Aide sur MNF

[cabal]

Bonjour, <BR> <BR>J'ai 2 soucis sur la config sécurité de la MNF : <BR>Je vous explique <BR>J'ai 1 serveur intranet sous Apache en DMZ (en port 1000 et 10000 pour le Webmin) <BR>je souhaite accéder à celui-ci depuis le LAN et depuis le WAN. <BR>Auaparavant, j'étais sous SmoothWall et j'avais une redirection de mon port vers cette DMZ et ce serveur et tout fonctionnait, maintenant sous MNF, j'ai un ACCES DENIED, j'ai essayé de paramétrer une exception en LAN-DMZ:1000 mais cela ne marche pas. <BR>2 ème soucis, je souhaite qu'une partie du réseau (poste info) ne passe pas par le Squid (directement du WAN au LAN), mais cela ne fonctionne pas. <BR> <BR>Je suis newbie, j'attend de vos nouvelles. <BR> <BR>Merci <BR> <BR>

[cabal]

Bonjour, <BR> <BR>Je me permets de remettre le couvert car cela ne fonctionne toujours pas et je ne peux avancer sur ma phase de test....(je trafique plein de chose et je sens que je vais faire des $%#&! donc...) <BR>Je réexplique : <BR>un serveur HTTP en DMZ sur une adresse http;//XXX.XXX.XXX.XXX:1000 ou :10000 en ACCESS DENIED depuis le LAN ou le WAN <BR> <BR>Sinon un acces impossible pour mon serveur relais de messagerie en DMZ depuis mon LAN ou WAN malgré le fait que j'ai modifier mon exception en LAN>DMZ pour le POP3. <BR> <BR>Merci pour vos réponses que j'spère rapide. <BR> <BR>Cabal

[sebastien133]

As-tu essayé la commande TCPDUMP pour voir quelles sont les trames qui passent apr ton firewall. <BR> <BR>Je pense que tu n'as pas mis de règles sur le firewall en rapport à ce que tu veux réellement. <BR> <BR>Essais aussi de mettre le contenu de /etc/shorewall/rules sur le forum pour que l'on puisse t'aider. <BR> <BR>Quand au point 2, pourquoi soihaites-tu que certains postes ne passent pas par le proxy? Quel est l'intérêt de ne pas passer par le proxy? <BR> <BR>Respectueusement, <BR> <BR>Sébastien133.

[cabal]

Bonjour, <BR>En fait, le proxy me sert surtout à filtrer un maximum d'URL, limite dans la chartre rien ne passe sauf.... Les informaticiens doivent avoir accès à l'intégralité des URL, je pense que tu te dis, que je peux paramétrer les IP qui ne passent pas par celui-ci (je crois que c'est possible) mais pour le diagnostic a savoir si c'est mon routeur ou le service Squid qui déconne, c'est plus rapide, je ping certains hôte via et hors proxy et je log tout ça. <BR> <BR>Voila quoi <BR> <BR>Sinon pour le shorewall, je reposterai tout ça <BR> <BR>Merci <BR>

[louis]

Pour le proxy SQUID, pourquoi ne pas utiliser celui-ci pour tous les postes (en transparent ou non) puis paramétrer tes blocages d'URL avec squidguard et dansguardian (inclus dans MNF) et ajouter des exeptions pour les IP des 'informaticiens'.

[cabal]

C'est ce que je disai mais si je veux faire des ping au long court au travert et hors MNF, je suis coincé <BR>Mais si c'est trop $%#&!, on ferra comme tu dis

[louis]

Pourquoi ?

[cabal]

non, laisse, je suis bourré et je raconte n'importe quoi, un ping via proxy, pfff, je suis désolé Louis <BR> <BR> <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_up.gif">

[Jacques-]

Pour bypasser le proxy en http, ce n'est pas vraiment compliqué. <BR>Il suffit d'ouvrir le firewall pour les adresses que tu souhaites dans le sens LAN->WAN sur le 80 et le 443 éventuellement, et de t'arranger pour que tes machines aient la possibilité de résoudre les noms des hôtes sur le web. Pour cela, soit tu mets le DNS caching sur la MNF et tu donnes à toutes tes bécanes l'adresse de la MNF en DNS, soit tu autorises aussi ces machines à faire des requêtes (UDP suffit) sur le 53 vers le WAN, et tu leurs mets le DNS de ton FAI dans leur config IP. <BR>De cette façon, à moins d'être en proxy transparent, tu ne devrais pas avoir de problème. <BR> <BR>Pour ce qui est de ton problème de NAT, le mieux est de mettre l'option log sur les exceptions que tu as mis en place (le niveau info doit suffir) et de regarder tes logs ensuite pour voir ce que shorewall rejette ou trouve invalide. <BR>A partir de là et de tes règles, cela deviendra plus facile de trouver <BR> <BR>Jacques

[cabal]

Merci Jacques, je vais logué tout ça et refaire des test lundi. <BR> <BR>Merci et bon WE

[rastanet]

Hello, <BR> <BR>J'ai de nouveau un petit problème. <BR>Lors de mon installation, MNF détecte mes cartes réseaux et installe (ou me demande quel) le (les) drivers nécessaires. A ce niveau pas de pb. <BR> <BR>Mais lors du reboot de l'ordinateur et du système j'ai un message qu'il ne possède pas le driver et qu'il n'arrive pas à charger. <BR> <BR> <BR>Avez-vous une idée <BR> <BR> <BR>Rastanet <BR> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif">

[rastanet]

Hello, <BR> <BR>J'ai de nouveau un petit problème. <BR>Lors de mon installation, MNF détecte mes cartes réseaux et installe (ou me demande quel) le (les) drivers nécessaires. A ce niveau pas de pb. <BR> <BR>Mais lors du reboot de l'ordinateur et du système j'ai un message qu'il ne possède pas le driver et qu'il n'arrive pas à charger. <BR> <BR> <BR>Avez-vous une idée <BR> <BR> <BR>Rastanet <BR> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif">

[rastanet]

Hello, <BR> <BR>J'ai de nouveau un petit problème. <BR>Lors de mon installation, MNF détecte mes cartes réseaux et installe (ou me demande quel) le (les) drivers nécessaires. A ce niveau pas de pb. <BR> <BR>Mais lors du reboot de l'ordinateur et du système j'ai un message qu'il ne possède pas le driver et qu'il n'arrive pas à charger. <BR> <BR> <BR>Avez-vous une idée <BR> <BR> <BR>Rastanet <BR> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif">

[Tidg]

Pour Cabal : ( car pour Rastanet j'ai pas de réponse désolé <IMG SRC="images/smiles/icon_frown.gif"> ) <BR>et pour info, j'utilise lâ même méthode que toi, serveur http sur DMZ avec un port différent et ma règle est similaire à : DNAT wan dmz:192.168.0.1:1000 tcp 1000. <BR>