DMZ pas d'acces depui le reseau vert ...

[golgot]

Bonjour et merci pour ce site qui est vraiement super ... <BR>je viens de decouvrir ipcop de puis peu et je l'ai installe ... <BR> <BR><!-- BBCode Start --><B>voici ma config : </B><!-- BBCode End --> <BR> <BR>pc avec ipcop avec 3 cartes reseaux : <BR> <BR>eth0 : 192.168.0.1 vert ok j'ai branche un hub dessus et mes pc sous windows <BR>marchent sans aucun prb, acces interne, emule ... <BR> <BR>eth1 : 192.168.1.1 DMZ orange ok un serveur sous slackware qui me servait de passerelle avant que je decouvre ipcop, <BR> <BR>eth2 : Internet Rouge ok , connecte a un modem adsl ethernet <BR> <BR>Vert : reseau local avec un hub , 1 pc sous xp connecte ip:192.168.0.5 <BR> <BR>Orange: dmz avec un server sous slackware (ftp,http et ssh) ip:192.168.1.2 <BR> <BR>Rouge:Connexion a internet : nerim avec une seule ip fixe en adsl 512/128 <BR> <BR> <BR><!-- BBCode Start --><B>BOn j'ai configure </B><!-- BBCode End --> <BR> <BR> <BR>le transfert de port : <BR> <BR>TCP DEFAULT IP : 4662 192.168.0.5 : 4662 eMule <BR>UDP DEFAULT IP : 4672 192.168.0.5 : 4672 eMule <BR>TCP DEFAULT IP : 4711 192.168.0.5 : 4711 eMule Server Web <BR>UDP DEFAULT IP : 5700 192.168.0.5 : 5700 Eyeball Chat <BR>UDP DEFAULT IP : 5701 192.168.0.5 : 5701 Eyeball Chat <BR>UDP DEFAULT IP : 4665 192.168.0.5 : 4665 eMule <BR>TCP DEFAULT IP : 4661 192.168.0.5 : 4661 eMule <BR>TCP DEFAULT IP : 80(HTTP) 192.168.1.2 : 80(HTTP) Server Web - DMZ - <BR>TCP DEFAULT IP : 21(FTP) 192.168.1.2 : 21(FTP) Server Ftp - DMZ - <BR>TCP DEFAULT IP : 22(SSH) 192.168.1.2 : 22(SSH) Server SSH - DMZ <BR> <BR>Bon j'arrive depuis internet a me connecter sur la dmz sur le server web, ftp et ssh mais sur le ftp et ssh je trouve que ca rame un peu pour les connexions ... <BR> <BR>Mais mon probleme c'est que je n'arrive pas a acceder depuis le reseau vert a la DMZ , je n'arrive pas a aller sur le server ftp, http et ssh .. depuis mon mon pc sous xp 192.168.0.5 <BR> <BR>POur surfer, jouer a counter etc ... depuis mon pc sous windows ( 192.168.0.5) il n'y a aucun prb <BR> <BR> <BR>Alors je me suis dis je vais configuer ipcop pour que le resau vert puisse accerder a la dmz sur certains ports : <BR> <BR>Acces a la dmz : <BR> <BR>TCP 192.168.0.5 192.168.1.2 80 <BR>TCP 192.168.0.5 192.168.1.2 21 <BR>TCP 192.168.0.5 192.168.1.2 22 <BR> <BR> <BR>de plus j'ai configure le transfert de port en concequence : <BR> <BR>TCP DEFAULT IP : 80(HTTP) 192.168.1.2 : 80(HTTP) Server Web - DMZ - <BR> Accès autorisé depuis: 192.168.0.5 (Server Web - DMZ -) <BR>TCP DEFAULT IP : 21(FTP) 192.168.1.2 : 21(FTP) Server Ftp - DMZ - <BR> Accès autorisé depuis: 192.168.0.5 (Server Ftp - DMZ -) <BR>TCP DEFAULT IP : 22(SSH) 192.168.1.2 : 22(SSH) Server SSH - DMZ - <BR> Accès autorisé depuis: 192.168.0.5 (Server SSH - DMZ -) <BR> <BR>puis enfin j'ai configue acces aux services externes : <BR> <BR>TCP Tout DEFAULT IP 80 <BR>TCP Tout DEFAULT IP 21 <BR>TCP Tout DEFAULT IP 22 <BR>TCP 192.168.0.5 DEFAULT IP 80 <BR>TCP 192.168.0.5 DEFAULT IP 21 <BR>TCP 192.168.0.5 DEFAULT IP 22 <BR> <BR>Voyant que ca ne marchait pas j'ai cree un alias externe <BR> <BR>192.168.1.2 <BR> <BR>et j'ai ajoute des lignes dans acces aux services externes : <BR> <BR>TCP Tout 192.168.1.2 80 <BR>TCP Tout 192.168.1.2 21 <BR>TCP Tout 192.168.1.2 22 <BR> <BR>et j'ai mis ca aussi dans le doute <BR> <BR>TCP 192.168.0.5 192.168.1.2 80 <BR>TCP 192.168.0.5 192.168.1.2 21 <BR>TCP 192.168.0.5 192.168.1.2 22 <BR> <BR>et ca me marche toujours pas <BR> <BR>j'ai tout verifier et tout relancer mais ca ne marche toujours pas ... <BR> <BR> <BR>BOn je pense que j'ai assez bien resume : <BR> <BR>voici mon prb principal : <BR> <BR>mon server 192.168.1.2 (http, ftp, ssh) qui est sous la dmz marche tres bien, je peux y acceder depuis internet mais pas du reseau local <BR> <BR>et un autre petit prb : <BR> <BR>depuis que j'ai install ipcop et mon reseau vert et ma dmz reseau orange, lors que je vais depuis internet sur ma dmz (ftp, http, ssh ) je trouve que ca rame, c a d ca met du temps a se connecter (+ que d'hab) mais une fois connecte la vitesse redevient normale ... par exemple : pour acceder a mon ssh (sur ma dmz) depuis internet le login se pass bien et le pass ca met 3 a 4 sec pour repondre ... ce qui ne le faisait pas avant car avant j'utiliser ce server comme gateway directement et tout etait bien ... <BR> <BR>Voila si kelkun pouvais m'aider ca serais sympa <BR> <BR>en attente de vos reponses <BR> <BR>A+ <BR> <BR>GoLgOt <BR> <BR> <BR> <BR> <BR> <BR><font size=-2></font><BR><BR><font size=-2></font>

[lurey]

si j'ai bien compris, il est normal (pour des raisons de sécurité) que tu ne puisses aller sur ton FTP (par ex ) en Orange par son adresse web publique. <BR>De ton réseau vert, tu peux y accéder par son adresse IP interne, <BR><!-- BBCode auto-link start --><a href="ftp://<identifiant>:" target="_blank">ftp://<identifiant>:</a><!-- BBCode auto-link end --> <mot-de-passe>@192.168.1.2 <BR>

[lurey]

tiens, j'ai retrouvé la réponse qui m'avait été faite (patr Tomtom) au moment où j'en étais au même point que toi (...janvier dernier): <BR>"Ha ca c'est un problème connu des ipcopiens. <BR>Pour tester tes acces exterieurs, il ne faut pas le faire depuis le lan ! <BR>C'est assez normal car ipcop doit bloquer l'adresse source qui provient du lan pour eviter le spoofing. Il faut que tu aies un dns dans ta zone (green par exemple) pour pouvoir faire cela . " <BR>

[lurey]

... et comme au bout de six mois, j'ai décidé de m'endormir moins bête, j'ai voulu comprendre le "spoofing". <BR>Si tu sais déjà, tu m'excuseras de proposer le lien.... <BR><!-- BBCode auto-link start --><a href="http://www.commentcamarche.net/attaques/spoofing.php3" target="_blank">http://www.commentcamarche.net/attaques/spoofing.php3</a><!-- BBCode auto-link end -->

[golgot]

De ton réseau vert, tu peux y accéder par son adresse IP interne, <BR><!-- BBCode auto-link start --><a href="ftp://<identifiant>:" target="_blank">ftp://<identifiant>:</a><!-- BBCode auto-link end --> <mot-de-passe>@192.168.1.2 <BR> <BR>ca ne marche pas ... <BR> <BR>mais le truc c'est que je veux administer mon server ftp ... et je suis obliger de passer par un autre server et c'est tres $%#&! ... <BR> <BR>mais merci <BR> <BR>Mais kel est la solution a mon prb ??? <BR> <BR>Est ce que Smoothwall ou E smith SME server ont le meme prb ???? <BR><BR><BR><font size=-2></font>

[golgot]

je connaissais le spoofing ... mais c'est bien d'avoir remis le liens ... pour les nouveux <BR> <BR>

[Pit_Bull]

Salut golgot, <BR> <BR>Je viens juste de tester ma DMZ. <BR>J'y ai mis un serveur http et ca marche nickel sans rien faire. <BR> <BR>C'est en fait le principe d'une DMZ. <BR>En fait par défaut, du GREEN tu peux tout faire vers le RED et le ORANGE. <BR> <BR>Les seuls pbs que je vois c'est une erreur de paramétrages IP ou au pire ton IpCop est dans les choux mais là je doute. <BR> <BR>Voici ma config : <BR> <BR>Internet <BR>| <BR>"x.x.x.x" (RED) <BR>[IPCOP] "10.1.51.240/24" (ORANGE) -HUB- 10.1.51.10/24 Passerelle 10.1.51.240 <BR>"10.1.1.240" (GREEN) <BR>| <BR>HUB <BR>| <BR>10.1.1.62/24 Passerelle 10.1.1.240 <BR> <BR>Il faut aussi paramétrer le service DNS mais auparavant fait des essais uniquement avec les adresses ip pour accéder à tes serveurs. <BR> <BR>Aussi il ne sert à rien de modifier "accés aux services externes" dans le cas de forward de port sur le green ou le orange car cela ne sert qu'à donner accés à ton serveur Ipcop "ITSELF" de l'extérieur cad à pouvoir le configurer à distance par exemple. Mais ouvrir par exemple le port ftp ici ne sert à rien puisque tu n'a pas de serveur ftp sur le poste Ipcop. <BR>Cf: <!-- BBCode auto-link start --><a href="http://www.ipcop.org/1.3.0/en/admin/html/services.html#services_extaccess" target="_blank">http://www.ipcop.org/1.3.0/en/admin/html/services.html#services_extaccess</a><!-- BBCode auto-link end --> <BR> <BR>En espérant que cela t'aidera... <BR> <BR>A+

[lurey]

Ah ben ça alors ! <IMG SRC="images/smiles/icon_eek.gif"> <BR>Après avoir lu le post de Pit Bull, j'ai essayé par l'adresse "publique" de mon ftp, et ça marche, effectivement ! Du temps de mon installation de ce ftp, je devais être sous la version 1.2 qui elle ne le permettait pas. <BR>Ma réponse était donc inadaptée, mille excuses ! <BR>Ceci étant, tu dois aussi pouvoir accéder en intra par l'adresse IP de ton serveur, moi ça marche puisque je ne faisais que comme ça jusqu'à ce jour <BR>(ftp://<mon_identifiant>:<mon_mot_de_passe>@<IP_du_serveur>) <BR>donc y'a qqchose qui doit clocher dans sa connexion... mais pour la config du serveur, le mien est "bêtement" sous windows, je connais rien à slackware, et pas grand chose sous linux en général... je sais pas t'aider <IMG SRC="images/smiles/icon_frown.gif">

[lurey]

Juste, je viens de regarder la config réseau du serveur: <BR>DNS activé (DNS de ton FAI par exemple) <BR>passerelle: adresse IP de la carte réseau ORANGE sur IPCop <BR> <BR>Autre chose: lorsque je me connecte de mon vert avec l'adresse "publique" de mon ftp, la connection est signalée dans les logs de mon ftp avec l'adresse interne du poste en vert(192.168.1.200)... bizarre, non? j'aurais pensé dans ce cas qu'apparaitrait mon IP publique ?

[scrusson]

J'ai bien réussi à accéder a tout ca mais samba est inaccessible il ya til des port à ouvrir