DMZ + TSE

[polack45]

Bonjour <BR> <BR>Another question <BR>g paramétré mon rezo de cet facon <BR> <BR> - green = LAN = 192.168.220.x <BR> - red = WAN = dyndns <BR> - orange = DMZ = 192.168.100.x <BR> <BR>Mon probleme c'est que je ne pingue rien, lan -> dmz, pas de reponse et pourtant je vois du broadcast arrivé de ma DMZ vers mon lan <BR> <BR>Est ce qu'il faut modifié les regles iptables pour dialoguer ensemble <BR>A terme je veux que %any => DMZ en 3389 <BR> <BR>Merci <BR>

[tomtom]

Normalement, ping green-> red ok sans aucune config (règles par defaut d'IPCop). <BR> <BR>Un routeur sert à separer le reseau en différents domaines de broadcast, donc il serait très etonnant que tu aie du broadcast du orange sur le green !!!! <BR> <BR>Verifie ton install, tes routes etc.... <BR> <BR>Sur la dmz comme sur lelan tu dois avoir route par defaut=@ipcop sur leur segment respectif. <BR> <BR>Verifie deja que tu peux faire un ping du green vers IPcop et de Orange vers IPCop, en utilisant les IP et non les noms... <BR> <BR> <BR>T.

[polack45]

je peux pinguer du green vers ipcop mais pas orange vers ipcop <BR>JE suis en config de base <BR>

[tomtom]

Ca ca doit etre normal. Je n'ai aps IPCop donc je ne suis pas sur de son comportement, mais il est fort possible qu'il refuse les ping arrivant depuis le ORANGE (bien que je ne voie pas trop pourquoi...) <BR> <BR>En revanche, tu dois pouvoir pinger du green vers le Orange sans problème..... <BR>Si ce n'est pas le cas, il y a un problème dans ta conf. <BR> <BR> <BR>T.

[polack45]

donc les ping de orange vers ipcop sont refuse, je le vois en faisant un tcpdump <BR>par contre tous les transferts de port 20-21 ne fonctionnent pas vers orange <BR>ca me saoule ! <BR>

[tomtom]

Il n'y a aucun transfert à avoir, tu accedes directement aux ports et aux ip de la dmz sans blocage. <BR>Par contre le contraire est faux, il faut authoriser dans "dmz pinholes" <BR> <BR>T.

[polack45]

oui je me suis mal exprimer <BR> <BR>je veux que tout personne venant d'internet puisse accéder a mon serveur TSE sur la DMZ en port 3389 mais rien n'y fait

[tomtom]

Alors c'est bien au niveau du tansfert de port qu'il faut faire : <BR> <BR> <BR>ip source : default <BR>port source 3389 <BR>ip dest : ip_serv_en_dmz <BR>port dest : 3389 <BR> <BR> <BR> <BR>Attention les tests faits depuis l'interieur du green avec lip publique d'ipcpo pour acceder à la DMZ ne fonctionnent pas, c'est du à une fonctionnalité d'antispoofing et ça a été deja répété plusieurs fois sur les forums.... <BR>Ton test doit etre fait vraiment depuis internet. <BR>Si tu me donne ton ip en pv, je te dirais si ton port etst ouvert.... <BR>Si tu n'as pas confiances, tu peux essayer des sites de scan de ports pour verifier si le port est ouvert..... <BR> <BR> <BR>T.

[polack45]

ma question aussi , c'est est ce qu'il faut rajouté des regles dans rc.firewall pour le prerouting ? <BR>Car je viens d'essayer avec le FTP et je suis en deny de l'exterieur pourtant j'ai accepter tout ce qui vient de l'exterieur sur le port 21 <BR>

[tomtom]

Si tu fais la config de transfert de ports via l'interface d'ipcop, tu n'as rien à toucher dasn le prerouting. Le transfert se charger d'autoriser le forward des paqeuts sur ce port et aussi de redireiger dans la chaine prerouting les paquets vers la bonne IP... <BR> <BR>Es tu sur que ce n'est pas ton severu qui refuse la connexion plutot ? <BR> <BR>T.

[remi]

tu l'a bien forwardé ??

[polack45]

Bon ca y est j'ai trouvé <BR>en fait mon lan est en 192.168.220.x/22 <BR>et ma dmz etait en 192.168.221.x/22 <BR>ca foutait un peu la $%#&! dans mes route donc je pouvais pas pingeur d'ipcop vers pc en dmz et vice versa <BR>j'ai mis mon ss rezo a /24 et c'est ok. <BR>Apres un nuit de sommeil ca va bcp mieux pour reflechir de nos $%#&! ... <BR> <BR>Derniere question, la passerelle pour les pc de la DMZ doit etre l'ip de la carte GREEN ou ORANGE <BR> <BR>MErci encore de votre aide !!!! <BR>

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-18 09:16, polack45 a écrit: <BR>Bon ca y est j'ai trouvé <BR>en fait mon lan est en 192.168.220.x/22 <BR>et ma dmz etait en 192.168.221.x/22 <BR>ca foutait un peu la $%#&! dans mes route donc je pouvais pas pingeur d'ipcop vers pc en dmz et vice versa <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>evidemment ca ne pouvait pas marcher ca 192.168.220.0/22 et 192.168.221.0/22 sont exactement le même réseau, Et on ne doit pas separer un sous-reseau en deux avec un routeur ! <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Derniere question, la passerelle pour les pc de la DMZ doit etre l'ip de la carte GREEN ou ORANGE <BR>MErci encore de votre aide !!!! <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Orange evidemment. <BR>La passerelle par defaut sur un reseau est forcemment sur le même sous-reseau IP que les hotes, or l'ip green n'est pas dans ce sous-réseau. <BR> <BR> <BR>T.