Ipcop + fast 800 + 2 carte reseau

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar tonyjub » 01 Juin 2003 17:32

Bonjour tt le monde , je tiens d'abord a remercier tous les membres de ce forum , son webmaster et a Gesp pour le travail apporté a Ipcop et à son support récent du Fast800 . <BR> <BR> Je compte dedié un p100 a ipcop avec une carte usb ( que j'ai deja ) et le sagem fast 800 <BR> Cette passerelle devra permetre a 2 pc ( sous windows ou linux ) d'acceder à internet <BR> <BR> Le problem est que je n'ai ni hub ni switch mais que j'ai par contre 4 carte réseau en ma possession . <BR> <BR> Est il possible de mettre 2 carte réseau ds le p100 et que chacun des 2 ordi soit relié a sa carte réseau par un cable croisé et qu'il est acces a internet par l'intermédiare du firewall ? <BR> <BR> Les 2 pc client n'ont pas besoin de se voir donc je n'ai pa besoin de routage juste en quelque sorte de "2" sortie de la passerelle vers les 2 pc au lieu de passer par un switch . <BR> <BR> Merci d'avance <BR>
Avatar de l’utilisateur
tonyjub
Matelot
Matelot
 
Messages: 3
Inscrit le: 01 Juin 2003 00:00

Messagepar antolien » 01 Juin 2003 18:00

Tu as deux solutions. <BR> <BR> la première (et la plus simple) c'est que tu choisis lors de l'installation d'ipcop green+orange. <BR> <BR>c'est à dire utiliser ta deuxième carte réseau pour une DMZ, ainsi tu pourras surfer à partir des deux postes avec un câble croisé (un sur le green et l'autre sur le orange). <BR> <BR>bon DMZ ne veut pas dire que ce n'est pas sécurisé à partir du moment ou tu n'ouvre pas d'accès exterieur. chose à savoir c'est qu'il faudra mettre sur le poste dans le orange les dns du fai car le cache dns ne fonctionne pas dans cette zone. <BR> <BR>deuxième solution, celle de wann <!-- BBCode auto-link start --><a href="http://forums.ixus.net/viewtopic.php?t=3523" target="_blank">http://forums.ixus.net/viewtopic.php?t=3523</a><!-- BBCode auto-link end -->
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Gesp » 01 Juin 2003 18:01

Ce qu'il faudrait dans l'idéal, c'est reprendre la modif pour 2 green de la V1.2 et la reporter dans une version V1.3 mais c'est pas tout à fait simple. <BR> <BR>L'autre solution est de connecter une machine sur le Green et l'autre sur le Orange. <BR>Je sais pas trop quels sont les inconvénients. <BR> <BR>Tant que l'on ne fait pas de transfert de port vers la machine en Orange, je ne sais pas quels sont les différences de protection Green/Orange
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar tonyjub » 01 Juin 2003 18:28

Merci beaucoup pour vos réponses , la méthode du wan avec l'interface purple sorte de green "bis" est trés interessante malgré la difficulté somme toute relative pour la mettre en place . <BR> <BR> Merci encore et continuer bien votre travail @+ <IMG SRC="images/smiles/icon_smile.gif">
Avatar de l’utilisateur
tonyjub
Matelot
Matelot
 
Messages: 3
Inscrit le: 01 Juin 2003 00:00

Messagepar joebar » 01 Juin 2003 18:49

Les modifs de Wann pour la green et la purple sont tres simple a mettre en place sur la 1.3 (je l'ao fait sur mon ipcop) il suffit de suivre les modifs de la 1.2 a part le fichier rc.firewall qui est différent mais bon ca se fait tres bien !!! <BR> <BR>@+
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg

Messagepar Guijnor » 01 Juin 2003 19:40

En fait je veux fair comme toi, pourras-tu m'aider ?
"Les gens bien informés savent qu'il est impossible de transmettre la voix par des fils électriques, et quand bien même cela serait possible, cela n'aurait aucun intérêt pratique" Editorial, The Boston Post, 1865
Avatar de l’utilisateur
Guijnor
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 174
Inscrit le: 17 Mai 2003 00:00

Messagepar joebar » 02 Juin 2003 07:50

ben pas de pb !!! <BR> <BR>deja il faut suivre la procedure de wann, et ensuite je te file le rc.firewall : <BR> <BR>#!/bin/sh <BR> <BR>. /var/ipcop/ppp/settings <BR>. /var/ipcop/ethernet/settings <BR>IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '012'` <BR> <BR>iptables_init() { <BR> echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter <BR> echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects <BR> echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route <BR> echo 1 > /proc/sys/net/ipv4/conf/all/log_martians <BR> <BR> # Reduce DoS'ing ability by reducing timeouts <BR> echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout <BR> echo 0 > /proc/sys/net/ipv4/tcp_window_scaling <BR> echo 0 > /proc/sys/net/ipv4/tcp_timestamps <BR> echo 0 > /proc/sys/net/ipv4/tcp_sack <BR> echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog <BR> <BR> # Flush all rules and delete all custom chains <BR> /sbin/iptables -F <BR> /sbin/iptables -t nat -F <BR> /sbin/iptables -X <BR> /sbin/iptables -t nat -X <BR> <BR> # Set up policies <BR> /sbin/iptables -P INPUT DROP <BR> /sbin/iptables -P FORWARD DROP <BR> /sbin/iptables -P OUTPUT ACCEPT <BR> <BR> # This chain will log, then DROPs "Xmas" and Null packets which might <BR> # indicate a port-scan attempt <BR> /sbin/iptables -N PSCAN <BR> /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? " <BR> /sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? " <BR> /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? " <BR> /sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? " <BR> /sbin/iptables -A PSCAN -j DROP <BR> <BR> # Disallow packets frequently used by port-scanners, XMas and Null <BR> /sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j PSCAN <BR> /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j PSCAN <BR> /sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j PSCAN <BR> /sbin/iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j PSCAN <BR>} <BR> <BR>iptables_red() { <BR> /sbin/iptables -F RED <BR> /sbin/iptables -t nat -F RED <BR> <BR> # PPPoE / PPTP Device <BR> if [ "$IFACE" != "" ]; then <BR> # PPPoE / PPTP <BR> if [ "$DEVICE" != "" ]; then <BR> /sbin/iptables -A RED -i $DEVICE -j ACCEPT <BR> fi <BR> if [ "$RED_TYPE" = "PPTP" -o "$RED_TYPE" = "PPPOE" ]; then <BR> if [ "$RED_DEV" != "" ]; then <BR> /sbin/iptables -A RED -i $RED_DEV -j ACCEPT <BR> fi <BR> fi <BR> fi <BR> <BR> if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then <BR> # DHCP <BR> if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then <BR> /sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT <BR> /sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT <BR> fi <BR> if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then <BR> /sbin/iptables -A RED -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT <BR> /sbin/iptables -A RED -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT <BR> fi <BR> <BR> # Allow IPSec <BR> /sbin/iptables -A RED -p 47 -i $IFACE -j ACCEPT <BR> /sbin/iptables -A RED -p 50 -i $IFACE -j ACCEPT <BR> /sbin/iptables -A RED -p 51 -i $IFACE -j ACCEPT <BR> /sbin/iptables -A RED -p udp -i $IFACE --sport 500 --dport 500 -j ACCEPT <BR> <BR> # Outgoing masquerading <BR> /sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE <BR> fi <BR>} <BR> <BR># See how we were called. <BR>case "$1" in <BR> start) <BR> iptables_init <BR> <BR> # Limit Packets- helps reduce dos/syn attacks <BR> /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec <BR> <BR> # CUSTOM chains, can be used by the users themselves <BR> /sbin/iptables -N CUSTOMINPUT <BR> /sbin/iptables -A INPUT -j CUSTOMINPUT <BR> /sbin/iptables -N CUSTOMFORWARD <BR> /sbin/iptables -A FORWARD -j CUSTOMFORWARD <BR> /sbin/iptables -t nat -N CUSTOMPREROUTING <BR> /sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING <BR> <BR> # Accept everyting connected <BR> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <BR> /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <BR> <BR> # localhost and ethernet. <BR> /sbin/iptables -A INPUT -i lo -j ACCEPT <BR> /sbin/iptables -A INPUT -p icmp -j ACCEPT <BR> /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT <BR> /sbin/iptables -A INPUT -i $PURPLE_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $PURPLE_DEV -j ACCEPT <BR> <BR> # accept all traffic from ipsec interfaces <BR> /sbin/iptables -A INPUT -i ipsec+ -j ACCEPT <BR> /sbin/iptables -A FORWARD -i ipsec+ -j ACCEPT <BR> <BR> # Port forwarding <BR> if [ "$ORANGE_DEV" != "" ]; then <BR> # This rule enables a host on ORANGE network to connect to the outside <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp <BR> -o ! $GREEN_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp <BR> -o ! $GREEN_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp <BR> -o ! $PURPLE_DEV -j ACCEPT <BR> /sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp <BR> -o ! $PURPLE_DEV -j ACCEPT <BR> fi <BR> <BR> # RED chain, used for the red interface <BR> /sbin/iptables -N RED <BR> /sbin/iptables -A INPUT -j RED <BR> /sbin/iptables -t nat -N RED <BR> /sbin/iptables -t nat -A POSTROUTING -j RED <BR> <BR> iptables_red <BR> <BR> # XTACCESS chain, used for external access <BR> /sbin/iptables -N XTACCESS <BR> /sbin/iptables -A INPUT -j XTACCESS <BR> <BR> # PORTFWACCESS chain, used for portforwarding <BR> /sbin/iptables -N PORTFWACCESS <BR> /sbin/iptables -A FORWARD -j PORTFWACCESS <BR> <BR> # DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow <BR> # ORANGE to talk to GREEN. <BR> /sbin/iptables -N DMZHOLES <BR> /sbin/iptables -A FORWARD -o $GREEN_DEV -j DMZHOLES <BR> /sbin/iptables -A FORWARD -o $PURPLE_DEV -j DMZHOLES <BR> <BR> # Custom prerouting chains (for transparent proxy and port forwarding) <BR> /sbin/iptables -t nat -N SQUID <BR> /sbin/iptables -t nat -A PREROUTING -j SQUID <BR> /sbin/iptables -t nat -N PORTFW <BR> /sbin/iptables -t nat -A PREROUTING -j PORTFW <BR> <BR> # last rule in input and forward chain is for logging. <BR> /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " <BR> /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " <BR> ;; <BR> stop) <BR> iptables_init <BR> <BR> # Accept everyting connected <BR> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <BR> <BR> # localhost and ethernet. <BR> /sbin/iptables -A INPUT -i lo -j ACCEPT <BR> /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT <BR> /sbin/iptables -A INPUT -i $PURPLE_DEV -j ACCEPT <BR> <BR> if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then <BR> /sbin/iptables -A input -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT <BR> /sbin/iptables -A input -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT <BR> fi <BR> if [ "$PROTOCOL" = "RFC1483" -a "$METHOD" = "DHCP" ]; then <BR> /sbin/iptables -A input -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT <BR> /sbin/iptables -A input -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT <BR> fi <BR> <BR> /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " <BR> /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " <BR> ;; <BR> reload) <BR> iptables_red <BR> ;; <BR> restart) <BR> $0 stop <BR> $0 start <BR> ;; <BR> *) <BR> echo "Usage: $0 {start|stop|reload|restart}" <BR> exit 1 <BR> ;; <BR>esac <BR> <BR>exit 0 <BR> <BR> <BR>@+
Avatar de l’utilisateur
joebar
Contre-Amiral
Contre-Amiral
 
Messages: 453
Inscrit le: 22 Jan 2002 01:00
Localisation: Cherbourg

Messagepar Guijnor » 02 Juin 2003 13:58

Mais en fait j'ai deux mêmes cartes réseaux dans mon PC Ipcop et pas besoin d'Orange, je vais tester et merci <IMG SRC="images/smiles/icon_wink.gif">
"Les gens bien informés savent qu'il est impossible de transmettre la voix par des fils électriques, et quand bien même cela serait possible, cela n'aurait aucun intérêt pratique" Editorial, The Boston Post, 1865
Avatar de l’utilisateur
Guijnor
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 174
Inscrit le: 17 Mai 2003 00:00

Messagepar Guijnor » 02 Juin 2003 16:57

Je bloque au niveau de la méthode de Wann car j'ai l'impression qu'elle est incomplète !
"Les gens bien informés savent qu'il est impossible de transmettre la voix par des fils électriques, et quand bien même cela serait possible, cela n'aurait aucun intérêt pratique" Editorial, The Boston Post, 1865
Avatar de l’utilisateur
Guijnor
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 174
Inscrit le: 17 Mai 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité