Accès Red vers Green

[Renaud]

J'ai une machine sur le réseau RED avec toujours la même IP. <BR> <BR>Pensez vous qu'il soit <!-- BBCode Start --><B>possible</B><!-- BBCode End --> de rajouter une règle par rapport à l'ip source (et pkoi pas en plus à son @mac) à la main dans rc.firewall pour autoriser cette IP à accéder à toute machine du réseau GREEN ? <BR>

[Renaud]

bien c'est une bonne chose ... <BR> <BR>bon je vais vous embéter plus alors ! <BR> <BR>une idée du comment ?

[tomtom]

Hum... <BR> <BR>Plusieurs remarques .. <BR>1- Qu'appelles-tu "acceder" ? <BR>Si c'est un acces ssh, il faut que tu fasse plusieurs transferts de ports vers les machines e,n question En effet, le nat va te poser des problèmes puisque tu n'as qu'un ip publique. Dans tous les cas, à cause du nat, tu ne pourras acceder physiquement qu'au firewall. Apres, il faut definir les transferts 1 par 1. Impossible donc d'avoir simplmeent un acces sur tous les ports à toutes les machines du green... <BR> <BR>2- AUthentification avec adresse mac sur le net == impossible. L'adresse mac ne parvient jamais jusqu'au firewall. Ce sera donc sur l'ip uniquement, et ceci n'est pas une bonne protection. <BR> <BR> <BR>3- Vu ton besoin, le mieux est de monter un vpn entre ton nomade et le firewall. Ainsi, ton nomade sera "dans le réseau", et pourra acceder à tout ce qu'il veut sur le reseau. En plus, ce sera beaucoup plus securisé (avec ipsec et des clefs par exemple <IMG SRC="images/smiles/icon_smile.gif"> ) <BR> <BR> <BR>t.

[Renaud]

<BR> <BR>Accéder pour moi c'était accéder à des dossiers partagés et un serveur de messagerie situés sur le réseau green. <BR> <BR>Je peux adresser cette machine comme je veux : si j'adresse ma machine en question avec un adressage compatible avec mon réseau green ça ne pourrait pas être plus facile ? ou alors ipcop ne comprendrais plsu ce qui lui arrive ? <BR> <BR>Pour le vpn j'y avait pensé mais je ne peux pas, le poste étant nomade et arrivant à cet endroit par l'intermédiaire d'un serveur vpn pptp ...

[Renaud]

Il faudrait que je rajoute la regle correspondante à : <BR> <BR>ce qui vient de l'interface rouge avec l'adresse IP A de nimporte quel port a le droit d'accéder à telle adresse green (et uniquement celle là si possible) sur n'importe quel port. <BR> <BR>mais je comprends pas si il faut que je rajoute une chaine ou que je modifie une règle d'une chaine déjà existante, et laquelle ? <BR>

[tomtom]

Je ne vois qu'une solution mais je decline toute responsabilité : <BR> <BR>Aucune securité (enfin minime) et plus d'acces depuis l'ip A à ipcop.... <BR> <BR>iptables -t nat -I PREROUTING -s @ip_A -j DNAT --to @ip_B <BR>iptables -I FORWARD -d @ip_B -j ACCEPT <BR> <BR> <BR> <BR>JE TE PREVIENS ENCORE : <BR>Avec cette methode, quelqun spoofant l'adresse A aura un acces à B avec les limites de protections de l'os sur B. Et en cas de prise en main de B, acces à tout le lan..... <BR> <BR>Autant dire que ton FW ne sert plus à grand chose, mais si c'est ce que tu veux ! <BR> <BR>T.

[Renaud]

ok je vais tester je te remercie, je suis bien conscient du trou que ça ouvre, mais pkoi ne pas ajouter ou enlever ces règles à la demande par exemple ? style un script lancé en ssh par le distant qui vient ajouter/enlever ces règles ? <BR> <BR>Puis pour spoofer cette adresse il faut la connaitre non (oui je sais j'essaie de me rassurer !) ? à la limite je peux prévoir un changement systématique à chaque connexion ... enfin pour l'instant c juste pour faire des tests si je trouve un moyen de sécuriser tout ça je viendrais éditer ce thread ...