routage de la dmz vers la zone verte

par **RoIm** » 31 Oct 2003 17:19

Bonjour, j'ai installé mon ipcop depuis peu ; je fais des tests, surtout pour comprendre comment ca marche le réseau et les firewall ... voici ma config : un ipcop avec 3 cartes réseaux eth2 : 10.0.0.254 --> vers un routeur connecté sur le net eth1 : 192.168.2.254 --> vers une DMZ (linux red-hat 192.168.2.1) qui hébergera le site de mes enfants eth0 : 192.168.1.254 --> vers un switch qui constitue ma "zone verte" : les pcs ont des adresses données par ipcop/dhcp de 192.168.1.2 à 192.168.1.30 ce qui marche : la zone verte vers le net le linux-red-hat (192.168.2.1) vers le net le ping depuis la zone verte vers le 192.168.2.1 le ping de la dmz (192.168.2.1) sur ipcop (192.168.2.254) le ping de la dmz (192.168.2.1) sur ipcop (192.168.1.254) ce qui ne marche pas (et le pourquoi de mon message !) ----------------------------------------------------------- le ping depuis la dmz (192.168.2.1) vers la zone verte (192.168.1.4 par exemple) en fait, je voulais mettre un serveur samba sur la DMZ (192.168.2.1), et pouvoir y avoir accès à partir de la zone verte je pense que c'est une histoire de route, mais où la mettre et comment ? 1°) j'ai vu une doc qui proposait dla modif de /etc/rc.d/rc.firewall j'ai mis : (juste après "start") route add -net 192.168.1.0/24 gw 192.168.2.254 eth0 ipchains -A forward -j MASQ -s 192.168.1.0/24 -d 0.0.0.0/0 (au passage, si qq peut m'expliquer la syntaxe, j'ai pas tout saisi dans le man!) bien entendu, j'ai rebooté, et toujours pas de ping possible 2°) j'ai commenté le rc.firewall et suite à une autre doc trouvé, j'ai mis, cette fois dans le /etc/rc.d/rc.local route add -net 192.168.1.0/24 gw 192.168.2.254 eth0 et pareil, pas de ping possible ! je reconnais que c'est très flou pour moi (j'ai pas réellement compris ce qu'est une route et comment on s'en sert) Enfin, question subsidiaire, dans le ipcop configuration (https://ipcop:445) ca correspond à quoi transferts de port alias externe acces aux services externes acces à la dmz j'ai bien trouvé de la doc, mais pour un néophyte comme moi, j'ai rien pigé !! au départ, je pensais que la config devait être effectuée par ces "trucs" mais ou et comment ? bon reste le merci d'avance !

par **bobox** » 31 Oct 2003 18:17

salut tu n as pas besoins de route pour ta DMZ Le firewall ayant 3 cartes réseau connais les 3 réseaux . Iproute sert uniquement si il y avais un routeur supplémentaire sur le reseaux . Exemple : RED : 192.168.100.0/24 GREEN : 192.168.101.0/24 ORANGE : 192.168.102.0/24 sur le réseau GREEN tu as un routeur de connecté avec l'adresse suivante : 192.168.101.200 / 24 de l autre coté du routeur tu as un réseau avec une adresse 192.168.103.0 / 24 dans ce cas pour que les gens qui se trouve dans le réseau 192.168.103.0/24 puisse sortir sur internet , il faudrais mettre sur le fichier rc.local iproute add -net 192.168.103.0 netmask 255.255.255.0 gw 192.168.101.200 ( détail : pour aller au réseau 192.168.103.0/24 tu passe par la passerelle 192.168.101.200 ( Le routeur qui traine )) Pour IPCOP . Si tu utilise la version 1.3 , il ne faut plus parler de ipchain mais de iptables . Pour les syntaxes , je t'invite a faire une recherche sur le net

par **MisterT** » 31 Oct 2003 18:31

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-31 16:19, RoIm a écrit: ce qui marche : la zone verte vers le net le linux-red-hat (192.168.2.1) vers le net le ping depuis la zone verte vers le 192.168.2.1 le ping de la dmz (192.168.2.1) sur ipcop (192.168.2.254) le ping de la dmz (192.168.2.1) sur ipcop (192.168.1.254) ce qui ne marche pas (et le pourquoi de mon message !) ----------------------------------------------------------- le ping depuis la dmz (192.168.2.1) vers la zone verte (192.168.1.4 par exemple) en fait, je voulais mettre un serveur samba sur la DMZ (192.168.2.1), et pouvoir y avoir accès à partir de la zone verte </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Ca me parait normal. C'est le but d'avoir 3 réseaux séparés : mettre un peu de "sécurité" entre eux. En gros, depuis une zone tu peux atteindre les zones d'un moins haut niveau de sécurité, mais pas l'inverse... Et tu auras compris que GREEN > ORANGE > RED... <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> je pense que c'est une histoire de route, mais où la mettre et comment ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Non. Ici, tu n'as que 3 LAN, et IPCop fait office de routeur : il fait faire passer les paquets IP d'un réseau à l'autre... à condition que les règles du firewall l'autorise (voir ma remarque précédente). A noter que pour chaque réseau, la patte d'IPCop correspondante doit être configurée comme la passerelle ("gateway") de ta machine pour que tout marche "tout seul"... Pour les autres questions, je laisse ma place <IMG SRC="images/smiles/icon_wink.gif">

par **RoIm** » 31 Oct 2003 18:48

Merci pour ton explication ! Si je l'ai bien comprise (nul n'est parfait !) la route que j'ai mise devait être correcte, mais n'a pas fonctionné ... pourquoi ? j'ai beaucoup de problèmes de compréhension et j'ai bien sûr effectué un recherche sur google et sur le forum avant de poster ! Tu me dis que je n'ai pas besoin de route ; mais pourquoi ca marche pô ? si je reprend mes traces : depuis mon linux-dmz (192.168.2.1) j'arrive à ipcop sur le 192.168.2.254 (la carte connectée sur le même réseau) J'arrive à ipcop sur le 192.168.1.254 (la carte connectée sur la zone verte) MAIS je n'arrive pas à mon poste connecté sur la zone verte (192.168.1.4) j'en déduis que c'est le ipcop qui bloque entre le 192.168.1.254 et le 192.168.1.4 alors comment le débloquer ?? est-ce que l'ajout d'une route le débloque, ou il faut impérativement mettre en place un pinhole vers la dmz (sur ma version, je pense que cela correspond à "acces à la dmz" ?) et si je dois mettre ce pinhole adresse ip source, c'est 192.168.2.0 et ip destination 192.168.1.0 ou l'inverse ? sur quel port ? un petit schema 10.0.0.138 (routeur vers internet) | 10.0.0.254 (ipcop) 192.168.2.254 (ipcop) ---------------------------------- 192.168.2.1 (linux-dmz) 192.168.1.254 (ipcop) | / / / / 192.168.1.4 192.168.1.5 RoL

par **MisterT** » 31 Oct 2003 19:04

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-31 17:48, RoIm a écrit: Tu me dis que je n'ai pas besoin de route ; mais pourquoi ca marche pô ? si je reprend mes traces : depuis mon linux-dmz (192.168.2.1) j'arrive à ipcop sur le 192.168.2.254 (la carte connectée sur le même réseau) J'arrive à ipcop sur le 192.168.1.254 (la carte connectée sur la zone verte) MAIS je n'arrive pas à mon poste connecté sur la zone verte (192.168.1.4) j'en déduis que c'est le ipcop qui bloque entre le 192.168.1.254 et le 192.168.1.4 alors comment le débloquer ?? est-ce que l'ajout d'une route le débloque, ou il faut impérativement mettre en place un pinhole vers la dmz (sur ma version, je pense que cela correspond à "acces à la dmz" ?) </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Ce n'est pas un problème de routage (au sens "router les paquets IP"). C'est un problème de sécurité/firewall : tu as installé un logiciel qui sert à filtrer les paquets en fonction d'autorisations. C'est ce que fait IPCop à travers les commandes "iptables" de Linux : il n'autorise pas ORANGE à aller vers GREEN, mais ORANGE a le droit d'aller partout ailleurs... Extrait du script rc.firewall (c'est lui qui configure le firewall au démarrage de la machine) : if [ "$ORANGE_DEV" != "" ]; then # This rule enables a host on ORANGE network to connect to the outside /sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j DROP /sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp -o ! $GREEN_DEV -j ACCEPT /sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp -o ! $GREEN_DEV -j ACCEPT fi En gros, ca veut dire que tu as le droit de "causer" tcp ou udp depuis ORANGE vers tout, sauf GREEN... Ce que tu observes est donc un fonctionnement NOMINAL <IMG SRC="images/smiles/icon_wink.gif"> Maintenant, si tu veux que tel ou tel protocole passe de ORANGE -> GREEN (ce qui, en soi n'est pas forcemment une bonne idée : il vaut mieux que ce soit GREEN qui aille sur ORANGE), tu dois pouvoir "ouvrir" des trous entre les deux, mais je ne l'ai jamais fait avec IPCop, aussi je laisse d'autres répondre là dessus...

par **RoIm** » 31 Oct 2003 19:16

En réponse à Mister T Merci, Si je comprends bien, il n'est pas possible de parler à la zone verte depuis la DMZ ? Mais, les fameux pinholes (ou accès à la DMZ), c'est pas fait pour ça ? Je voudrais avoir accès à partir de n'importe quel poste de ma zone verte, à une imprimante monté par samba sur la DMZ ; je n'ouvre pas de faille de sécurité, ici ou si ? La où, j'ai des difficultés, c'est de comprendre ce que ipcop fait et comment et où il le fait ! la doc que j'ai trouvé sur le site d'ixus, d'ipcop, et sur le net en général est parfaite .... pour une personne qui joue avec les réseaux tous les jours ; pour une personne dont ce n'est pas le métier, c'est ardu ! Y'a t'il un document de vulgarisation d'ipcop, accessible au néophyte comme moi ? par exemple, quand on ajoute une règle en "accès à la DMZ", l'adresse ip source correspond à la DMZ ou à l'adresse de destination ?

par **MisterT** » 31 Oct 2003 19:55

Bon, je vais tenter un résumé, mais le mieux est d'aller voir la doc directement <A HREF="http://www.ipcop.org/1.3.0/en/admin/html/services.html" TARGET="_blank">(doc ipcop)</A> Déjà, le menu "External Service Access" ne sert plus qu'à traiter les accès à la machine IPCop elle-même, depuis la version 1.3.0. Donc, hors sujet ici... Ensuite, il y a deux idées : 1) donner accès à un service, délivré par un serveur "interne" à l'extérieur. En gros, tu as une IP publique (visible sur l'interface RED), et tu voudrais que tout le monde puisse faire un HTTP (80) sur ton IP publique, et que cela aille par exemple sur ton serveur interne (192.168.1.20), port 8000. => c'est le rôle du "port forwarding". Tu dis quel port source tu veux rediriger (dans mon exemple, le port 80), et vers quelle destination IP (192.168.1.20 dans mon exemple) et destination port (8000 dans mon exemple). Tu précises également si c'est du TCP ou de l'UDP, et éventuellement quel "alias" de l'interface RED tu veux utiliser (hors sujet ici...). Note que tu peux restreindre les IP autorisées à accéder à ce service (hors sujet ici également), via le menu "Source IP, or network" 2) permettre à une machine d'un réseau moins sécurisé (ORANGE) d'accéder à un service d'une machine d'un réseau plus sécurisé (GREEN), sans pour autant ouvrir ce service au public (RED) => c'est le rôle du "DMZ pinhole" Ca marche en gros comme le précédent, mais ca ne concerne que des IP source étant dans la DMZ (zone ORANGE), pour accéder à des serveurs de la zone GREEN. Voili, voilou...

par **RoIm** » 31 Oct 2003 20:09

super ton explication qui me parle beaucoup plus que la doc ! Merci, je retourne à mes tests ... Je vais essayer de faire un petit topo que je posterai par la suite ... si je comprends tout !! à charge de revanche

par **MisterT** » 31 Oct 2003 20:16

Mais de rien... <IMG SRC="images/smiles/icon_biggrin.gif"> C'est à ca que sert le forum ! Et très bonne idée d'en faire un petit "digest" : on devrait pouvoir le publier dans les docs du forum, et ca servira à d'autres.... bon courage !

par **natlus** » 31 Oct 2003 21:02

<IMG SRC="images/smiles/icon_rolleyes.gif"> merci mister T like " barracuda" = agence tous risques <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif">

par **giga** » 31 Oct 2003 23:40

il n'a pas besoin de pinholes pour samba puisque la connexion s'effectue du green vers le orange et pas du orange vers le green

par **RoIm** » 01 Nov 2003 17:31

Réponse à Mister giga C'est sans doute vrai, car j'ai eu 2 ou 3 fois la vision de mon ordinateur samba depuis un windows xp version familiale ; je pensais que cela venait de mes manips (dans le menu services : alias externes, accès aux services externes, accès à la DMZ ...) Par contre, je n'ai pas compris pourquoi j'y avais eu accès, et je n'ai plus accès actuellement dans les "acces à la dmz", j'ai mis IP source IP destination port destination 192.168.2.0 192.168.1.0 137 192.168.2.0 192.168.1.0 138 192.168.2.0 192.168.1.0 139 à la fois pour TCP et UDP (192.168.2.1, c'est mon serveur samba et 192.168.1.0, c'est ma zone verte) j'ai rien dans transfert de ports, alias externes, accès aux services externes sur mon serveur samba (192.168.2.1), je vois bien celui-ci (nautilus smb) Si tu as raison, il faut peut être que je démarre des services sous XP mais lesquels ? Remarque, j'avais essayé depuis un poste ouin-ouin 98 sans résultats ! Lorsque je démarre ethereal sous mon serveur samba, je vois bien que celui-ci est atteint y'a tout d'abord un ping qui est effectué et serveur-samba répond puis un message envoyé sur le port 1405 puis 1406 (le source port est le 445) si je mets ceux-ci dans "les accès à la DMZ", le port utilisé est 1421 et 1422 (le source port est le 445) le premier message (de la zone verte à samba), c'est écrit SYN puis samba envoie une réponse (RST, ACK) (3 X sur le 1421) puis sur le 1422 il y a SYN (zone verte vers samba) et SYN, ACK (samba vers zone verte) puis http ACK puis options http/1.1 (de zone verte vers samba) .... si ça peut aider à comprendre ? merci d'avance ... moi, ca me parle pas ce truc là !!!!

routage de la dmz vers la zone verte

Qui est en ligne ?