Problème difficile : iptables + serveur DNS (IP)

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar gilles_iesa » 26 Fév 2004 15:38

Bonjour, <BR>Mon problème semble difficile ! <BR> <BR>Voilà, j'ai une machine linux (bien sûr) qui fait office de Firewall/Proxy/Routeur avec 2 cartes réseaux, l'une connecté sur le réseau publique, l'autre sur le réseau privé (192.168.0.0). Iptables est configuré est fonctionne bien (partage d'Internet HTTP, FTP et autre). La résolution de nom DNS semble aussi bien fonctionné. <BR> <BR>Dans mon réseau privé, j'ai un serveur DNS sous Windows 2000 Server où je gère trois nom de domaine en "com". Après avoir reconfiguré iptables de mon linux, tout semble fonctionner (de l'exterieur, la résolution de nom fonctionne). <BR> <BR>J'ai également un serveur HTTP sous Windows 2000 Server. Là aussi pas de problème (de l'exterieur, j'accede à mes sites web à partir des noms de domaine). <BR> <BR>MAIS, de mon réseau privé, je ne peux consulter mes propres sites web à partir de leurs noms de domaine. Je détail : <BR>- de l'interieur, je surf sans problème sur le net (avec des sites web externe) ; <BR>- de l'interieur, le nom d'un de mes domaines est bien résolu (testé par ping <!-- BBCode auto-link start --><a href="http://www.mondomaine.com" target="_blank">www.mondomaine.com</a><!-- BBCode auto-link end -->) ; <BR>- de l'interieur, le peux consulter mon site web en utilisant l'IP privé (192.168.0.x) ; <BR>- de l'interieur, je ne PEUX PAX consulter mon site web en utilisant l'IP publique (celle de mon linux) : le problème vient de là ; comment faire, pour atteindre ma machine privé à partir de mon IP publique DE L'INTERIEUR du réseau privé ? <BR>Il faut certainement donner un ordre iptables, afin de lui dire que de l'interieur, lorsqu'il s'agit de sa propre IP publique, qu'il fasse le même travail que si cela venait de l'exterieur. <BR> <BR>Désolé pour ce long message, les quelques lignes du bas aurrait peut-être suffit, mais je préféré détailler tout de suite la configuration de mon réseau. <BR> <BR>Merci mille fois pour vos réponses. <BR> <BR>Gilles
Avatar de l’utilisateur
gilles_iesa
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Fév 2004 01:00

Messagepar Petzi » 26 Fév 2004 16:40

J'ai déjà entendu plusieurs fois ce genre de problème, et à ma connaissance ceci est normal et on ne peux pas accéder à une machine LAN via son adresse externe. <BR>Si je me trompe merci de me le faire savoir, la réponse m'intéresse.
Petzi[Si la solution semble stupide, mais qu'elle fonctionne...Alors elle n'est pas stupide!]
Avatar de l’utilisateur
Petzi
Contre-Amiral
Contre-Amiral
 
Messages: 391
Inscrit le: 12 Jan 2004 01:00
Localisation: GE

Messagepar guezguenne » 26 Fév 2004 17:12

Il faudrait plus de détail sur la conf de ton firewall. <BR> <BR>Sur quoi tu te basse pour filtrer ! <BR> <BR>Si tu file pas la configuration complète de ton firewall je pense que personne ne pourra trouver une solution. <BR> <BR>mais je pense que le problème est bien là. <BR> <BR>Pourquoi travailes-tu avec des IP et non des noms DNS ? <IMG SRC="images/smiles/icon_find.gif"> <BR> <BR>Thom
Avatar de l’utilisateur
guezguenne
Matelot
Matelot
 
Messages: 1
Inscrit le: 26 Fév 2004 01:00

Messagepar nomat » 26 Fév 2004 17:37

Le plus simple et le moin dangereux est que tu ajoutes un hote dans ton dns win 2000 en mettant : <BR> <BR>ip_privé et nom de l'hote www par exemple
Avatar de l’utilisateur
nomat
Major
Major
 
Messages: 90
Inscrit le: 26 Juin 2003 00:00
Localisation: Nice

Messagepar gilles_iesa » 26 Fév 2004 18:06

Dabord merci pour réponses... <BR> <BR>Réponse à nomat : <BR>Je ne peux pas mettre l'IP privé à mon hôte www puisque ce serveur DNS est publique et attribut l'hôte www à mon adresse publique. <BR> <BR>Réponse à quezquenne : <BR>Voilà un petit exemplaire de mon script iptables <BR> <BR>(## script effacé ##) <BR> <BR>Voilà. Merci pour votre aide. Je pense que cela sera bien profitable pour tout le monde. <BR> <BR>Gilles<BR><BR><font size=-2></font>
Avatar de l’utilisateur
gilles_iesa
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Fév 2004 01:00

Messagepar nomat » 27 Fév 2004 12:46

une autre solution pourrait être de modifier le fichier : <BR> <BR>C:WINNTsystem32driversetchosts <BR> <BR>pour y ajouter une ligne du type : <BR> <BR>192.168.X.X <!-- BBCode auto-link start --><a href="http://www.tondomaine.com" target="_blank">www.tondomaine.com</a><!-- BBCode auto-link end --> <BR> <BR>Cela aura pour effet de résoudre le ou les nom(s) de domaine présent dans ce fichier sans passer par le serveur DNS. <BR> <BR>Il est vrai que cela n'est pas trés pratique dans la mesure ou il faut modifier ce fichier sur toute les stations devant accéder à ton site mais au moins cela ne remet pas en cause la sécurité de ton firewall.
Avatar de l’utilisateur
nomat
Major
Major
 
Messages: 90
Inscrit le: 26 Juin 2003 00:00
Localisation: Nice

Messagepar gilles_iesa » 27 Fév 2004 13:20

Oui, j'avais pensé à cela, mais effectivement un peut long, car j'ai plus de 30 machines derrière ! Peut-être faire cette modification avec une GPO ? <BR> <BR>Gilles<BR><BR><font size=-2></font>
Avatar de l’utilisateur
gilles_iesa
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Fév 2004 01:00

Messagepar gilles_iesa » 27 Fév 2004 14:04

Pour info, voici quelques remarques concernant mes recherches et tests : <BR> <BR>- Après configuration de mon serveur web, je consulte maintenant mon site web de l'exterieur directement avec l'IP publique (de mon linux), iptables fait bien son boulot et route la requête HTTP vers mon serveur HTTP ayant comme IP privé 192.168.0.x ; <BR>- De l'interieur, je ne peux pas consulter mon site web avec l'IP publique (idem que le problème initial avec le nom de domaine - je problème est le même) ; <BR> <BR>La solution est sûrement pas loin ; de mon PC privé, lorsqu'il faut atteindre un hôte publique, la passerrelle (mon linux) est utilisé ainsi que iptables (firewall de mon linux). Celui-ci constate qu'il s'agit de lui-même, mais le problème, c'est qu'il n'est pas capable de re-filtrer et re-router par iptables la requête HTTP vers mon réseau privé afin de router la requête vers mon serveur HTTP 192.168.0.x. iptables devrait en fait fonctionner 2 fois pour ce genre de requête. <BR> <BR>Je cherche, je cherche... <IMG SRC="images/smiles/icon_cry.gif"> <BR> <BR>Merci pour votre aide. <BR>Gilles
Avatar de l’utilisateur
gilles_iesa
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Fév 2004 01:00

Messagepar GozerX99 » 27 Fév 2004 15:09

"iptables devrait en fait fonctionner 2 fois pour ce genre de requête" <BR>Je commentes ce que tu as dit, car je ne pense pas que celà soit possible (c'est d'ailleurs pas spécifique à iptables, j'ai déjà rencontrer le pb sur du FW-1 Checkpoint), sauf peut-être en contournant le pb, mais je ne vois pas comment ... (y a d'autres spécialistes iptables bcp plus pointus que moi sur le forum <IMG SRC="images/smiles/icon_smile.gif"> ) <BR>En plus, au vu des tes règles, le firewall voit arriver des requêtes pour des adresses IP publiques (qu'il possède sur l'interface eth0 à priori) avec des adresses IP privés de l'interface eth1, donc pour lui, c'est pas logique que tu n'y accède pas directement (ben, oui, mets toi à sa place, hein ? ... bon, okai j'arrêtes de dire des bétises <IMG SRC="images/smiles/icon_biggrin.gif"> ) <BR>De plus, il y a peut-être l'antispoofing du noyau qui doit faire des siennes si tu l'as activé (je l'ai pas vu dans ton fichier de règles, mais tu peux l'avoir activé ailleurs ...). <BR> <BR>Par contre, j'aurais une solution plus simple à te proposer et j'aurais moi même fait à ta place, c'est de créér un nouveau serveur DNS (sur le même serveur physique) que tu fais écouter sur une nouvelle adresse IP, où tu géres les même domaines .com , mais où tu renseignes les adresses IP privés pour tes serveurs et pour tous les services qui sont visibles depuis l'Internet et qui sont NATés par le Firewall. En gros, c'est faire une autre instance DNS avec "visibilité privé" et pas publique. Pour simplifier la mise en oeuvre, tu peux mettre le serveur à "visibilité privé" sur l'adresse IP actuelle de ton serveur DNS, et basculer celui à "visibilité publique" sur une autre adresse IP. Ceci fait, tu n'as qu'à modifier ton firewall pour rediriger les flux DNS vers la nouvelle adresse IP du serveur DNS à "visibilité publique", et aucunes modifications n'est nécessaire sur les postes de travail (pour eux rien ne change, à part les réponses en adresses IP privés que va donner le "nouveau" serveur DNS). <BR>Celà a l'avante de ne pas surcharger la bande passante du Firewall (ca peut être négligeable, mais bon, je tiens à le dire ...) par les postes de travail pour accéder à tes services visibles depuis l'Internet.
Avatar de l’utilisateur
GozerX99
Aspirant
Aspirant
 
Messages: 131
Inscrit le: 11 Juin 2003 00:00


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron