[RESOLU] SME 7.0 + Vmware Server

[floc2]

'lut,

Objet:
Enième probleme de config dans un environnement virtualisé avec Ipcop

Pb:
Ni le port FTP, ni le POP3S de ma SME n'est pas accessible de l'extérieur, alors que le HTTP, HTTPS le sont.

Environnement:
Petit schéma


- Sur IPCOP: ca fonctionne en environnement virtualisé sans pb, et des règles de forwarding de port sont redirigés vers la SME (21, 80, 443, 995)
Nota: Addon copfilter désactivé

- Sur SME: Mode server only - pas d'addon particulier

- Depuis mon Host W2K3, le service FTP est bien accessible, sans probleme, idem pour le POP3S (tester par telnet et ftp).

Question:
Alors qu'un serveur SME normal ne pose pas de probleme derrière un ipcop avec ce genre de régle de forwarding, pourquoi ca cloche dans un environnement virtuel?

Une pièce du puzzle me manque mais je ne sais pas trop où creuser:
- Dois-je plutot passer par un Vmnet NAT ?
- Dois-je allouer un Vmnet avec une carte réseau dédié sur mon host W2k3?
- Une autre solution ?....


Merci de votre aide.
Baud

[floc2]

Amis du jour, Bonjour ...

Après avoir glaner quelques infos sur le net, je me permets de mettre un petit résumé pour être un peu plus précis sur les vmnet .... pour savoir que quoi on cause

Vmware: le réseau
10 switches ethernet virtuels VMNet0 ... VMNet9
chaque carte réseau virtuelle d'une machine virtuelle doit être reliée à un switch virtuel

Par défaut,
Le commutateur VmNet0 permet de donner une adresse ip sur le réseau physique de l'hôte (adresse ip supplémentaire sur une carte réseau de l'hôte)
Le commutateur Vmnet1 est relié à un adaptateur virtuel de la machine hôte
Le commutateur VmNet8 est relié à une passerelle faisant du NAT/NPAT: accès au réseau physique via l'adresse ip d'une carte réseau physique de l'hôte

Vmware: configurer une carte réseau virtuelle
Configurer une carte réseau virtuelle, c'est choisir le commutateur virtuel auquel elle sera reliée. 4 choix :
Vmntet 0 (Host only) : réseau entre machines virtuelles et le système hôte
VmNet0 (Bridged) Accès direct au réseau physique local
VmNet8 (NAT): réseau entre machines virtuelles et réseau physique via l'adresse ip d'une carte réseau de l'hôte (NAT)

> simplement reliée à un commutateur virtuel à choisir

VmWare: NAT
L'un des commutateurs virtuels (Vmnet8 par défaut) est relié à une passerelle faisant de la translation de port et d'adresse (en sortie). En entrée, elle fait du « port forwarding » ce qui permet de rediriger tout paquet entrant reçu sur un port donné vers un port donnée d'une machine virtuelle donnée. Ce sont des fonctionnalités similaires à celles que l'on retrouve sur les routeurs adsl du commerce.
Les cartes réseau virtuelles sont des cartes réseau virtuelles définie sur le système hôte et reliée à un commutateur virtuel. Elles permettent la communication entre le système hôte et les machines virtuelles reliées à ce commutateur. Par défaut, on en a une pour Vmnet1 et une pour VmNet8.

>> j'ai bien essayé de mettre @ip de la SME sur une autre plage que mon lan + du NAT sur la Vmnet8 = toujours rien

Ne serais pas les services POP3 et FTP qui seraient sensible à des pb de translations d'adresse ?
Si oui, comment puis je vérifier sur la SME la config de mon proftd.conf?

Merci
Baud

[fraedhrim]

Salut !

En marge de tes problèmes perso j'ai des gros doutes sur ce genre d'archi au niveau sécurité. Certes les instances VMware sont étanches (jusqu'à présent) mais par contre ton socle c'est le w2k3 et c'est bien une de ses interfaces qui est branchée sur Internet. Donc jusqu'à preuve du contraire ta machine est connectée directement à Internet. Qu'en pensez-vous ça fait un moment que je me pose la question.....

Bon courage.

A+

[floc2]

'Lut,

Pour juste reprendre ta parenthèse qui me semble intéressante:
Il est bien évident que ce type d'architecture n'est pas à l'abri d'une bonne faille windows (telle qu'on les connaît) sur le support de process virtuel ou même vmware. Rien de mieux qu'un firewall avec une machine dédiée pour assurer une sécurité bcp plus sérieuse.
Néanmoins je pense que j'aurais le même problème avec n'importe quel os pour la base (enfin c'est ce que je crois). Alors pourquoi pas w2k3, que j'avais sous la main. et c'était plus facile pour moi de comprendre comment tout ca marche ensemble (je bosse essentiellement sous windows au taf).

Voilà, si maintenant quelqu'un à déjà tester le concept ou qui souhaiteait m'aider à m'en dépatouiller, merci d'avance.

Nota: dans tous les cas, comme le sujet de virtualisation avec ipcop et sme a été déjà abordé et à suciter quelque passion, si je réussi à mes fins, je ne manquerai de faire un tuto ( comme j'ai fait pour myFtpadmin) just for fun...

Baud

[floc2]

'Lut,
Je laisse tomber pour le moment (peut etre même définitivement) car après avoir retourner la situation dans tous les sens ce w-e, je finis par me mélanger les pinceaux... le temps que ca décante, je laisse passer de l'eau sous les ponts.

Restant vigilant sur le sujet et à dispo. si besoin ...

Baud

[macgege]

Bonjour,

je suis un peu dans le meme style de config que toi (sauf que c'est ipcop), mais moi, j'ai fais une boulette, ça m'apprendra à ne pas lire comme il faut ce qu'il y a d'écrit à l'écran...

J'ai viré les 3 cartes par défaut de vmware, et j'ai mis que des bridged
Du coup, léger prob de sécurité sur mon srv2k3... Du srv2k3 j'ai acces à n'importe quel sous reseau, du coup ipcop sers a rien, il est simplement mappé sur mes cartes reseau physique, bien joué gégé

Donc la, en voyant ton résumé des infos trouvées sur le net au sujet des cartes réseaux de vmware, vais pouvoir corriger cela au plus vite...

Par contre, si quelqu'un a un tuto sur l'install d'IPCOP ou autre distrib en vmware, suis preneur pour qq détails supplémentaires

@++