VPN entre deux zones DMZ

[acrorezo]

Bonsoir,
Je dispose de trois machines IPCop sur en frontal sur le net. Le tout tourne sur ipcop 1.3, les VPN de green a green fonctionnent parfaitement, le binz c'est que pour chaqun des trois reseaux c'est un DMZ commun que je desire avoir et la rien a faire...
Je n'ai pas encore mis les mains dans les regles IPtables elle ont l'air d'etre assez pointue et je ne desire pas rajouter un bug dans cette distro qui filtre si bien en programmant une regle qui s'averera d'etre de troie car realisee a la methode bourrin....
Quelqu'un l'a deja fait ? Ou maitrise bien les regles IPTABLE implementées dans IPCOP.
Merci d'avance

[Franck78]

Je sais bien qu'il y a de super décodeurs parmis les ixusiens mais franchement, c'est trop obscur.

Quelle est la situation actuelle
(schéma, adressage, info utiles,...)

Quel est le changement envisagé ?

[acrorezo]

Machine 1 IPCOP 1.3 :
Red: IP Publique statique
Orange : 10.122.252.254 network 10.122.252.0/24
Green : 172.17.1.254 network 172.17.1.0/24

Reseau 10.122.252.0/24 :Serveur DNS, www, https, ...

Machine 2 IPCOP 1.3 :
Red: IP Publique statique
Orange : 10.122.254.254 network 10.122.252.0/24
Green : 172.17.0.254 network 172.17.1.0/24

Reseau 10.122.254.0/24 :Serveur DNS secondaire , www & https de secours



Je desire que mes machines qui sont sur les DMZ communiquent entre elles.
Elle sont situee a deux (en realite trois, car trois machines ipcop) endroit differents.

Un VPN entre les pattes vertes des ipcop 1 & 2 repondent nickel a icmp & autres titillages.

Cela se gate lorsque j'essaye de monter le VPN entre les zones DMZ (papattes orange des ipcop's), plus rien ne passe!

[acrorezo]

Machine 2:
...
Green : 172.17.0.254 network 172.17.0.0/24
...

[yanfox]

il faut "bricoler" ton firewall...

En pratique je suis incapable de te dire comment faire... par défaut il me semble ques les zones orange n'ont le droit a RIEN mais que l'on autorise des accès externes de tout le monde chez eux (le but d'une DMZ finalement :p)

Maintenant je pense que rien ne t'empeche d'ajouter des règles iptable dans rc.firewall afin de donnez le droit aux oranges de dialoguer entre eux via les interfaces ipsec...

Je débute sur iptables mais je progresse dans la démarche logique non ? (j'espère être sur la bonne voie sinon je suis pas pret d'établir mes règles firewall tout seul :p

bon courage

[acrorezo]

Merci,
en effet je suppose que la regle qui suit est celle qui me bloque, et qu'il existe une raison pour laquelle les devellopeurs d'IPcop on specifiquement interdit ipsec sur le dmz, sans options pour l'activer depuis le gui....

# Port forwarding
if [ "$ORANGE_DEV" != "" ]; then
# This rule enables a host on ORANGE network to connect to the outside
/sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j DROP
/sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp \
-o ! $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp \
-o ! $GREEN_DEV -j ACCEPT



Quelqu'un a une idee a quoi je doit m'attendre comme trou si je vire le DROP pour cette regle : "/sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j "

[Franck78]

Voila, comme ca, ca devient tout de suite plus clair.
Tu as donc trois sites dont les GREEN sont déja reliès par un VPN et tu désires simplement mettre en place un deuxième VPN entre les ORANGE.

Et ca marche pas !


Je ne t'aiderais pas trop sur 1.3, je ne la connais pas.
Tu fais donc un nouveau VPN host-to-host et tu spécifies bien que les sous réseaux distant sont ceux des dmz ORANGE, et les Ip RED pour les HOST.
Exactement comme les GREEN existant.

Et la plus rien !

L'interface Ipcop accepte, bien sur, le nouveau VPN..., sans quoi tu nous aurais fais part d'un refus.


Alors sous 1.4, il n'y a pas a priori d'interdiction particulière dans iptables pour IpSec:
J'ai pas épluché tout le code, mais il devrait en toute logique se trouver dans cette chaine. une interdiction équivalente a celle présente dans 1.3.

Tu peux supprimer cette restriction sans soucis.

Code: Tout sélectionner

root@thewall:/etc/rc.d # iptables -n -L IPSECRED
Chain IPSECRED (1 references)
target     prot opt source               destination
ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:500 dpt:500
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:4500 dpt:4500


Et la table de routage est remplie comme il faut:
(note le vpn vers 192.168.0.0)

Code: Tout sélectionner

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
d80-170-128-1.c *               255.255.255.255 UH    0      0        0 ppp0
d80-170-128-1.c *               255.255.255.255 UH    0      0        0 ipsec0
192.168.0.0     d80-170-128-1.c 255.255.255.0   UG    0      0        0 ipsec0
11.1.1.0        *               255.255.255.0   U     0      0        0 eth1
10.0.0.0        *               255.0.0.0       U     0      0        0 eth0
default         d80-170-128-1.c 0.0.0.0         UG    0      0        0 ppp0
root@thewall:/etc/rc.d #

A quoi cela ressemble -t-il chez toi ?

[acrorezo]

Je te remercie de ton aide, entre temps je viens de trouver ma soluce :

J'ai remplacé le "DENY " par "ACCEPT" et ca roule... dans le bout de rc.firewall du 1.3 que j'ai poste tout a l'heure.

Soit:

"/sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j ACCEPT"

Je viens d'agrandir ma DMZ .-)

Juste un petit souci concernant la securite, ... , je vais bricoler demain quelques regles plus specifiques pour limiter en dur dans rc.firewall les ip des machines autorisee ainsi que les ports associes.

[yanfox]

tu pourras poster ton bout de rc.firewall a titre d'exemple ?

merci

pffiou suis a la rue moi... j'avais pas bien yeux en face des trous ce matin...

[popoch]

salut,

Moi aussi cela m interesse.


je voudrais mettre en place un vpn entre mes 2 dmz... (2 ipcops 1.4b3 sur les 2 sites)

Site 1
Green : 192.168.1.0/24
Orange: 192.168.0.0/24

Site 2
Green: 192.168.2.0/24
Orange: 192.168.3.0/24


J ai essaye de trouver les lignes a modifer ds le rc.firewall mais c est la galere...

D apres franck78, on peut le faire.

Quelqu un aurait une idee ?

[TRAX]

D'abord je ne connais pas ipcop (de nom slt)... mais je connais bien iptables...

Si g bien compris le orange correspond à la DMZ, le vert le LAN et le red le NET...

Je te décrypte les 3 règles ke tu as écrites :

/sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j DROP

Tout ce qui passe par ton interface DMZ à destination de ta connexion IPSEC (VPN) est refusé sans retour d'erreur (avec DENY tu auras un retour d'erreur)

/sbin/iptables -A FORWARD -i $ORANGE_DEV -p tcp -o ! $GREEN_DEV -j ACCEPT

Tout ce qui passe par TA DMZ (en TCP) et qui n'est pas destiné à ton réseau local est accepté; avec la règle précédente cela revient à dire que seul le traffic depuis ta DMZ vers le NET sera autorisé.

/sbin/iptables -A FORWARD -i $ORANGE_DEV -p udp -o ! $GREEN_DEV -j ACCEPT

Idem mais avec l'UDP

C'est toutefois logique : la DMZ laisse l'accès au net, et les personnes naviguant dans ta DMZ ne doivent pas se ballader sur le LAN ...

Tu peux peut etre essayer de reprendre la règle qui autorise les machines du LAN (de tous tes sites distants) à communiquer entre elles, ca devrait ressembler à ça (ba je n'ai pas le script du firewall ss les yeux..) :

iptables -A FORWARD -i $GREEN_DEV -o ipsec+ -p ALL -j ACCEPT

pour tester, juste pour voir si cela marche rajoute la ligne (en gras devant la regle avec DROP) ,sur deux de tes passerelles :

/sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -p icmp -j ACCEPT
/sbin/iptables -A FORWARD -i $ORANGE_DEV -o ipsec+ -j DROP

Essayes de pinger entre deux des machines des DMZ, cela devrait passser ...

Ensuite à toi de voir quels sont tes besoins afin de les faire communiquer, que veux tu réellement faire ?
Dans ce cas tu restreinds tes règles au strict minimum.

un bon tuto pour Netfilter : http://christian.caleca.free.fr/netfilter

[popoch]

je te remercie pour tes conseils je vais plancher sur le tuto...

En fait il s agissait de relier 2 sous reseau d une societe ensemble.

Chaque antenne de la societe, possede 2 sous reseaux. le premier est le reseau administratif (lan ou vert), le second le reseau dev (orange).

Il fallait que le reseau administratif est acces a internet et au reseau dev, il ne fallait pas que le reseau dev est acces au reseau administratif mais acces au net.

Il fallait aussi que les 2 reseaux administrarifs des 2 sites communiquent et que les 2 reseaux dev des 2 sites communiquent.

je me suis donc tourner vers ipcop.

Car les configs sont deja faites. J ai donc mis le reseau administratif en green des 2 cotes et mis en place un vpn entre les 2, j ai mis les 2 reseaux dec en orange ainsi ils ne peuvent pas communiquer avec le green. Il me reste donc les 2 reseaux oranges a relier entre eux par vpn...