cherche coup de main pour config firewall !

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar fachrist » 10 Nov 2003 15:47

Bonjour et maerci de vouloir m'aider, si c'est bien pour ça que vous lisez ce post et non pour me balancer l'habituel "google" ! <BR> <BR>Je suis entrain de créer des régles de filtrage sous astaro, j'ai donc trois zone: net, lan, dmz, pour les échanges provenant du lan et allant vers le net, j'ai autorisé un certains nombre de services comme le 80, 445, 20:21 etc... <BR> <BR>Les postes du lan ont une adresse privé, j'utilise donc la fonction de masquerading pour que les machines du lan puissent surfer avec une ip publique routable, le problémes et que cette passerelle firewall n'est pas le dernier point avant internet car l'interface red (l'interface de ma zone net donc) qui a cette fameuse adresse publique que j'utilise pour le NAT a elle même une passerelle qui est en fait le modem/router qui lui a l'adresse de l'interface red +1 en publique donc, ma question est donc la suivante, quand je fais une régle du lan vers le net, est-ce que j'indique : vers l'interface net, vers le réseau net ou vers l'ip du modem/routeur ? <BR> <BR>En fait, je ne sais pas si je suis trés clair mais merci quand même !
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar fachrist » 10 Nov 2003 16:42

Au moins, j'aurais eu une réponse, la mienne ! <BR>Je pense qu'il faut lui indiquer l'interface net (red)!Mais bon, je suis jeune, j'ai pas encore vu grand chose dans la vie, j'aurai donc aimé que l'on m'explique si c'était normal que le firewall est une passerelle (le routeur) alors que finalement, en faisant du NAT, c'est lui qui fait du routage !? <BR>Mais dites moi le si je raconte n'importe quoi ?allez, svp ! <BR> <IMG SRC="images/smiles/icon_smile.gif">
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar tomtom » 10 Nov 2003 16:46

Je te conseille de desactiver le nat de ton firewall si ton routeur le fait aussi.. Ca sera plus simple ! <BR> <BR>En effet, avec ta config actuelle, le routeur fait un premier nt pour transformer en ip privée ce qui arrive d'internet, et ton firewall en fait un second, ca n'est pas tres utile... <BR> <BR>Au contraire, si tu peux configurer ton routeur pour qu'il transfère l'ip publique de ton fai directement à ton firewall (par dhcp spoofing), alors c'est encore le plus simple ! <BR> <BR>t. <BR> <BR> <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar fachrist » 10 Nov 2003 17:11

Merci Tomtom, mais là, tu viens de me faire un noeud au cerveau, j'avais déjà commencer à m'en faire un en essayant d'expliquer mon problème ! <BR>Je ne pense pas que mon routeur fasse du nat car il redonne ce qui viens du net à l'interface red de mon firewall, enfin là, on va rentré dans le suivi de connexion (conntrack) et je vais me refaire un noeud ! <BR>Disons qu'il y a déjà un firewall en place qui fait déjà du masquerading et il est placé juste avant le routeur, donc, le routeur ne fait pas de nat vu qu'il recoit des requêtes du lan qui est masqué en une adresse publique par le firewall ! <BR>En fait, est-ce que dans mes régles lan vers net, je vise l'interface net ? <BR> <BR>Je suis vraiment pas trés clair, désolé tomtom mais merci de porter de l'attention à un matelot ! <IMG SRC="images/smiles/icon_wink.gif">
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar tomtom » 10 Nov 2003 17:20

Toi aussi tu vas me faire des noeuds <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>ALors comment ca marche : <BR> <BR>ton firewall a quoi comme ip "red" (sur l'interface connectée au modem) ? <BR>une ip privée (eg, 10.x.x.x) ou une ip publique ? <BR> <BR>Si c'est une ip publique, cela signifie que ton modem fait du dhcp spoofing et te met directement l'ip fournie par le fai. Dans ce cas là aucun soucis, ton firewall fait son nat tranquillement, il a une passerelle qui correspond à un "oint d'acces" chez le FAI quiu te relie au reste du monde. <BR> <BR>Si c'est une ip privée, alors ton modem-routeur fait un premier nat. C'est lui qui recoit l'ip publique du fai, et ton firewall a comme passerelle l'ip du modem. <BR>Dans ce cas là, ton firewall fait du masquerading sur une ip privée (ce qui n'est pas interdit du tout), et ensuit le modem fait un second masquerading... Ca ne devrait pas trop poser de problème tant que tu ne fait pas de vpn.... <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar svart » 10 Nov 2003 17:22

Laisse les routeurs router ! serait ma réponse. <BR> <BR>j'ai sensiblement la même config : <BR> <BR> <BR>LAN --- Ip Privée1 Eth0 | MNF |Ip privée2 Eth1 ---- Routeur ---- ADSL § NET <BR> <BR> <BR> <BR>Je fais un masquerade du réseau sur Ip Privée1 (eth0) vers eth1 (j'indique dans Source NAT l'IP de Eth1 mais c'est vraiment optionnel) <BR> <BR>Après le routeur du FAI se débrouille pour accoler l'adresse publique. <BR> <BR> <BR> <BR>Je ne sais pas si j'ai été clair non plus ?
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar fachrist » 10 Nov 2003 18:47

Hé bien en fait, j'ai une ip publique au niveau de l'interface red, donc, tomtom, si tu me confirmes qu'en faisant de NAT avec le firewall, il n'y aura pas de problémes, et bien c'est trés bien, je fais les tests jeudi ! <BR>Merci !
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar fachrist » 10 Nov 2003 19:03

Désolé tomtom, mais si tu reviens lire ma réponse, etdonc que tu es entrain de la lire, est-ce que tu pourrais m'expliquer ce que le dhcp vient faire là dedans alors que j'ai une adresse statique au niveau de mon routeur et au niveau de mon interfaces red ! <BR>merci merci ! <IMG SRC="images/smiles/icon_wink.gif">
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar tomtom » 10 Nov 2003 19:13

le dhcp spoofing est une technique pour faire passer à une interface l'adresse d'un modem.. <BR>Je n'entre pas dans la technique, si tu est en ip statique ce n'est pas le cas... <BR> <BR>Par contre il y a un truc qui m'etonne un peu : <BR> <BR>Tu dis que tu as : une ip statique publique sur lre RED + une autre ip publique sur le modem ? <BR> <BR>Il a les moyens ton FAI ! <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar fachrist » 10 Nov 2003 19:26

Super ! <BR>Hé bien justement, c'est là qu'est tout le probléme, donc, c'est bien ce qu'il me semblait, c'est carrément bizarre qu'il y ait une ip publique sur l'interface red et une sur le modem/routeur ! <BR>En fait, disons pour exemple que l'ip du routeur/modem est 212.232.110.52 et que l'ip de l'interface red est 212.232.110.51 ! <BR>Alors, qu'est-ce que tu en dis et comment c'est adressé dans une société "normale"(je suis en stage et c'est la première société dans laquelle je suis, mon sujet est en fait de fournir un firewall de secours !) <BR> <BR> <BR>erci, je ne répondrais surement d'ici une heure vu que je m'en vais de cette boite qui a des adresses bizarres ! <BR>PS:En tous les cas, ça me soulage car je me disais bien qu'il y avait un problème ! <IMG SRC="images/smiles/icon_confused.gif">
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar fachrist » 11 Nov 2003 12:45

Tomtom, t'es plus là ?! <BR> <IMG SRC="images/smiles/icon_bawling.gif">
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar youky » 11 Nov 2003 12:57

Salut <BR> <BR>Tout dépend de ton abonnement, si ton abonnement te donne cinq adresses IP fixe routables, ton modem/routeur en utilise une et effectue la redistribution des 4 restantes aux postes qui sont connectés. <BR> <BR>Renseignes toi sur les termes de l'abbonnement. <BR> <BR>Youky
always look at the bright side of life
Avatar de l’utilisateur
youky
Major
Major
 
Messages: 85
Inscrit le: 27 Mars 2002 01:00
Localisation: UK

Messagepar fachrist » 11 Nov 2003 20:26

bonjour youki ! <BR>Qu'est-ce que tu entends par redistribuer et de quels postes parles tu? <BR>merci ?
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar tomtom » 12 Nov 2003 10:11

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-11-10 18:26, fachrist a écrit: <BR>Super ! <BR>Hé bien justement, c'est là qu'est tout le probléme, donc, c'est bien ce qu'il me semblait, c'est carrément bizarre qu'il y ait une ip publique sur l'interface red et une sur le modem/routeur ! <BR>En fait, disons pour exemple que l'ip du routeur/modem est 212.232.110.52 et que l'ip de l'interface red est 212.232.110.51 ! <BR>Alors, qu'est-ce que tu en dis et comment c'est adressé dans une société "normale"(je suis en stage et c'est la première société dans laquelle je suis, mon sujet est en fait de fournir un firewall de secours !) <BR> <BR> <BR>erci, je ne répondrais surement d'ici une heure vu que je m'en vais de cette boite qui a des adresses bizarres ! <BR>PS:En tous les cas, ça me soulage car je me disais bien qu'il y avait un problème ! <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Il faudrait regarder un peu mieux la config du modem... <BR>Il se peut qu'il ait lui aussi une autre ip publique sur son "interface red".... <BR>C'est tout de même assez etonnant comme architecture, car cela gaspille des ip publiques qui pourraient etre mieux utilisées.. <BR>Ce n'est pas forcemment un problème, mais il faut d'une part que les masques de sous-réseaux soient bien positionnées, d'autre part se permettre de "perdre" des ip...) <BR> <BR>Enfin, si ca fonctionne, je te conseille de ne pas toucher et de bien regarder les configs et la doc.. <BR>Nous envoyer un plan de ta tête de réseau, avec la config, les addresses, les masques et les routes permettrait sans doute de mieux comprendre. <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar fachrist » 12 Nov 2003 10:41

salut tomtom, <BR> <BR>effectivement, il y a un gaspillage d'ip publique, mais bon, disons que "ma boite" a acheté une certaine plage et qu'elle n'utilise pas tout, c'est vrai que si elle venait à loger quelques sites web supplémentaires sur les serveurs qui se trouvent en DMZ, il faudrait forcement qu'elle leurs attribue des ip publiques !? <BR>Mais bon, niveau plan, c'est out con, comme je te l'ai expliqué, dmz, lan, net mais les serveurs en DMZ sont adressé en publique, c'est une $%#&! non ?En plus, le réseau ou se trouve le modem et le firewall (la partie net) et le réseau dmz se partage la plage d'ip donner par le fai juste avec leur masque, ça doit être du subnetting mais le probléme, c'est que le serveur dns de la boite qui est soit dans la dmz est en fait dans la partie net, il parait que si on lui met le masque de la dmz, et qu'il est physiquement dans la partie dmz, il est vu comme en faisant partie ? <BR> <BR>Il n'y a pas grand monde qui a du me comprendre encore !?
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron