parametrage MNF

par **red_raimund** » 29 Oct 2003 18:37

Merci a tous ! J'ai installe MNF et ca marche pas : pas moyen de pinguer ! mon reseau possede un identifiant reseau public. tous les postes de mon reseau font partie de cette classe. Il est compose d'un poste a proteger au moyen de la MNF sur "bastion". bastion possede 2 interfaces eth0 et eth1 station a proteger | | bastion.eth1 bastion.eth0 | | passerelle | domaine Je voudrais proteger station par l'intermediaire du firewall mais j'arrive pas : - a autopinguer bastion eth0 et eth1 - a pinguer de station vers bastion (note: j'accede bien a l'interfaceMNF) - a pinguer de bastion vers passerelle j'ai peut-etre pas bien compris les notions de zones, d'interface, d'hote et de police pour le parametrage de MNF et peut-etre qu'en redefinissant plus clairement... enfin bon, voila si quelqu'un a une idee... merci d'av <IMG SRC="images/smiles/icon_rolleyes.gif">

par **svart** » 29 Oct 2003 18:47

Pour ma part, le ping est venu après la config de la distrib ! Quels sont les services que tu veux mettre en place ? Quelle sont les règles que tu as ajoutées ou modifiées (par défaut MNF bloque le ping) ? Les IP et masques de tout ça ? A faut d'l'info pour répondo !

par **red_raimund** » 30 Oct 2003 10:44

si le ping marche pas par defaut c'est deja ca... en fait les adresses publiques de ma societe sont : a.b.c.X, connecte par une passerelle pour station, X=22 pour eth0 X =20 pour eth1 X =21 pour passerelle X =24 et derriere ma passerelle X=24, ya tout un reseau en a.b.c.? (public donc) qui est pour le moment attaque de toute part. | | | | passerelle24 19 8 5 ... __________________________________________ | eth0/20---------->| eth1/21---------->|MNF | station/22--------->interface j'essaie donc de tester la MNF sur une station X=22 que j'isole de tout le reseau public. en fait ma question est quelles options dois je parametrer (zone, interfaces, hote, police) dans mon interface de configuration de MNF sur station 22 pour autoriser l'acces internet. et j'aimerais autoriser le ping par la meme okaz ... j'ai vu des quantites de cas similaires dans ce forum et malgre tas d'essais pas toujours tres judicieux je le concede je m'en sors pas <IMG SRC="images/smiles/icon_bawling.gif"> voila. merki <IMG SRC="images/smiles/icon_smile.gif">

par **red_raimund** » 30 Oct 2003 10:59

excusez la mise en page du shema ci dessus a foiré je voulais dire en fait : passerelle24 / poste 19 / poste 8 ... quand tu dis "le ping marche pas par defaut" pourquoi alors je peux pinguer de mon firewall vers ma station 22 alors qu'il me met "operation not permitted" vers ma passerelle 24 ? Il y a un truc a modifier pour que ca marche dans les deux cas par exemple ? merki <IMG SRC="images/smiles/icon_smile.gif">

par **lembal** » 30 Oct 2003 11:20

Pour être plus précis : on ne peut pinguer aucune interface d'une MNF (eth0, eth1, eth2, ppp0, ppp+...etc) mais on peut tout à fait pinguer le net ou les sous-réseau depuis le FW ! Pour que tu puisses accéder à tes zones il fait mettre en place des règles exceptions (c'est le numéro de port "8" pour les requêtes ICMP (ping) par exemple)... le forum est rempli d'infos sur la MNF : recherche un peu et bon courage !

par **red_raimund** » 30 Oct 2003 16:03

bon ok j'ai effectivement decide d'attribuer une adresse prive a ma station (192.168.1.2) mon interface eth1 est connecte a la station est 192.168.1.1 et j'arrive bien a la pinguer depuis le fw. j'arrive aussi, chose que j'arrivais pas avant a pinguer ma passerelle publique. mais j'arrive pas a pinguer le net (ex : ping 216.239.59.99 qui est lIP de google) comment cela se fait-il <IMG SRC="images/smiles/icon_confused.gif"> une idee vous ? <IMG SRC="images/smiles/icon_find.gif">

par **svart** » 30 Oct 2003 16:27

Je vais te livrer mes propres conclusions, d'après mon expérience récente : - La MNF est une passerelle/routeur/firewall : sa place est au confluent de sous-réseaux. Chaque zone doit avoir sa zone d'adressage/masque. Pour ma part : le LAN est 192.168.6.0/24 ; le WAN 192.168.9.0/16 ; la DMZ 192.168.11.0/16 |ceci implique que les réseaux ne peuvent communiquer directement mais passent nécessairement par le routeur (ou un switch). Dans ton configuration, pour peu que le cablage le permette, je peux esquiver ton routeur (tous tes hotes commencent par 192.168.1.x avec le meme masque, tous sont sur le même réseau). < Première chose : définir tes zones, chaque zone aura un adressage particulier, chaque zone aura une interface > - Laisse tomber le ping comme moyen de preuve de connection : fonctionne plutôt par service ou fonction. Que veux tu vouloir faire ? Accéder à internet, récupérer tes mails, SSH vers le Fw ... < Seconde chose : établir grosso modo les services que tu veux utiliser, la zone source et la zone serveur concernée, les ports concernées > - Installe ta MNF et édite tes zones. Avec l'interace HTTPS, tu fais chaque zone dans l'ordre, tranquillement. En cas de question, cherche ici ou envoie un message. < Troisième chose : tout fermer (au moyen des polices) et ouvrir par exception (au moyen des règles). Tu demandes des logs pour tout> Ensuite tu testes, si ça marche, tu enleve le log et tu passes au point suivant, sinon, tu vas voir les journaux pour voir où ça foire. Voilà, en gros, ce que je peux te dire pour t'aider, sauf à oublier qq chose (j'oublie tjs qq chose). Sinon, j'ai rapidement laissé tomber l'interface d'admin web , j'utilise une connexion SSH et la console !

par **svart** » 30 Oct 2003 16:29

Notamment : vi /etc/shorewall/policy vi /etc/shorewall/rules shorewall restart (permet de voir si les regles sont validées)

par **red_raimund** » 30 Oct 2003 17:07

merki beaucoup svart j'ai bien conscience que rome s'est pas faite en un jour. <IMG SRC="images/smiles/icon_rolleyes.gif"> j'ai une question (pour changer) pas evidente a formuler... je me lance... Il est ecrit dans la doc attenante au mode d'administration graphique, :"(je cite)l'interface d'administration est l'interface a travers laquelle les connexions de l'administrateur sont permises. Ceci signifie que votre pare feu devra etre administre depuis un ordinateur connecte au sous reseau qui est associe a la carte reseau sumentionnee" Or par defaut, c'est eth0 qui remplit cet office et en ce qui me concerne c'est seulement depuis le reseau relie a eth1 que je puis administrer. Cela me contraint-il a utiliser un poste different, appartenant au reseau "sumentionne", pour parametrer mon firewall ? <IMG SRC="images/smiles/icon_bawling.gif"> merki dav

par **svart** » 30 Oct 2003 17:22

L'adminuistration se fait logiquement depuis la zone LAN. Sauf erreur de ma part, tu peux associer cette zone à eth0 ou eth1, ça ne changera pas grand chose. Ah c'est pas facile au début mais quand ça marche c'est extra !

par **red_raimund** » 30 Oct 2003 18:48

pour sur que l'entre en matiere se fait dans la douleur <IMG SRC="images/smiles/icon_biggrin.gif"> bon voila j'ai failli creer un nouveau topic et puis finalement non... voila ma question : au niveau du masquage, de la traduction des adresses statiques et proxy ARP <IMG SRC="images/smiles/icon_eek.gif"> il faut faire quelque chose ? parceque j'ai bien une idee mais je suis pas sur <IMG SRC="images/smiles/icon_lol.gif"> je rappelle que j'ai un reseau d'adresse publiques a.b.c.X et un reseau prive 192.168.1.x il faut prevoir aussi un parametrage du masquage pour que ca marche <IMG SRC="images/smiles/icon_frown.gif"> autrement dit pour que mes 2 reseaux communiquent ?

par **svart** » 30 Oct 2003 19:31

Si par masquage tu signifie "masquerade", la réponse est oui : tu as besoin que MNF reçoive ta requête (IP privée) et l'envoie sur Internet (IP publique). MNF dissimule ton IP et la remplace par celle de l'interace - ou une autre que tu précise. Sur mon réseau, je fais un masquerade du réseau local (IP privée) à travers l'interface eth1 (IP privée aussi). Comme j'ai ensuite un routeur pour le modem ADSL, ça refait un coup de masquerade pour convertir mon IP privée en publique. Eth0:Privée > masquée par eth1 > masquée par routeur - IP publique > Ip publique Si ta MNF gère directement la connection PPOE (ou modem) tu dois préciser un masquerade avec l'IP publique à utiliser : Eth0:privée > masquée par Eth1 - IP publique > Ip publique Les autres me reprendront si je dis une bêtise. A lundi !

par **red_raimund** » 31 Oct 2003 15:43

<IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> mais quelle masquerade ? on est dans un carnaval ou quoi. mouais peut etre...et meme si c'etait le cas l'interface MNF me demande plein de truc que je sais pas dans la section configuration du firewall. Donc avant d'aller plus loin parlons du premier de ces trucs, c'est a dire la premiere chose qu'il est possible de configurer depuis ce magnifique interface vert et bleu qui nous est offert dans cette section : ---------------------------Masquage classique--------------------------------- j'essaierai bien plein de truc differents sachant qu'il y a forcement un nombre limite de combinaison et je tomberai fatalement sur la bonne. Cependant je sais pas vous mais moi, comment dirai-je ?... <IMG SRC="images/smiles/icon_cussing.gif"> Donc sachant d'une part que la classe de mon reseau public est 212.45.80.0, que celui ci est compose d'une passerelle 212.45.80.24, et que l'IP de eth0 sur mon firewall est 212.45.80.30, d'autre part sachant que le firewall MNF possede deux interfaces : eth0 vers le public comme "sumentionné", et eth1 vers le prive cad appartenant a la classe d'adresse privee RFC1918 : 192.168.1.1 , et enfin que le reseau prive est compose d'un unique poste dont l'adresse est 192.168.1.2, je desire pouvoir consulter l'internet depuis mon poste 192.168.1.2. 1. qu'est ce que j'insere comme interface ? 2. quel est le numero de masque de cette interface ? 3. qu'est ce que je mets dans reseau masque optionnel ? 4. qu'est ce que je mets dans SNAT ? Si quelqu'un sait repondre qu'il en fasse profiter un peu s'il lui plait... merci.

par **svart** » 03 Nov 2003 13:54

Salut, A mon tour de te poser des questions : pourquoi ton réseau est-il publique ? En fait, je n'ai pas bien saisi ton architecture, ni l'endroit où se place le firewall. Si je pars de ton réseau privé, ton interface passerelle est eth1 Tu dois donc effectuer un masquerade sur le réseau 192.168.1.0 (le masque, c'est toi qui le connait, très fréquemment 255.255.255.0) au travers l'interface eth0 (signfie : les paquets en provenance de 192.168.1.0 et qui traversent eth0, c'est à dire en direction du WAN, sont masqués) Pas besoin de SNAT, ton routeur/passerelle s'en chargera En résumé et sauf erreur : 192.168.1.0 --- eth1:192.168.1.1/255.255.255.0 eth0:212.45.80.30/? / Masquerade ---- 212.45.80.24 / SNAT (configuré FAI) --- WAN Essaie déjà ça et dis moi. Pour connaitre le masque d'un réseau, y'a moyen,, fait une recherche sur ce forum ou sur google, tu peux auto-résoudre le masque utilisé si tu ne le connais pas. <IMG SRC="images/smiles/icon_biggrin.gif">

par **red_raimund** » 03 Nov 2003 14:56

merci j'essaye et je t'informe pour ce qui est de mon architecture reseau : elle est temporaire. je fais un test a petite echelle. la societe possede sa classe d'adresse IP publique (que j'evite de divulguer) Tous les ordinateurs du site appartiennent a cette classe d'adresse. Je dispose egalement d'une connexion a Internet par l'intermediaire d'une passerelle, dont l'adresse IP appartient a ma classe publique. Ma societe fait de l'hébergement de site et possede un certain nombre de serveurs que je souhaite proteger. Jusque la c'est clair ? <IMG SRC="images/smiles/icon_biggrin.gif"> En prealable a toute operation de grande envergure, je choisis de faire des test sur un poste. Donc plusieurs questions qui se resument a une : quelle architecture pour le test ? Ce que j'ai fait pour le moment c'est que j'ai installe un serveur MNF. J'ai relie ce serveur a mon domaine public par un cable reseau dont l'extremite aboutit a une baie de brassage. L'autre extremite de ce cable arrive dans le serveur MNF. Mon serveur MNF est muni de 2 cartes reseaux. >La premiere est reliee a mon domaine public. Je l'ai configuree eth0 et lui ai attribue une adresse IP de la classe publique de ma societe. c'est en ce sens que je dis que eth0 est connecte a la zone publique. >La 2em carte, interface eth1 possede l'adresse privee conforme a RFC 1918 : 192.168.1.1. Puis j'ai flanque un autre cable reliant l'interface eth1 de mon serveur MNF a un PC isole d'adresse IP 192.168.1.2, sur lequel je fais des tests. (de connexion internet, de ping...) Voila pour l'architecture materielle et logicielle. J'ai pas mal de retard pour tout un tas de cas pratiques que je maitrise pas du tout. <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> donc je <IMG SRC="images/smiles/icon_cussing.gif"> et j'ai le sentiment bien reel de stagner <IMG SRC="images/smiles/icon_frown.gif"> <IMG SRC="images/smiles/icon_frown.gif">. Maintenant que tu as quelques elements supplemenaires si tu trouves qui a des trucs incoherents dans mon architecture, sympa a toi de le signaler. Personnellement j'aimerais avoir acces au net depuis mon poste en 192.168.1.2 si j'arrive a ca deja...

parametrage MNF

Qui est en ligne ?