Mise en place d'une DMZ

[Franck]

Bonjour, <BR> <BR>Et oui c’est encore moi. <IMG SRC="images/smiles/icon_boxe2.gif"> <BR>Je viens de mettre en place une DMZ, j’ai donc rajouté une 3éme carte réseau dans ma machine IPCOP. <IMG SRC="images/smiles/icon_razz.gif"> <BR>Lors de l’installation de cette 3éme carte Ipcop m’a demandé une adresse IP je lui ai donné 192.168.2xx.xxx ( Adresse de Orange ) <BR>L’adresse IP de ma Green est 192.168.x.x <BR> <BR>Que dois je faire sur ma machine qui comporte mon serveur FTP ? Attribuer l’adresse que j’ai choisis pour ORANGE ( 192.168.2xx.xxx ) ou laissé le pc faire ? ( sachant que si je fais ça je trouve une IP du type 169.2x4.x.xx ) <BR> <BR>Je souhaite aussi accéder au web depuis cette machine FTP. <BR>Quels ports ouvrir comment et ou ? <BR> <BR>J’ai essayé les anciens posts main sans résultat. <BR> <BR>Merci d’avance. <IMG SRC="images/smiles/icon_help.gif"> <BR> <BR>Franck <BR> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">

[antolien]

Ben il faut mettre une ip fixe à ta machine avec par ex: <BR> <BR>Serveur ftp : 192.168.2.2 mask 255.255.255.0 <BR> <BR>Avec comme @ip pour ta carte orange (ipcop) 192.168.2.1 meme masque <BR> <BR>Il faut que ton rezo green aie une plage d'@ip différente (genre 192.168.1.0 /24) <BR> <BR>Pour que ton ftp fonctionne de l'exterieur, il faut bien entendu faire un forward sur ton serveur du port 21 et l'ouvrir de l'exterieur. <BR> <BR>Pour le surf ça devrai marcher tout seul une fois la bonne adresse ip mise (je te conseille de mettre comme passerelle par défaut l'@ip d'ipcop), <BR> <BR>Etant donné l'adresse 169.254.x.x tu es sur windows 2000 et c'est une adresse qu'il c'est attribué tout seul car tu est en DHCP, ainsi c'est normal que tu ne puisse pas communiquer avec l'interface orange d'ipcop. <BR> <BR>Autre précision, la DMZ permet d'isoler ton serveur ftp de ton LAN(et ainsi le proteger des attaques exterieures), donc tu ne pourras pas utiliser ni joindre ton ftp du LAN(coté vert). <BR> <BR>Si tu veux verifier qu'il est accessible de l'exterieur, va sur un site de scan pour voir si le ftp 21 est bien ouvert. <BR>grc.com par exemple c'est rapide. <BR> <BR>Encore un truc, je te déconseille d'utiliser le serveur ftp de IIS W2000 car il est $%#&!, plusieurs programmes légers et facilement configurables sont dispos et ont l'avantage de te créer des logs, des users et passwords. de ce fait tu sauras en permanence ce qu'il se passe. <BR> <BR>Long message <IMG SRC="images/smiles/icon_eek.gif"> , j'espère que ça t'aide <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">

[Franck]

Bonjour, <BR> <BR> <BR>oui ça m'aide beaucoup, je vais essayer ce soir. <BR> <BR>Par contre il me sera vraiment impossible d'acceder à mon FTP par ma zone verte ? <BR>Ou y a t'il un moyen de l'ouvrir à mon reseau vert de temps en temps ? <BR> <BR>Merci <BR> <BR>Franck

[black_plague]

si si tu peux joindre ta DMZ depuis tonGREEN en utilisant DMZpinhole. Ca marche mais c'est nettement moins sécurisé mais a la limite pour une utilisation temporaire... A toi de voir

[Franck]

Bonjour, <BR> <BR>j'ai fait tous ce que Antolien m'a indiqué et cela ne fonctionne toujours pas. <BR> <BR>J'arrive depuis une des mes station verte à pinger ma carte orange, mais je n'ai pas de reponse de mon serveur FTP. <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Depuis mon serveur FTP impossible de pinger quoi que ce soit. <IMG SRC="images/smiles/icon_mad.gif"> <BR> <BR>Que faire ? <BR> <BR>Franck <IMG SRC="images/smiles/icon_confused.gif">

[tetack]

je pense qu'on manque de details pour t'aider .. <BR>si tu peux preciser un peu <BR>genre t'as fait koi dans tes regles de FW ?

[antolien]

nan mais c'est normal que tu puisses pas pinger ton serveur ftp du coté vert je te l'ai dit, maintenant de ton ipcop tu dois pouvoir pinger ton serveur ftp. <BR> <BR>puis il nous fo plus de details en effet, tu as fait le forward, et ouvert le port de l'exterieur ? <BR> <BR>si tu veux ouvrir les port de ta dmz en interne, autant mettre ton ftp dans le vert

[Franck]

Bonjour, <BR> <BR>suite à votre demande, je n'ai fait aucune regles de FW. <BR> <BR>J'ai ouvert le port 21 en TCP et forwarder le port vers ma machine FTP. <BR> <BR>C'est tout pour le moment. <BR> <BR>Juste pour info je me pose une question à propos du câblage. Ma maison est câblé et le brassage se fait dans le garage là ou est ma machine IPCOP, j'ai brassé la carte Orange avec un câble croisé et une fois dans le bureau ( ou est mon FTP )je brasse avec un câble droit. <BR>La carte reseau de mon FTP et celle de l'orange sont allumé. C'est bon ? <BR> <BR>Franck. <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">

[antolien]

à priori oui si c'est allumé c'est bon. <BR>pour le reste(vert) tu as un switch ? <BR> <BR>va sur grc.com(tu vas sur probe my port) pour voir si le 21 repond, si tu vois open, c'est que c'est bon. <BR> <BR> Ensuite, si tu veux joindre de ton vert ta dmz, sur la console tu tapes : <BR> <BR>ipchains -A forward -s ip_serveur/mask -d ip_reseau/mask 21 -p udp -j ACCEPT

[Franck]

le probléme peux il venir de ma carte reseau ? <BR> <BR>Pourtant IPCOP a trouvé mes 3 carte sans probleme. <BR> <BR>GREEN 3COM <BR>ORANGE COMPAQ <BR>RED INTEL <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">

[antolien]

s'il les as détectées et installées, c'est bon je pense. koike "compaq" ça veut rien dire, ce doit être une realteck.. <BR>

[Franck]

Pour la carte c'est une Compaq Netelligent 10/100 TX PCI UTP, je crois qu'elle a un base Intel en fait. <BR> <BR>Je vais essayer avec une 3 Com <BR> <BR>Merci <BR> <BR>Franck <IMG SRC="images/smiles/icon_confused.gif">

[Franck]

Bonjour, <BR> <BR>je suis allé sur grc.com tester mon port 21 avec ma nouvelle carte reseau 3com et bien cela fonctionne !!! <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Merci à tous je vous donne le detail après d'autres tests. <BR> <BR>Franck <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR> <BR>_________________ <BR>Pentium 133 Mhz 48 Mo de Ram disque dur 1 Go + IPCOP v0.1.2pre4 <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR><font size=-2></font><BR><BR><font size=-2></font>

[antolien]

donc le 21 est ouvert, et le forward marche bien. <BR> <BR>Il faut que ta zone orange ne soit pas sur le même sous-réseaux. <BR>le masque peut être le même, (soit 255.255.255.0 en general) mais avec une plage de sable fin , euh pardon d'adresse différente (inderieur au masque) sinon aucun routage ne pourra être fait. <BR>Donc pour recapituler, 192.168.1.x pour le vert et 192.168.100.x pour le orange. <BR>des adresses différentes pour chaque machine pour eviter les conflits. <BR> <BR>question, un ping de la console ipcop vers ton serveur ftp ? la réponse est ?

[antolien]

après avoir réédité son message, <BR> <BR>ma réponse ne veux plus rien dire, <BR>m'enfin à l'origine il y avait une question qui formulai : <BR>je dois avoir un masque différent entre mes zones zones orange et vertes ? <BR> <BR>voilà la raison,<BR><BR><font size=-2></font>