ouverture d'un port du RED au GREEN.

[G-rome]

Bonjour, <BR> <BR>je vous explique mon pb. <BR>Je veux mettre en place ipcop v1.3.0 à la place de mon firewall actuel( il est malade). <BR>mon réseau est de cette forme la. <BR> <BR>internet-routeur-firewall-dmz-proxy-reseaux interne. <BR> <BR>il existe plusieurs machines qui se trouve sur la DMZ et sur le réseau interne qui doivent être accessible de l'extérieur donc le forwarding n'est pas possible. <BR> <BR>ex: <BR>je doit ouvrir le port 80 sur 4 serveur web et le port 443 sur 2 serveurs. <BR> <BR>j'ai choisi de configurer mon firewall ipcop en GREEN+RED car si je me mais en GREEN+ORANGE+RED, je devrais changer tout le schéma réseau. <BR> <BR>Donc ma question est de savoir comment ouvrir un port quelconque sur le réseau GREEN pour qu'il soit accessible à partir dur réseau RED. <BR> <BR>Merci de votre aide

[touffator]

avec l'interface web de ton ipcop <IMG SRC="images/smiles/icon_eek.gif"> y a un onglet port forwarding et c'est tout <BR> <BR>mais tu peut pas rediriger un meme port sur plusieurs machine <BR> <BR>++ <BR>touf

[hb]

y'a un truc qui m'echappe dans ta config avant ipcop. <BR>si tu as 4 serveurs web derriere un FW accessible depuis Internet, j'en conclus qu'ils ont des @IP publics non ? comment fais tu pour les rendre accessibles sinon ? <BR>ensuite si tu ouvre un port du FW ipcop (ou un autre FW d'ailleurs) <BR>le port est ouvert pour tout le reseau pas pour un seul serveur ! <BR>donc on ne peut pas "ouvrir" le port 80 pour 4 serveur et le port 443 pour 2 serveurs <BR>soit le port 80 et le port 443 sont ouverts soit ils sont fermés !!! <BR> <BR>mais le fait d'ouvrir un port ne resoudra pas ton pb, auquelle des 4 serveurs doit il forwarder le port 80 ??? quel est l'element distinctif depuis Internet ??? <BR> <BR>la seule solution que j'imagine est la suivante <BR>chaque serveur web est vu depuis Internet par un port spécifique <BR> <BR>ton_ip_public:80 -> web1:80 <BR>ton_ip_public:82 -> web2:80 <BR>ton_ip_public:83 -> web3:80 <BR>ton_ip_public:84 -> web4:80 <BR> <BR>est ce que tu cherches ? <BR>

[G-rome]

Merci pour ces réponses, <BR> <BR>le firewall que j'ai actuellement (qube2) pouvais ouvrir un port en spécifiant l'url de destination qui me permettait de spécifier quelle serveur avait le port 80 ouvert. <BR> <BR>j'aurais aimer pouvoir faire la même chose avec IPCOP, mais si ce n'est pas possible, j'ouvrirais un port sur le réseau entier jusqu'à que je trouve une autre solution. <BR> <BR>hb, ton idée est bonne mais le changement de mon firewall qube2 vers ipcop doit être transparent pour les clients qui se connecte via internet. <BR> <BR>j'ai fait des recherches et si j'ai bien compris je doit rajouter des entrés dans /etc/rc.d/rc.firewall mais je n'est rien trouver ou essayer qui me permette d'accéder a mes sites webs. <BR> <BR>HELP ME.

[tomtom]

Je ne vois pas comment faire ce que tu demandes si ce n'est en utilisant un reverse proxy. <BR>J'explique : <BR>toutes les requets entrant sur port 80 sont envoyées à un reverse proxy (typiquement apache) qui suivant le virtual host renvoie sur le bon server. <BR>A mon avis c'est ainsi que fonctionne le qube, avec un reverse proxy integré... <BR> <BR>Netfilter ne permet que de regarder les options de nouveau 4 et donc certainement pas de faire de la redirection sur url.... <BR> <BR>Un des seuls autres moyens serait d'utiliser le module string de netfilter (recherche les posts la dessus si tu veux plus d'infos) qui permet de verifier la presence d'une chaine dans le paquet. Ainsi, an filtrant sur les paquets syn à destination du port 80 et avec la string correspondant à l'url, tu dois pouvoir faire un truc... Mais j'ai peur que ça soit gourmand en ressources et peu fiable.... <BR> <BR>Thomas

[touffator]

c'est vrai que a mon avis la seul solution c'est un serveur apache avec des alias et en fonction de l'alias il redirige sur tel ou tel serveur <BR>mais de mémoire apache est pas sur ipcop <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>par contre toujours de memoire (je peut pas acceder a ma box ki est du taf dc c chaud <IMG SRC="images/smiles/icon_frown.gif"> ) y a un onglet alias sur les box ipcop mais j'ai jamais testé ... <BR> <BR>mais dit nous plutot actuellement comment ils font pour changer de serveur est-ce que c'est en fonction de leurs ip ou avec un nom de dommaine différent ... parcque si c'est en fonction de leurrs ip ça doit pas etre avec apache sinon c'est possible que ce soit avec apache et les alias

[G-rome]

Merci à tous de m'avoir aidé, j'ai en parti résolu mon souci grâce notamment à la super doc effectuer par antolien. Je m'explique, <BR> <BR>la commande suivante me permet de forwarder sur toutes mes adresses internes. <BR> <BR>iptables -I FORWARD -p tcp --dport 80 -j ACCEPT <BR> <BR>j'ai testé, ça fonctionne, j'accède à tous mes serveurs webs. Cool <BR> <BR>Seul bémol, je n'arrive pas à créer cette commande via l'interface web (je sais, je suis un peu casse bonbon). <BR> <BR>Une dernière petite question, j'ai cru avoir lu sur le forum mais je demande confirmation, les ports au dessus de 1024 sont ouvert par défaut en entré??? <BR> <BR>Encore une fois merci et super forum ( longue vie a ixus.net)

[tomtom]

Mais attends, tu as des ip publiques ? tu n'a spas de transfert là.... ? <BR> <BR> <BR>T.

[hb]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-11 22:15, hb a écrit: <BR>y'a un truc qui m'echappe dans ta config avant ipcop. <BR>si tu as 4 serveurs web derriere un FW accessible depuis Internet, j'en conclus qu'ils ont des @IP publics non ? comment fais tu pour les rendre accessibles sinon ? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>c'est ce que je m'étais dit également des le debut !!! IP public !!!!

[G-rome]

désolé oui, je pensais dans mon schéma au démarrage que c'etait clair mais mon bon ce n'etait pas le cas. <BR> <BR>alors oui ma DMZ est sur un brin publique, c'est le proxy qui fait office de routeur entre le domaine publique et l'interne. <BR> <BR>Désolé

[G-rome]

en reponse à hb: <BR> <BR>comment fais tu pour les rendre accessibles sinon ? <BR> <BR>En utilisant ISA serveur ( je sais un produit "biiiiiiiiiiiip") et tu fait de la publication mais mon reseau est tres complexe, on a des sites webs sur le brin publique et des sites webs sur le reseau interne. Et tous doivent etre accessible de l'exterieur. <BR>

[hb]

ton schema c'est une DMZ "à l'ancienne" <BR> <BR>Internet - FW - DMZ - FW - LAN <BR> <BR>sauf que tu as remplacé le 2éme FW par un proxy <BR>dans ton cas je pense que l'ajout d'une carte à IPCOP pour créer une zone Orange aurait tout son sens, et sans pertuber les utilisateurs du LAN <BR> <BR>j'ai jamais fait mais je crois que ce serait comme ça : (corrigez moi si je me trompe) <BR> <BR>tu mets tes serveurs web dans le Orange avec une IP privée (192.168.1.x) <BR>et tu utilise l'option "acces à la DMZ" d'IPCOP <BR> <BR>tu renseignes l'IP public à gauche l'IP privée à droite et le port 80 au bout <BR> <BR>au niveau du lan si tu as un serveur DNS tu dis : <BR>serveur web1=ip privé 1 <BR>serveur web2=ip privé 2 <BR>serveur web3=ip privé 3 <BR>serveur web4=ip privé 4 <BR> <BR>et ainsi les serveurs sont accessibles <BR>depuis le lan par leur nom <BR>depuis Internet par leur IP public <BR> <BR>l'autre avantage de cette solution c'est que ton lan sera mieux protéger des intrusions

[G-rome]

super c'est tout à fait ça que je voudrais faire plus tard, sauf qu'il faut que je change les paramètres réseaux de mes clients sur le réseau local ( changer la passerelle), c'est pas grand chose mais il faut monter un dossier, le faire valider par les superieurs et je pense que je pourais le faire fin de cette année. <BR> <BR>Mais heureusement qu'il y a ces procedures sinon je changerais tous les mois, le réseau mis en place et ce serais l'arnarchie. <BR> <BR>Merci beaucoup hb. <BR> <BR>une toute petite question, c'est possible de modifier les pages CGI pour l'interface web et si oui, connaissez vous une doc simple( pas 400 pages)? <BR>Car pour ma part, je ne peu pas ajouter ou modifier mes tables par l'interface web et sa peu gêner quelque utilisateur réfractaire a cette technologie. <BR>Thanks

[hb]

les pages cgi sont dans /home/httpd/cgi-bin/.... <BR>j'utilise putty pour avoir un $shell sur ipcop <BR>puis <BR>joe /home/httpd/cgi-bin/index.cgi <BR>(par exemple, je crois que ce fichier cgi existe) <BR>joe est un editeur type edit du DOS que je prefere a VI trop complexe pour moi. <BR>ensuite tu t'inspire de ce qui est fait, c'est le meilleur apprentissage quand on a pas le courage de lire 400 pages de doc (comme moi)