Toujours le même soucis et pô de réponse
Modérateur: modos Ixus
13 messages
• Page 1 sur 1
par cabal » 15 Jan 2004 13:00
Re-re-rebonjour,
<BR>
<BR>Je m'en remets à vous sur le <IMG SRC="images/smiles/icon_mad.gif"> <IMG SRC="images/smiles/icon_confused.gif"> foutu problème d'accès a :
<BR>1-mon serveur Intranet en <!-- BBCode auto-link start --><a href="http://aaa.bbb.ccc.ddd:1000" target="_blank">http://aaa.bbb.ccc.ddd:1000</a><!-- BBCode auto-link end --> en DMZ
<BR>2-mon serveur de messagerie en DMZ
<BR>
<BR>Je vais finir par la passer par la fenetre cette MNF (bon j'ai pas de fenêtre dans la salle serveur mais je vais me débrouiller) <IMG SRC="images/smiles/icon_wink.gif">
<BR>
<BR>Please, help, j'ai de moins en moins de cheveux à force de me les arracher !!
<BR>
<BR>Merci pour vos réponses
<BR>
<BR>Cabal
-
cabal - Second Maître
- Messages: 30
- Inscrit le: 13 Jan 2004 01:00
par loubard » 15 Jan 2004 13:03
je connais pas la solution a ton premier probleme mais en ce qui concerne les cheveux : <!-- BBCode auto-link start --><a href="http://www.moumoute.com" target="_blank">http://www.moumoute.com</a><!-- BBCode auto-link end --> <IMG SRC="images/smiles/icon_lol.gif">
Loub'
celeron 500 128Mo sdram -MONOWALL- no HDD
Lan+DMZ freeadsl Mb
celeron 500 128Mo sdram -MONOWALL- no HDD
Lan+DMZ freeadsl Mb
-
loubard - Lieutenant de vaisseau
- Messages: 206
- Inscrit le: 15 Jan 2004 01:00
- Localisation: Lyon
par louis » 15 Jan 2004 13:24
Bonjour,
<BR>
<BR>Quand tu ne sais pas quel port ouvrir et quel protocole, il te suffit de visualiser le log 'syslog' sur la MNF pour voir où ca bloque.
<BR>Cela va te décrire ce qui est rejeté (port et protocole) et pourquoi ? A toi d'ajouter le ou les exemptions.
- louis
- Aspirant
- Messages: 120
- Inscrit le: 27 Jan 2003 01:00
par cabal » 15 Jan 2004 13:54
Bonjour Louis
<BR>
<BR>Voila ma log SYSVOL, cependant, j'ai ouvert les exceptions LAN2DMZ sur le port 110 en pointant même vers la machine serveur de messagerie
<BR>
<BR>Jan 15 12:44:49 z6po kernel: Shorewall:lan2all:REJECT:IN=eth0 OUT=eth1 SRC=172.16.2.201 DST=209.191.169.2 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=23944 DF PROTO=TCP SPT=1811 DPT=110 WINDOW=64240 RES=0x00 SYN URGP=0
<BR>>donc j'ai bien une c... dans le potage
<BR>
<BR>Je joint aussi les rêgles d'exception, si tu veux
<BR>ACCEPT lan dmz:209.191.169.3:1000 udp http -
<BR>ACCEPT wan dmz:209.191.169.3:1000 tcp http -
<BR>ACCEPT lan dmz:209.191.169.2 tcp pop3 -
<BR>ACCEPT wan dmz:209.191.169.2 tcp pop3 -
<BR>ACCEPT lan dmz:209.191.169.2 tcp smtp -
<BR>
<BR>pour info, les 2 premières exceptions sont pour un accès vers l'Intranet, par contre, comment router mon adresse public vers cette adresse en DMZ pour que les utilisateurs du WAN puisse atteindre ces applis (POP, SMTP et Intranet), je crois que c'est un paramétrage de masquarade mais est ce qq'un peux m'expliquer le principe sans vouloir abuser de votre gentillesse
<BR>
<BR>Cabal
<BR>
-
cabal - Second Maître
- Messages: 30
- Inscrit le: 13 Jan 2004 01:00
par jdh » 15 Jan 2004 14:29
D'apres ce que tu décris (trop peu pour t'aider !) :
<BR>
<BR>Ton fw dispose de 3 interfaces :
<BR>wan -> internet :
<BR>dmz -> zone dmz : 209.191.169.2 et 3
<BR>lan -> réseau local : 172.16.x.x
<BR>
<BR>Premièrement, la DMZ ne devrait pas utiliser d'adressage public : par sécurité et parce que tu dois couper en 2 les adresses publiques qui te sont fournies d'où perte d'adresse.
<BR>
<BR>Deuxièmement tu dois utiliser plutot un DNAT qu'un ACCEPT qui effectue justement la translation d'adresse nécessaire.
<BR>
<BR>Enfin la première règle indique http sur udp ce qui est erroné : http (=80) ne fonctionne que sur tcp à ma connaissance.
<BR>
<BR>
<BR>Pour terminer, tu parles de "masquarade" (masquerade est correct). Il s'agit de l'essentiel :
<BR>
<BR>Un réseau privé (conforme à la RFC 1918) utilise les adresses dite "privées" (192.168.x.x, 172.16-31.x.x ou 10.x.x.x). Pour se connecter à Internet, il est néecessaire de changer d'adresse au travers d'une translation (en anglais "masquerade). Il en existe 2 sortes :
<BR>
<BR>SNAT : Source Network Address Translation : remplacement de l'adresse source (du réseau interne) par l'adresse du firewall (externe donc publique). (Au retour le firewall retranslate via une table qu'il maintient)
<BR>
<BR>DNAT : Destination : le firewall translate l'adresse cible (=destination) en l'adresse réelle => dans la DMZ (adresse privée). (Au retour même chose en sens inverse).
<BR>
<BR>
<BR>Il reste généralement une difficulté : le LAN n'accède pas à la DMZ par l'adresse externe mais par l'adresse réelle. On résoud en créant un DNS privé. Mais ca devient plus compliqué.
<BR>
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par louis » 15 Jan 2004 15:09
Si tu modifie les exeptions sans faire référence explicite à ton serveur de mail, cad :
<BR>
<BR>ACCEPT lan dmz tcp pop3 -
<BR>ACCEPT lan dmz tcp smtp -
<BR>
<BR>puis service shorewall restart
<BR>
<BR>As-tu le meme rejet ?
- louis
- Aspirant
- Messages: 120
- Inscrit le: 27 Jan 2003 01:00
par remi » 15 Jan 2004 15:23
Bonjour, ...
<BR>
<BR>Ma question porte sur le serveur en DMZ....
<BR>
<BR>Arrive tu depuis ce serveur a pinger un site tel que <!-- BBCode auto-link start --><a href="http://www.yahoo.fr" target="_blank">http://www.yahoo.fr</a><!-- BBCode auto-link end -->
<BR>Le probleme peut venir de ton serveur qui n'arrive pas a comuniquer en retour.
<BR>
<BR>_________________
<BR>"Vers l'infini et l'au-dela"<BR><BR><font size=-2></font>
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
-
remi - AdminIxus
- Messages: 3218
- Inscrit le: 22 Avr 2002 00:00
- Localisation: Lyon
par cabal » 15 Jan 2004 16:16
Tout d'abord merci pour vos nombreuw et précieux renseignement, désolé jdh ne n'avoir été plus explicite au départ.
<BR>je fais un package pour tous, cela évite trop de post et donc de se gourrer
<BR>
<BR>JDH : Je pensais que du moment où j'étais isolé du réseau public, je pouvais utiliser une adresse de type 209.191.169.0/16, grossière erreur, pourtant sous la smoothwall, cela n'avait pas posé de conflit.(j'ai eu du bol)
<BR>Pour le masquerade (là c'était une faute de frappe), je suis derrière un routeur oleane donc est-ce nécessaire car je pense qu'ils en font déja un non??
<BR>Je vais faire des tests
<BR>Est ce tout de même nécessaire point de vue sécurité ??
<BR>
<BR>Louis : J'ai les mêmes pb, j'avais déja démarré par là d'ailleurs sans résultats
<BR>
<BR>Remi : pour l'instant, je suis en phase de test donc pour sortir, j'ai mon système en exploitation, je vais être obligé de faire mes tests tard ce soir ou ce We
<BR>
<BR>Merci
<BR>
<BR>
-
cabal - Second Maître
- Messages: 30
- Inscrit le: 13 Jan 2004 01:00
par sebastien133 » 15 Jan 2004 16:30
Pour webmin (port 10000), il ne s'agit pas de http mais de https... Ce n'est pas le même port.
<BR>
<BR>Sebastien133.
<BR>
<BR>PS : Utilise TCPDUMP pour voir les trames qui arrivent, cela va te simplifier grandement la vie... <IMG SRC="images/smiles/icon_wink.gif">
-
sebastien133 - Quartier Maître
- Messages: 19
- Inscrit le: 02 Déc 2003 01:00
par sebastien133 » 16 Jan 2004 14:26
ACCEPT lan dmz:209.191.169.3:1000 udp http -
<BR>
<BR>C'est faux... http = 80, si tu mets 10000, tu insinus que port = 80 = 1000.
<BR>
<BR>Ce qui n' a pas de sens... Il faut mettre à la place :
<BR>
<BR>ACCEPT lan dmz:209.191.169.3 udp https -
-
sebastien133 - Quartier Maître
- Messages: 19
- Inscrit le: 02 Déc 2003 01:00
13 messages
• Page 1 sur 1
Retour vers Mandriva MNF & SNF
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité