Aide sur MNF

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar cabal » 13 Jan 2004 14:46

Bonjour, <BR> <BR>J'ai 2 soucis sur la config sécurité de la MNF : <BR>Je vous explique <BR>J'ai 1 serveur intranet sous Apache en DMZ (en port 1000 et 10000 pour le Webmin) <BR>je souhaite accéder à celui-ci depuis le LAN et depuis le WAN. <BR>Auaparavant, j'étais sous SmoothWall et j'avais une redirection de mon port vers cette DMZ et ce serveur et tout fonctionnait, maintenant sous MNF, j'ai un ACCES DENIED, j'ai essayé de paramétrer une exception en LAN-DMZ:1000 mais cela ne marche pas. <BR>2 ème soucis, je souhaite qu'une partie du réseau (poste info) ne passe pas par le Squid (directement du WAN au LAN), mais cela ne fonctionne pas. <BR> <BR>Je suis newbie, j'attend de vos nouvelles. <BR> <BR>Merci <BR> <BR>
Avatar de l’utilisateur
cabal
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 13 Jan 2004 01:00

Messagepar cabal » 14 Jan 2004 14:01

Bonjour, <BR> <BR>Je me permets de remettre le couvert car cela ne fonctionne toujours pas et je ne peux avancer sur ma phase de test....(je trafique plein de chose et je sens que je vais faire des $%#&! donc...) <BR>Je réexplique : <BR>un serveur HTTP en DMZ sur une adresse http;//XXX.XXX.XXX.XXX:1000 ou :10000 en ACCESS DENIED depuis le LAN ou le WAN <BR> <BR>Sinon un acces impossible pour mon serveur relais de messagerie en DMZ depuis mon LAN ou WAN malgré le fait que j'ai modifier mon exception en LAN>DMZ pour le POP3. <BR> <BR>Merci pour vos réponses que j'spère rapide. <BR> <BR>Cabal
Avatar de l’utilisateur
cabal
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 13 Jan 2004 01:00

Messagepar sebastien133 » 15 Jan 2004 13:03

As-tu essayé la commande TCPDUMP pour voir quelles sont les trames qui passent apr ton firewall. <BR> <BR>Je pense que tu n'as pas mis de règles sur le firewall en rapport à ce que tu veux réellement. <BR> <BR>Essais aussi de mettre le contenu de /etc/shorewall/rules sur le forum pour que l'on puisse t'aider. <BR> <BR>Quand au point 2, pourquoi soihaites-tu que certains postes ne passent pas par le proxy? Quel est l'intérêt de ne pas passer par le proxy? <BR> <BR>Respectueusement, <BR> <BR>Sébastien133.
Avatar de l’utilisateur
sebastien133
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 02 Déc 2003 01:00

Messagepar cabal » 15 Jan 2004 13:22

Bonjour, <BR>En fait, le proxy me sert surtout à filtrer un maximum d'URL, limite dans la chartre rien ne passe sauf.... Les informaticiens doivent avoir accès à l'intégralité des URL, je pense que tu te dis, que je peux paramétrer les IP qui ne passent pas par celui-ci (je crois que c'est possible) mais pour le diagnostic a savoir si c'est mon routeur ou le service Squid qui déconne, c'est plus rapide, je ping certains hôte via et hors proxy et je log tout ça. <BR> <BR>Voila quoi <BR> <BR>Sinon pour le shorewall, je reposterai tout ça <BR> <BR>Merci <BR>
Avatar de l’utilisateur
cabal
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 13 Jan 2004 01:00

Messagepar louis » 15 Jan 2004 13:31

Pour le proxy SQUID, pourquoi ne pas utiliser celui-ci pour tous les postes (en transparent ou non) puis paramétrer tes blocages d'URL avec squidguard et dansguardian (inclus dans MNF) et ajouter des exeptions pour les IP des 'informaticiens'.
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar cabal » 15 Jan 2004 13:57

C'est ce que je disai mais si je veux faire des ping au long court au travert et hors MNF, je suis coincé <BR>Mais si c'est trop $%#&!, on ferra comme tu dis
Avatar de l’utilisateur
cabal
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 13 Jan 2004 01:00

Messagepar louis » 15 Jan 2004 15:12

Pourquoi ?
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar cabal » 15 Jan 2004 17:46

non, laisse, je suis bourré et je raconte n'importe quoi, un ping via proxy, pfff, je suis désolé Louis <BR> <BR> <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_up.gif">
Avatar de l’utilisateur
cabal
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 13 Jan 2004 01:00

Messagepar Jacques- » 15 Jan 2004 20:03

Pour bypasser le proxy en http, ce n'est pas vraiment compliqué. <BR>Il suffit d'ouvrir le firewall pour les adresses que tu souhaites dans le sens LAN->WAN sur le 80 et le 443 éventuellement, et de t'arranger pour que tes machines aient la possibilité de résoudre les noms des hôtes sur le web. Pour cela, soit tu mets le DNS caching sur la MNF et tu donnes à toutes tes bécanes l'adresse de la MNF en DNS, soit tu autorises aussi ces machines à faire des requêtes (UDP suffit) sur le 53 vers le WAN, et tu leurs mets le DNS de ton FAI dans leur config IP. <BR>De cette façon, à moins d'être en proxy transparent, tu ne devrais pas avoir de problème. <BR> <BR>Pour ce qui est de ton problème de NAT, le mieux est de mettre l'option log sur les exceptions que tu as mis en place (le niveau info doit suffir) et de regarder tes logs ensuite pour voir ce que shorewall rejette ou trouve invalide. <BR>A partir de là et de tes règles, cela deviendra plus facile de trouver <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar cabal » 16 Jan 2004 09:45

Merci Jacques, je vais logué tout ça et refaire des test lundi. <BR> <BR>Merci et bon WE
Avatar de l’utilisateur
cabal
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 13 Jan 2004 01:00

Messagepar rastanet » 16 Jan 2004 15:21

Hello, <BR> <BR>J'ai de nouveau un petit problème. <BR>Lors de mon installation, MNF détecte mes cartes réseaux et installe (ou me demande quel) le (les) drivers nécessaires. A ce niveau pas de pb. <BR> <BR>Mais lors du reboot de l'ordinateur et du système j'ai un message qu'il ne possède pas le driver et qu'il n'arrive pas à charger. <BR> <BR> <BR>Avez-vous une idée <BR> <BR> <BR>Rastanet <BR> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif">
Ainsi va la vie....
Avatar de l’utilisateur
rastanet
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 17 Nov 2003 01:00

Messagepar rastanet » 16 Jan 2004 15:22

Hello, <BR> <BR>J'ai de nouveau un petit problème. <BR>Lors de mon installation, MNF détecte mes cartes réseaux et installe (ou me demande quel) le (les) drivers nécessaires. A ce niveau pas de pb. <BR> <BR>Mais lors du reboot de l'ordinateur et du système j'ai un message qu'il ne possède pas le driver et qu'il n'arrive pas à charger. <BR> <BR> <BR>Avez-vous une idée <BR> <BR> <BR>Rastanet <BR> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif">
Ainsi va la vie....
Avatar de l’utilisateur
rastanet
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 17 Nov 2003 01:00

Messagepar rastanet » 16 Jan 2004 15:22

Hello, <BR> <BR>J'ai de nouveau un petit problème. <BR>Lors de mon installation, MNF détecte mes cartes réseaux et installe (ou me demande quel) le (les) drivers nécessaires. A ce niveau pas de pb. <BR> <BR>Mais lors du reboot de l'ordinateur et du système j'ai un message qu'il ne possède pas le driver et qu'il n'arrive pas à charger. <BR> <BR> <BR>Avez-vous une idée <BR> <BR> <BR>Rastanet <BR> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif">
Ainsi va la vie....
Avatar de l’utilisateur
rastanet
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 17 Nov 2003 01:00

Messagepar Tidg » 23 Jan 2004 15:05

Pour Cabal : ( car pour Rastanet j'ai pas de réponse désolé <IMG SRC="images/smiles/icon_frown.gif"> ) <BR>et pour info, j'utilise lâ même méthode que toi, serveur http sur DMZ avec un port différent et ma règle est similaire à : DNAT wan dmz:192.168.0.1:1000 tcp 1000. <BR>
Avatar de l’utilisateur
Tidg
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 21 Jan 2003 01:00


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)