Bonsoir à tous.
Je vous expose mon problème qui soulève la question de ce post.
J'avais jusqu'à le semaine dernière un PC sous debian dédicacé au monitoring d'applications actuellement en place chez quelques un de mes clients.
Un programme écoutait en permanence deux port TCP pour m'alerter en cas de défaillance d'une application.
Après avoir installé IPCOP comme firewall, j'ai déplacé mon programme de monitoring sur le même PC qu'IPCOP en ouvrant les deux ports du firewall qui me servent à écouter mes applications en les redirigeant sur la même IP locale de mon IPCOP.
J'ai un truc comme ça dans le pare-feu/transfert de ports
Proto Source Destination Remarque Action
TCP DEFAULT IP : 11111 192.168.1.1 : 11111 Monitoring 1/2
Accès autorisé depuis : 1.1.1.1 (**DDNS**Client1.homeip.net)
Accès autorisé depuis : 1.1.1.2 (**DDNS**Client2.homeip.net)
TCP DEFAULT IP : 11152 192.168.1.1 : 11152 Monitoring 2/2
Accès autorisé depuis : 1.1.1.1 (**DDNS**Client1.homeip.net)
Accès autorisé depuis : 1.1.1.2 (**DDNS**Client2.homeip.net)
(notez que j'utilise l'excellent script cgi posté ici même pour limiter les accès aux DNS dynamiques que je souhaite voir entrer d'ou le fait que je ne passe pas par les accès externes d'IPCOP)
Résultat: après plusieurs essais de déclenchement d'erreur chez un de mes clients, mon programme n'envoi plus d'alerte (et je suis sur qu'il devrait fonctionner correctement).
D'ou ma question : Les regles de port forward d'IPCOP sont-elles applicables à lui-même ?
Merci pour votre aide.
Les regles de port forward sont-elles applicables à Ipcop ?
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
Les regles de port forward sont-elles applicables à Ipcop ?
par bit8tr » 04 Fév 2006 23:22
- bit8tr
- Matelot
- Messages: 10
- Inscrit le: 14 Jan 2006 23:51
Qu'est ce que le dyndns vient faire ici par bit8tr » 05 Fév 2006 13:19
en fait je me sert du script de Juliette MICHAUX (le tuto est posté sur votre site http://www.fr.ixus.net/modules.php?name=Content&pa=showpage&pid=107) pour filtrer les ip de mes clients. Or ce script est développé pour être intégré à la partie firewall qui gère le filtrage des accès externes http://www.ixus.net/ixus_extras/content/etape%204.jpg, ce que ne fait pas ipcop dans le menu Pare-feu/Accès Externes.
C'est peut être une proposition à soumettre dans une prochaine release ?
C'est peut être une proposition à soumettre dans une prochaine release ?
- bit8tr
- Matelot
- Messages: 10
- Inscrit le: 14 Jan 2006 23:51
par bit8tr » 05 Fév 2006 20:12
J'ai (co)developpé plusieurs applications actuellement en production chez plusieurs de mes clients.
Si une application plante pour une raison ou une autre, elle envoi en TCP par l'internet un message à un PC dédié sur mon LAN, qui en fonction de l'erreur produite peut envoyer un mail au développeur responsable de l'application avec un stack complet d'infos pour le debuggage.
Comme je viens d'installer IPCOP, je me suis dit que je pourrais rationaliser les PC et j'ai décidé d'installer mon programme d'écoute sur la même machine qu'IPCOP.
Cependant, j'avais deux prérequis que je voulais concerver:
1/ mon programme de monitoring à besoin de deux ports TCP ouvert pour traiter correctement les messages qu'il recoit
2/ Mon IPCOP est actuellement paramétré pour ne laisser ouvert que les deux ports TCP qu'à la douzaine d'IP dynamiques de mes clients autorisés à m'envoyer des messages (cette règle est géré par l'ajonction du script de Juliette MICHAUX (le tuto est posté sur votre site http://www.fr.ixus.net/modules.php?name=Content&pa=showpage&pid=107).
Ainsi, je limite l'accès à ces ports TCP qu'aux ip qui y sont autorisées, ce qui limite les risques d'intrusion par des ip inconnues.
J'ai trouvé le concept de la résolution des DNS dynamique génial (d'autant plus que j'avais essayé de faire la meme chose sur les iptables en bash) mais il est regrétable que cette fonctionnalité ne puisse pas s'appliquer directement à IPCOP lui même.
En espérant avoir été plus clair.
SLT
Si une application plante pour une raison ou une autre, elle envoi en TCP par l'internet un message à un PC dédié sur mon LAN, qui en fonction de l'erreur produite peut envoyer un mail au développeur responsable de l'application avec un stack complet d'infos pour le debuggage.
Comme je viens d'installer IPCOP, je me suis dit que je pourrais rationaliser les PC et j'ai décidé d'installer mon programme d'écoute sur la même machine qu'IPCOP.
Cependant, j'avais deux prérequis que je voulais concerver:
1/ mon programme de monitoring à besoin de deux ports TCP ouvert pour traiter correctement les messages qu'il recoit
2/ Mon IPCOP est actuellement paramétré pour ne laisser ouvert que les deux ports TCP qu'à la douzaine d'IP dynamiques de mes clients autorisés à m'envoyer des messages (cette règle est géré par l'ajonction du script de Juliette MICHAUX (le tuto est posté sur votre site http://www.fr.ixus.net/modules.php?name=Content&pa=showpage&pid=107).
Ainsi, je limite l'accès à ces ports TCP qu'aux ip qui y sont autorisées, ce qui limite les risques d'intrusion par des ip inconnues.
J'ai trouvé le concept de la résolution des DNS dynamique génial (d'autant plus que j'avais essayé de faire la meme chose sur les iptables en bash) mais il est regrétable que cette fonctionnalité ne puisse pas s'appliquer directement à IPCOP lui même.
En espérant avoir été plus clair.
SLT
- bit8tr
- Matelot
- Messages: 10
- Inscrit le: 14 Jan 2006 23:51
par Franck78 » 05 Fév 2006 20:54
Oui maintenant c'est clair. Pourquoi ne modfies-tu pas le script pour qu'il attaque le fichier des 'accés externes' au lieu du fichier 'transfert de port' ? Tu as l'idée générale, le source, tout quoi 
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
, je suis déjà dessus...
9 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité