en perdition... !

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar fachrist » 17 Nov 2003 16:10

Pour ceux qui en ont marre des débutants ou de ceux qui ne comprennent pas vite, vous pouvez vous arrêtez de lire, merci ! <BR> <BR>Je me pose plusieurs questions, dans le forum, je vois souvent écrit qu'il faut autoriser les serveurs de la dmz à sortir par le red !Je croyais qu'un serveur n'avait pas à établir une connexion et qu'il devait seulement être consulté par une personne venant du red ou par une personne venant du green ! je pensais que le "conntrack" ( suivi de connexion) permettait de ne pas faire de retour sur les connexions établies du net vers la dmz ? <BR> <BR>Je dois signaler que je travaillais avant sur astaro que je dois abandonner car il n'est pas gratuit pour les sociétés !Donc, j'ai peu être un peu de mal à me réadapter à une autre distribution ! <BR> <BR>Le probléme est aussi le suivant: Je ne peux pas faire mes test en direct car je n'ai à ma disposition que 2 pc et je dois configurer ipcop (ou autre) en étant isolé car le réseau où je devrais par la suite installer le firewall est déjà en fonction !En résumé, je dois faire un firewall de secours sans pouvoir le tester et je dois respecter un adressage, c'est à dire : <BR> <BR>red:212.232.111.53/29 <BR>green192.168.0.253/24 <BR>orange:212.232.111.3/26 <BR> <BR>Et tout les serveurs en dmz ont une adresse publique ! <BR>En gros, est-ce possible d'avoir plusieurs serveurs web avec des ip publiques en dmz ?Je veux juste un oui ou un non, pour le reste, je continurai à chercher et pourtant, je cherche mais ça ne me parait pas clair dutout, je pense qu'il y a trop d'interlocuteurs, trop d'avis diffêrents !Je me demande aussi s'il est obligatoire de manipuler iptable, est-ce qu'une administration basique ne peut pas se contenter du gui ? <BR> <BR>bon, ça doit être bien lourd de me lire et même moi, je crois que je ne me répondrai pas, je crois que je vais changer de voie...
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar nemesis » 17 Nov 2003 16:18

s'lut! <BR> <BR>bha alors faut pas etre démotivé comme ça <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>bon alors je pense que pour ce qui est de l'expression 'autoriser le serveur à sortir sur internet' il s'agit d'un abus de langage en effet la seule chose à faire et d'autorisé une requête de l'ext (red) -> la dmz sur un port X à passer en clair ouvrir le port pour l'extèrieur. Pour ce qui est du green -> dmz y'a rien à faire normalement vu que c'est toujour autorisé et même si je ne m'abuse pas il n'y a rien a gérer du tout vu qu'iptable est capable de gérer les ports à la volée une fois la connexion acceptée (dc plus de dmz pinhole et autres enfin si j'ai bien suivit l'histoire moi je suis resté en 1.2 <IMG SRC="images/smiles/icon_lol.gif"> ). <BR> <BR>pour le reste j'ai lu quelque part que c'était possible de mettre plusieur serveurs en dmz avec des ip publique je crois que c'est géré par l'option alias externes! <BR> <BR>voilààà <BR>bon courage.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar Fesch » 17 Nov 2003 16:26

Ton into me plais bien <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>Alors, pour ce qui est de tes questions serveurs: C'est vrai qu'un serveur dans la DMZ ORANGE n'a pas a établir une connexion envers la zône RED ou GREEN. Par contre il peut établir des connexion(ie bases de données) à l'intéreur de la zône ORANGE, ce qui d'ailleur ne pose pas de problème. <BR> <BR>Si je ne me trompe pas (à valider par quelqu'un d'autre svp!), toutes les machines de la zône GREEN on accès au machines de la zône ORANGE. Par contre, pour que quelqu'un d'internet, donc de la zône RED, puisse établir une connexion avec un serveur de ta DMZ ORANGE, il faut que tu crée un "Port Forward" pour le port donnée vers l'adresse de ton serveur en DMZ (ie le port 80 pour un serveur web, 25 pour SMTP, 110 pour POP, etc ...). Pour configurer les "Port Forward", le GUI web suffit largement. <BR> <BR>Les connexion ont toujours un retour, c'est à dire quand un client fait une requête (par exemple HTTP), il faut bien que le serveur lui réponde! <BR> <BR>Le fait de ne pas pouvoir faire les tests en direct est très, très $%#&! à mon avis. Faut discuter avec ton boss pour obtenir plus de manchines de test! <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>Avoir des PC en adressage public sur la DMZ ne devrait pas changer grand chose, par contre cela n'apporte rien non plus. Ou disons, pas pour la distribution IpCOP. (sauf si je me trompe <IMG SRC="images/smiles/icon_rolleyes.gif">) <BR> <BR>Allez, à toi de lire ma réponse lourde alors <IMG SRC="images/smiles/icon_biggrin.gif"> ...
Pourquoi lis-tu ceci???
Avatar de l’utilisateur
Fesch
Amiral
Amiral
 
Messages: 2505
Inscrit le: 11 Sep 2003 00:00
Localisation: Luxembourg

Messagepar fachrist » 17 Nov 2003 16:58

Hé bien là, je ne suis pas déçu, vous avez su me requinquer saperlipopéte <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>Merci fesch, la dernière fois qu'on avez conversé, on ne s'était pas bien compris ! <BR>Il y a toujours un truc qui me chagrine, est-ce que j'utilise quand même la redirection de port si j'ai des adresses publiques en dmz ? c'est peut-être une question dont la réponse est évidente mais honnêtement, il y a un truc que j'ai pas du caler, merci ! <BR> <BR>PS:pour m'expliquer en fait, je pense que la redirection de port est faite pour associer une requête faite sur une ip publique à une ip privé, donc un serveur en dmz et donc si moi, j'ai directement les ip publiques ds ma dmz, comment je fais pour autoriser du red vers la dmz les services du type :80 110 25 etc...!merci !
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar tomtom » 17 Nov 2003 17:03

Non, tu n'as plus besoin de redirection de ports... <BR>Mais il va te fal=loir faire de grosses modifications à IPCop pour adopter cette structure. <BR> <BR>En effet, IPCop ets fait pour faire du MASQUERADING en sortie sur son interface RED. Et ses tables de routages ne sont pas faites pour ton besoin d'ip publiques en DMZ. Il faut etre tres prudent avec les masques de sous-réseaux (en particulier sur les serveurs de dmz), ainsi que sur les tables de routage.. Il faut desactiver le masquerading pour les paquets provenant de laDMZ. <BR>Il faut mettre en place du filtrage sur les adresses de tes serveurs DMZ.... <BR> <BR>Bref, je pesne que IPCop n'est pas le bon produit pour ton besoin..... <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Fesch » 17 Nov 2003 17:08

Je te lance un autre lien (allez, attrape <IMG SRC="images/smiles/icon_smile.gif">) <BR> <BR><!-- BBCode auto-link start --><a href="http://www.mikrotik.com" target="_blank">http://www.mikrotik.com</a><!-- BBCode auto-link end --> <BR> <BR>Il s'agit d'un routeur software, aussi base Linux, mais un peu plus propriétaire. Très performant, très stable ... Je crois qu'il est mieux adapté à tes besoin. <IMG SRC="images/smiles/icon_wink.gif">
Pourquoi lis-tu ceci???
Avatar de l’utilisateur
Fesch
Amiral
Amiral
 
Messages: 2505
Inscrit le: 11 Sep 2003 00:00
Localisation: Luxembourg

Messagepar fachrist » 17 Nov 2003 17:25

Hé bien là, c'est le coup de grace ! <BR>Fresh, pour le lien c'est gentil mais je suis un simple stagiaire a qui on demande de faire un firewall de secour qui soit gratuit ! En plus, il ont déjà un firewall sous systéme propriétaire qu'il veulent justement remplacer ! <BR>Ce que je ne comprend pas, c'est que leur systéme actuelle est bien une distribution linux qui repose sur iptables et qui utilise des packages supplémentaires comme "nat" "conntrack" "masquerading" etc... <BR>Pourquoi ne peut on pas trouver l'équivalent en libre ? <BR>Je pensais avoir trouvé avec Astaro mais au bout de 30 jours, il faut payer !Pourquoi, alors qu'astaro repose lui aussi sur un noyau linux utilisant netfilter !Linux ne correspond pas au libre ?Pourquoi fait-on payer un systéme qui utilise iptable tout comme ipcop qui lui est gratuit ? <BR>*****, dire que j'ai un mémoire à rendre dans un mois et qui doit parler de l'installation d'un firewall sous linux !!! Je vais plutôt m'exiler et ne plus m'approcher d'un PC vu que je n'ai pas l'air doué ! <BR>PS:Je fais surement pessimiste mais ça fait tout de même un mois que j'essai de trouver une solution... <IMG SRC="images/smiles/icon_cry.gif">
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar Fesch » 17 Nov 2003 17:32

T'inquiète pas pour ton mémoire. Si tu explique le <!-- BBCode Start --><B>pourquoi</B><!-- BBCode End --> tu n'as rien trouvé et que tu l'explique régoureusement, ce devra bien passé pour toi <IMG SRC="images/smiles/icon_razz.gif">. Il est mieux de décrire le pourquoi d'un échec que de ne pas savoit décrire le pourquoi d'un truc qui fonctionne!
Pourquoi lis-tu ceci???
Avatar de l’utilisateur
Fesch
Amiral
Amiral
 
Messages: 2505
Inscrit le: 11 Sep 2003 00:00
Localisation: Luxembourg

Messagepar fachrist » 17 Nov 2003 17:36

C'est pas faux fesch (faux fesch, marrant non? non bon tanpis !) <BR>tu as tout à fait raison, merci !Mais bon, rien que pour la société où je suis, j'aimerai trouver la distrib pouvant les dépanner ! <BR>Merci Fesch, merci tomtom, merci nemesis pour vôtre esprit de solidarité en vers de parfait inconnus, je crois c'est comme cela qu'on avance !
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar Fesch » 17 Nov 2003 17:49

J'ai pas trop étudié le suivant, mais il se pourrais que ce puisse être intéressant pout toi (si jamais t'as encore en vie). C'est aussi gratuit: <BR> <BR><!-- BBCode auto-link start --><a href="http://www.m0n0.ch/wall/" target="_blank">http://www.m0n0.ch/wall/</a><!-- BBCode auto-link end --> <BR> <BR>bonne chance à toit en tout cas ..
Pourquoi lis-tu ceci???
Avatar de l’utilisateur
Fesch
Amiral
Amiral
 
Messages: 2505
Inscrit le: 11 Sep 2003 00:00
Localisation: Luxembourg

Messagepar fachrist » 17 Nov 2003 18:16

je suis têtu, je vais bien trouver une solution, merci !
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar Gesp » 17 Nov 2003 18:50

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>En gros, est-ce possible d'avoir plusieurs serveurs web avec des ip publiques en dmz ?Je veux juste un oui ou un non, pour le reste, je continurai à chercher et pourtant, je cherche mais ça ne me parait pas clair dutout, je pense qu'il y a trop d'interlocuteurs, trop d'avis diffêrents !Je me demande aussi s'il est obligatoire de manipuler iptable, est-ce qu'une administration basique ne peut pas se contenter du gui ? </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Tu ne peux pas avoir à la fois : <BR>- des besoins qui sortent de l'ordinaire <BR>- quelquechose de gratuit <BR>- un produit tout prêt avec une interface web <BR> <BR>A partir de ce qui est gratuit (distribution généraliste ou spécialisée sécurité) tu peux toujours plus ou moins facilement répondre à ton besoin mais ce ne sera pas sans mettre les mains dans le cambouis d'iptables. <BR> <BR>IPCop est trop loin de ton besoin. <BR> <BR>L'intérêt d'IPCop, c'est un produit relativement simple, une interface web avec quand même une possibilité limitée de bidouille. <BR> <BR>Mais plus les changements sont importants, moins cela s'intègre à l'original et l'interface web devient inutile voire nuisible parce qu'elle ne sait intégrer que des paramètres gérés à l'origine par la version, ce qui risque d'écraser les changements effectués à la main. <BR> <BR>
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar gla » 17 Nov 2003 18:51

Tu peux essayer OpenBSD <BR>ou Debian avec IPTables. <BR>ou d'autre encore... <BR> <BR>Le problème c'est qu'il te reste 1 mois... alors quand tu as trouvé, tiens toi à cette solution. <BR>A mon avis, cherche ce qui te semble le plus clair quand tu regardes les doc sur google ou autre et ensuite : fonce ! <BR> <BR>
J'ai connu une polonaise qui en buvait au petit déjeuner...
SMERP : Distribution Open Source pour l'entreprise
Avatar de l’utilisateur
gla
Amiral
Amiral
 
Messages: 1259
Inscrit le: 28 Sep 2002 00:00
Localisation: Grasse

Messagepar fachrist » 17 Nov 2003 19:06

merci pour vos posts ! <BR>Finalement, je me repenche dans astaro qui, je viens de le découvrir, laisse la possibilité d'être utilisé sans les services que la société astaro fait payer (antivirus, update...), il faut juste préciser dans l'installation que l'on veut juste utiliser la partie opensource !
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy

Messagepar fachrist » 17 Nov 2003 19:30

Hé bien je précise que s'il on ne veut utiliser que la partie opensource, il n'y a vraiment rien de fournit ! <BR>Bonne continuation à tous !
Mieux vaut laver son vieux kimono que d'emprunter celui du voisin !
Avatar de l’utilisateur
fachrist
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 15 Oct 2003 00:00
Localisation: nancy


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron