DMZ ==> Problemes généraux

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar cameleon2004 » 12 Nov 2003 14:58

Bonjour a tous <BR> <BR>Voici ma configuration réseau actuelle : <BR> <BR>[FIREWALL REGION] <BR>| <BR>| <BR>| <BR>|RESEAU LOCAL <BR> <BR>IPCOP se trouve dans le reseau LOCAL entierement <BR> <BR>Etant donné que ce serveur doit rentré en phase de test, il n'y a pas de modem connecté au RED. <BR> <BR>IPCOP RED ==> 10.102.27.126 (GW 10.102.27.1 + dns ...) <BR>IPCOP ORANGE ==> 10.102.27.140() <BR>IPCOP GREEN ==> 192.168.0.1 <BR> <BR> <BR>tout en 255.255.255.0 <BR> <BR>L'interface rouge est actuellement configurée par dhcp ... <BR> <BR>Mon ipcop a accès a internet (J'ai la liste des updates qui apparait) <BR> <BR>Mon probleme, c'est que je n'arrive pas a pinguer une machine de l'orange (pour l'instant 100 machines) a partir du vert. <BR> <BR>De meme, l'interface verte ne peux acceder a internet <BR> <BR>Config pc interface verte : 192.168.0.2(GW 192.168.0.1, DNS = 192.168.0.1) <BR>Si je configure un pc de l'orange en prenant mon ipcop comme gw, l'orange n'a également plus accès à internet. <BR> <BR>Est ce que quelqu'un peut m'aider, ou me donner le liens vers le howto de la DMZ <BR> <BR> <BR>Merci a tous d'avance
Avatar de l’utilisateur
cameleon2004
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 06 Nov 2003 01:00

Messagepar nemesis » 12 Nov 2003 15:06

ton red et ton orange ont la même racine de réseau c pas bon!! <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>IPCOP RED ==> 10.102.27.XXX <BR>IPCOP ORANGE ==> 10.102.27.XXX <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>il te faut changer le 27 sur une des deux branches pour autre chose de dispo sur ton réseau (ie non utilisé par une autre branche de ton réseau), par exemple orange = 10.102.26.XXX <BR> <BR>Cordialement. <BR> <BR>_________________ <BR>ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister<BR><BR><font size=-2></font>
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar cameleon2004 » 12 Nov 2003 16:11

Merci a toi, l'erreur était bien sa ... <BR> <BR>Maintenant il se pose un autre probleme ... <BR>Voici ma nouvelle config <BR> <BR> <BR>RED = 10.102.27.0/24 <BR>ORANGE=192.168.1.0/24 <BR>GREEN=192.168.0.0/24 <BR> <BR> <BR>Voila, du green j'arrive a pinguer n'importe quel machine de ORANGE et RED <BR>Je n'arrive pas a pinguer sur internet, mais je suppose que c'est parce que ma red est sur le reseau local ... <BR> <BR>ORANGE ==> J'arrive pas à pinguer ce qui a sur le red <BR> <BR> <BR>Admettons que j'ai une machine qui s'appelle trucmusche sur red, je n'arrive pas a faire ping trucmusche, par contre, j'arrive a faire un ping de l'adresse ip, c'est lié au DNS, mais je ne sais pas quoi mettre sur les dns du green ... <BR> <BR> <BR>Merci a tous
Avatar de l’utilisateur
cameleon2004
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 06 Nov 2003 01:00

Messagepar nemesis » 12 Nov 2003 16:17

hum alors pour le problème du green -> internet je pense qu'il faut que tu mette un dns du red dans la config de la carte red de l'ipcop ce dns devant connaître un dns de ton fai ou alors tu met un dns de ton fai sur ta carte red et ça devrait être bon. <BR> <BR>Pour ce qui est du orange si tes dns sont dans le green à moins d'ouvrir des 'trous' dans ton firewall tu n'arrivera pas a pinguer par autre chose que les ip (ton orange ne peux accéder au green (config de base) donc au dns et dc à la résolution de nom... <BR> <BR>Alors une ruse pour palier ce problème est de renseigner le fichier /etc/hosts de l'ipcop avec les correspondances ip nom de machine du red et du green et de mettre ton ipcop en dns de tes machines du orange mais attention à ce moment là elle ne pouraont pas pinguer le net à moins de mettre en dns secondaire un dns de ton fai ! <BR> <BR>outch compliqué <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>suis -je clair? <BR> <BR>@pluche
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar cameleon2004 » 12 Nov 2003 16:45

dsl, mais je ne comprend pas ... Les ordinateur qui sont dans le reseau du red recoivent les paramerdes par DHCP <BR> <BR>La red contient donc les DNS du moins je pense ... quel commande permet de me donner toutes ces infos ifconfig + ??? car ifconfig eth2 me donne juste ladresse ip, le broadcast ... Mais pas les dns <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>ou sinon quel fichier editer var/ipcop/ethernet/settings ? <BR> <BR> <BR>merci d'avance
Avatar de l’utilisateur
cameleon2004
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 06 Nov 2003 01:00

Messagepar nemesis » 12 Nov 2003 16:53

hum c'est peut être moi qui suis pas bien ton problème... <BR> <BR>ton réseau red il contient quoi exactement? <BR> <BR>si il contient un dns qui 'connait' internet (en clair qui a lui même accés à internet et/ou a pour propre dns un des dens de ton fai) alors il faut que le dns de la carte red de ton ipcop soit celui précité. Sinon si ta carte red est paramétrée en dynamique (un dhcp lui affecte les infos) alors normalement ton ipcop doit pouvoir pinger le net (essaye avec des adresses ip avt d'essayer avec des <!-- BBCode auto-link start --><a href="http://www.truc.com" target="_blank">www.truc.com</a><!-- BBCode auto-link end -->). <BR>Ensuite le dns de tes machines vertes doit soit être un dns du red soit ipcop lui même. <BR> <BR>Pour le problème du orange soit tu met un dns du red soit tu ouvre un dmz pinhole pour accéder a un dns du green. <BR> <BR>En fait je comprends pas trop le but du test ton ipcop va etre directement racordé au net ou vas servir de coupe feu entre deux raiseaux?
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar cameleon2004 » 12 Nov 2003 17:15

Bon je vais essayer de mieux m'exprimer <BR> <BR> <BR>Comme c'est un Firewall prévu pour des tests, j'ai décidé que mon réseau local actuel devienne le reseau test pour l'interface red. <BR> <BR>Donc a la place d'avoir internet, j'ai mon reseau local sur 10.102.27.0/24 <BR>Toutes les machine de ce reseau ont le passerelle 10.102.27.1 et les dns suivant 10.102.27.251, 195.244.170.3 et 195.244.170.4 <BR> <BR>IPCOP a une ip(Interf red) obtenue par DHCP tout comme les autes machine de ce réseau. <BR> <BR> <BR>Au niveau de l'interface ORANGE ... L'ip est 192.168.1.1/24 . Les machines étant dans cette zone ont comme passerekke 192.168.1.1 et les meme dns que l'interface RED <BR> <BR> <BR>Dans l'interface GREEN : ip = 192.168.0.1/24 <BR>Les machines de ont comme passerelle 192.168.0.1/24 et les meme dns que RED <BR> <BR> <BR>Maintenant passons au chose plus pratique : <BR> <BR>le ping a partir de l'interface GREEN (192.168.0.0/24): <BR> vers interface ORANGE : ping 192.168.0.2 ==> RESULTAT OK Niveau dns KO(je dois rajouter dans le fichier HOST de IPCOP) <BR> vers interface RED : ping 10.102.27.1 ==> OK DNS : OK <BR> vers red pour internet : ping ixus.net ou une ip ==> KO il ne me trouve pas la page web <BR> <BR> <BR>ORANGE <BR> vers GREEN ==> KO (Heueusement pour moi) <BR> vers RED ==> KO ce qui n'est pas normal <BR> <BR> <BR>Voila donc j'ai 2 questions <BR> <BR> 1 Comment se fait il que l'interface ORANGE n'ai as accès au RED <BR> 2 Comment se fait il que je ne sache pas me connecté a Internet sur le GREEN <BR> <BR> <BR>Voila j'espère que ce sera plus claire ainsi <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Merci
Avatar de l’utilisateur
cameleon2004
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 06 Nov 2003 01:00

Messagepar Gesp » 12 Nov 2003 18:05

>vers interface ORANGE : ping 192.168.0.2 ==> RESULTAT OK Niveau dns KO(je dois rajouter dans le fichier HOST de IPCOP) <BR> <BR>c'est compréhensible DNSMASK n'agit pas sur l'interface orange (je ne connais pas le pourquoi mais c'est programmé comme cela) <BR> <BR>>vers interface RED : ping 10.102.27.1 ==> OK DNS : OK <BR>>vers red pour internet : ping ixus.net ou une ip ==> KO il ne me trouve pas la page web <BR>Est-ce que tu es à l'état connecté sur la page d'accueil? <BR> <BR>Je pense que étant en DHCP, tu risques de ne pas voir affichés les boutons Connecter / Déconnecter (je ne sais pas non plus pour quelle raison cela a été programmé comme cela mais les boutons n'apparaissent que quand un profil valide a été créé à la page Connexion). <BR>Si cela n'affiche pas connecté, tu peux lancer la commande /etc/rc.d/rc.red start (ou stop pour arrêter) <BR> <BR>Dans le cas de dhcp sur le red, il n'y a pas besoin de profil valide et les boutons auraient dù à mon avis apparaitre en permanence. <BR>Je ne me souviens plus si l'option 'Connexion au redémarrage' est utilisable (ou est réalisée automatiquement) en cas de connexion par dhcp. <BR> <BR>Sinon les DNS récupérés par DHCP sont dans /var/ipcop/red/DNS1 ou DNS2 ou dans /var/ipcop/red/resolv.conf ou /etc/resolv.conf (il doit y avoir un lien symbolique de l'un vers l'autre) <BR><BR><BR><font size=-2></font>
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar cameleon2004 » 13 Nov 2003 09:41

Tout est ok, un reboot a fait du bien ... Cependant je ne sais pas si c'est win qui en était la cause ou ipcop ... Mais maintenant tout marche <BR> <BR>Merci a vous tous
Avatar de l’utilisateur
cameleon2004
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 06 Nov 2003 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron