par **grosbedos** » 30 Mai 2003 16:44

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-30 16:42, grosbedos a écrit: je peux plus verif pour rc.firewall..j'ai pu ipcop </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>

par **tomtom** » 30 Mai 2003 17:26

C'est possible que je me sois complétement planté.... Ou que je n'ai rien compris au problème.. On va recapituler, Argenlos si tu peux confirmer.... Tu as IPCop en green-orange-red Tu as Squid qui est activé sur IPCop et je suppose qu'il est en transparent. Squid ecoute sur le port 800. Tu as un serveur web en dmz qui ecoute sur le port 80 (je ne vois pas pourquoi on aurait besoin de le faire ecouter ailleurs). Alors voila. Moi je sais que le fonctionnement de squid en transparent seresume à l'ajout d'une règle dans la chaine PREROUTING de la table nat et qui fait ceci : "tout paquet arrivant avec comme port destination 80, changer le port destination vers 800 (si c'est bien le port d'ecoute de squid)". Bon, comme le problème relevé par Argenlos c'est que les paquets avec port destination 80 se prennent un message d'erreur qui est typiquement généré par squid, je me dis qu'il y est passé... Et comme je ne pige pas trop pourquoi , je me dis que peut-etre la règle de PREROUTING est fausse.... voila voila... Maintenant, peut-être effectivement j'ai rien pugé au problème... Peut-etre aussi que le problème ne vient pas du tout de la.... Voila, c'etait juste une hypothèse <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_bise.gif"> <IMG SRC="images/smiles/icon_bise.gif"> <IMG SRC="images/smiles/icon_bise.gif"> Thomas

par **Argenlos** » 30 Mai 2003 18:38

Je confirme tomtom, c'est tout a fait ça. Essayant de choper, depuis internet, mon serveur dans la DMZ, je me fait jeter par Squid qui me met une connexion refusée. The following error was encountered: Connection Failed The system returned: (111) Connection refused A la desactivation de squid c'est ok, j'atteinds mon serveur en DMZ. Merci, pour les efforts que vous montrer à la résolution de mon pb. <IMG SRC="images/smiles/icon_bise.gif">

par **antolien** » 30 Mai 2003 18:43

tu avais essayé de mettre dans les exeptions de ton browser(ne pas utiliser de serveur proxy) l'adresse de ton serveur en DMZ ? parce que ce n'est pas vraiment une solution de désactiver le proxy, si ? remarque : le plus simple c'est de ne pas mettre le proxy en transparent et d'ajouter l'@ip du site en dmz dans les exeptions. il faut aussi faire attention de ne pas faire écouter ton site web sur le 81 car il est utilisé par ipcop pour l'interface web. Et aussi de bien mettre l'adresse LOCALE et non la publique (évoqué déjà car il y a l'antispoofing)

par **tomtom** » 30 Mai 2003 18:48

Ca c'est sur c'etait juste un test <IMG SRC="images/smiles/icon_smile.gif"> De plus, si le proxy est en transparent, rien à cocher pour les browsers... Et encore en plus, le problème vient des pc qui se connectent depuis internet si j'ai bien compris... DOnc, on ne peut quand même pas aller toucher à leur reglage <IMG SRC="images/smiles/icon_smile.gif"> Argenlos, peux-tu poster les lignes de ton fichier rc.firewall qui concernent squi, ? En fait, je voudrais toute la section qui parle de la chain SQUI, de la chaine PREROUTING.... Voila voila, on va essayer d'y voir plus clair... Thomas

par **Argenlos** » 30 Mai 2003 18:56

Voila, c'est bien ça? # Custom prerouting chains (for transparent proxy and port forwarding) /sbin/iptables -t nat -N SQUID /sbin/iptables -t nat -A PREROUTING -j SQUID /sbin/iptables -t nat -N PORTFW /sbin/iptables -t nat -A PREROUTING -j PORTFW <IMG SRC="images/smiles/icon_rolleyes.gif">

par **grosbedos** » 30 Mai 2003 19:02

j'ai un peu relu..c'est vrai tom tu dois etre dans le vrai.. (en fait il me semblait qu'angelos avait fait une fausse manip..mais j'ai relu est sa a l'air corretc..) par contre peut tu bien confirmer que tu ne fait pas tes essaies depuis ton LAN??

par **grosbedos** » 30 Mai 2003 19:03

oui mais il y en manque! (je parles des regles iptables..)

par **tomtom** » 30 Mai 2003 19:06

C'est vrai Argenlos, je voudrais les règles qui font iptables -t nat -j SQUID ......... La remarque de grosbedos merite egalement une attention particulière ! Les essais de l'interieur du LAN avec l'ip publique du firewall ne fonctionnent pas ! Ceci a été répété au moins 50 fois sur ce forum ! Thomas

Pb acces site Web dans DMZ

Qui est en ligne ?