PORTS WIN2K serveur

par **t2net** » 24 Mars 2003 16:58

Je souhaite me connecter (m'identifier sur le domaine) à partir de RED à un serveur WIN2K qui est sur la DMZ d'ipcop Quels ports doit-je ouvrir et re diriger vers le serveur ?

par **phimi** » 24 Mars 2003 23:32

Faut pas faire ca comme, faudrait ouvrir trop de ports et il n'y aurait plus de sécurité. Configure plutot le RAS pour le VPN sous windows 2000 et forward sous Ipcop quelques ports (1723) et protocol (47) pour pptp. La t'as une solution plus sérieuse.

par **t2net** » 25 Mars 2003 10:04

Je précise q'un firewall matériel netasq se trouve au-dessus de l'IPcop pour sécurisé l'accés internet L'ipcop n'est là que pour isoler des "sous-réseaux" Ta solution m'intéresse, mais y-t-il à quelque part la procédure à suivre ? je n'ai jamais mis en place le VPN et RAS je précise que le login au domaine se fait d'un sous-réseau à un autre en traversant deux IPCOP (il ya des WIN2K serveur et des SAMBA)

par **phimi** » 25 Mars 2003 19:47

La config VPN sous Windows 2000 est toute simple. C'est dans la config remote access. La, des ports PPTP et L2TP sont créés pour le VPN. Tu n'as plus qu'a activer, dans user and computer active directory, les utilisateurs qui ont le droit de se connecter. Pour IPCOP il faut forwarder le port TCP 1723 dans "port forwarding" vers le serveur 2000. Il faut aussi forwarder le protocol GRE (47) vers le serveur 2000 et ca on ne peut pas le faire avec l'interface. Tu ouvres un session SSH et tu tapes : /usr/sbin/ipfwd --masq IP_WIN2K 47 & Tu peux metrre ca dans /etc/rc.sysinit. Sur un client XP ou Win2K, t'as plus qu'a créer un connection VPN à l'aide du wizard et tout devrait baigner.

par **t2net** » 26 Mars 2003 10:53

merci du renseignement, ça m'emmène à d'autres questions : 1) dans le cas du VPN je ne veux pas avoir accès au réseau entier mais seulement au serveur (j'ai tester le VPN avec deux ipcop, ça marche je pingue les machines du réseau, le serveur actuellement n'est pas dans la DMZ mais sur VERT) 2) J'insiste un peu, j'aimerais savoir quels sont les ports utilisés par un serveur WIN2K, SAMBA ou NT j'ai ouvert : UDP 137 UDP 138 TCP 139 et je les ais redirigés sur le serveur PDC avec dans LMHOSTS : ip serveur Nom netbios #PRE #DOM:domaine avec une recherche sur le réseau je trouve le serveur et j'ai accès à ses ressources, mais si j'essaie de me loguer sur le domaine j'ai le message d'erreur "ne trouve pas le PDC" J'ai testé avec un client WIN2K et des serveurs WIN2K, SAMMBA, NT (il me semble qu'avec un client WIndows Me j'arrivais à me loguer, je vais refaire l'essai) autre question pas liées à IPCOP, comment un client WIN2K obtient-il la liste des domaines WINDOWS au login ? (approbation ?) L'objectif de mes questions étant de me loguer à partir d'un réseau a un PDC situé sur un autre réseau en passant par 2 ipcop (en interne).

par **t2net** » 26 Mars 2003 15:41

Pour ceux que ça intéresse : j'ai trouvé le moyen de me loguer au seveur, en fait il manquait une ligne dans mon fichier LMHOSTS : IP serveur Nom netbios #PRE #DOM:domaine IP ser veur "domaine /0x1b" #PRE ^ | Attention 16ème caractère ----- pour indiquer le domaine (0x1b) #PRE pour précharger au démarrage de windows

par **antolien** » 26 Mars 2003 15:48

tu as l'air fixé sur ton idée mais c'est pas serieux du tout d'ouvrir tous ces ports . tu vas te faire pirater en 2secondes. avec ces ports d'ouverts, on peut récupérer tes mots de passes, te faire du Denial Of Service, supprimer tes données ou les voler, etc... tu devrais vraiment configurer un VPN sinon ta config va tomber à terre ...

par **ArchY** » 26 Mars 2003 16:02

ca c'est clair, de plus les motS de passe passent en clair puisque tu n'as pas ouvert les portS pour l'authentification kerberos, enfin ils passent au mieux en NTlM2 (Facilement recupérable...) _________________ :: ArchY :: <a href=http://www.everdying.com>Everdying - Music - In Flames WebSite</a> <a href=http://www.sinergy-fr.com>Sinergy-fr - Music - Sinergy WebSite</a>

par **t2net** » 26 Mars 2003 17:54

Si j'ouvre un VPN, comment faire en sorte de limiter l'accès des utilisateurs du premier réseau, je voudrais qu'il ne voient que le serveur PDC du second réseau ? Même avec un VPN, je dois conserver LMHOSTS (si pas de wins) ?

par **antolien** » 26 Mars 2003 18:47

tu peux très bien mettre un server secondaire en DMZ qui se réplique avec l'autre en green. sinon, tu laisses ton contrôleur principal en DMZ et du fait pointer tes clients sur le serveur en DMZ (moins secure mais pratique) ensuite, pas de problème puisque les règles sont green->orange = accept et orange ->green= reject mais pourquoi ne pas vouloir donner l'accès ? pour faire passer le pptp de windows de l'exterieur, il y a une règle ipchains à ajouter qui est dans le forum <a href="http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&topic=2682&forum=10" target="_blank">http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&topic=2682&forum=10</a> _________________ L'histoire ne nous fournit que des exemples de paix violées, de guerres injustes et cruelles, de champs dévastés, de villes réduites en cendres. [ Denis Diderot ]

par **t2net** » 27 Mars 2003 11:52

SI j'ai bien compris on peut : soit ouvrir des ports (137, 138, 139) mais c'est risqué soit créer un VPN entre deux IPCOP mais on voit tout le réseau, a moins que le serveur soit en DMZ soit créer un VPN entre les deux serveurs et ouvrir les ports 47 et 1723 sur ipcop Pour la réponse au pourquoi : Plutôt que de créer un réseau avec plus de 500 poste nous avons choisi de segmenter en plusieurs réseaux (1 par "service", chacun avec son PDC), connectés chacun au travers d'un IPCOP a un réseau fédérateur sur lequel se trouve l'accés internet protégé par un firewall NETASQ. Ces réseaux n'ont qu'occasionnellement besoin de se connecter aux PDC des autres réseaux, Les IPCOP me servent de proxy cache pour internet, dhcp, stat du trafic et isolent les différent réseaux.

PORTS WIN2K serveur

Qui est en ligne ?