Problème dans le réseau

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Problème dans le réseau

Messagepar borgut » 10 Avr 2007 12:32

Bonjour,

voila le réseau actuelle :
internet wimax-->adaptateur(transforme le signal radio en ethernet)-->modem/routeur cisco(fournit par le prestataire)-->réseau local

je souhaite mettre en place un firewall ipcop entre le réseau local et le modem/routeur

le réseau ainsi que le cisco ont une adresse ip dans la même plage d'adresse ce qui entraine ma première question :
-est il possible d'avoir une adresse réseau de la même classe pour l'interface rouge et la verte?


Pour le moment s'est ce que j'ai fait mais j'ai des soucis par exemple lorsque je branche mon interface rouge sur le routeur je n'ai pas internet ou encore si je l'a branche sur le réseau je ne ping rien alors qu'ils sont de la même classe! par opposition je peux tout faire avec mon interface verte !

D'où cela peut il venir?

Pour infos voila ma table de routage générée par défaut par IpCop :

Destination GateWay Genmask Flags Metric Ref Use Iface
192.168.X.X * 255.255.255.0 U 0 0 0 eth0
192.168.X.X * 255.255.255.0 U 0 0 0 eth1
Default 192.168.1.254 0.0.0.0 UG 0 0 0 eth0


Merci !
borgut
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 10 Avr 2007 12:17

Messagepar jdh » 10 Avr 2007 13:10

Bonjour,

Le principe normal pour IPCOP c'est de "séparer" des réseaux différents. Par voie de conséquence Red et Green ne sont pas dans le même réseau au sens ip.

Par exemple 192.168.1.x/255.255.255.0 pour Red et 192.168.2.x/255.255.255.0 pour Green.

Il n'est pas impossible de faire autrement mais IPCOP n'est pas prévu pour ça.

Cela fait partie du newbie-kit qui est à lire en premier quand on recherche de l'information (ce que je conseille).

Donc un bon schéma est :

Code: Tout sélectionner
Internet
|
adaptateur
|
modem/routeur Cisco
|   (Red)
IPCOP
|   (Green)
switch
|
pc    pc    pc    pc
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar borgut » 10 Avr 2007 13:43

Pour moi séparer les deux réseaux n'est pas possible car l'IP du routeur me sert de passerelle en fait il faut que le firewall soit transparent pour les utilisateurs!

J'ai donc paramètrer mon IpCop avec 192.168.1.x/255.255.255.0 pour red et green mais cela ne fonctionne pas je ne peux pas aller sur internet j'ai fait le test en branchant un PC sur l'interface green et en branchant la red sur le switch et je ne vais pas sur internet aucune réponse d'un pign vers internet que se soit sur le firewall lui même ou ma machine.

L'interface red est en statiqe avec l'adresse IP qui correspond à celle de la passerelle et les DNS de mon FAI mais je ne ping même pas la passerelle ! j'ai essayer de changer de carte réseau mais rien n'y fait !

Des idées ?


edit : concernant mon premier post eth0 est l'iface green et eth1 l'iface red est ce normal que la destination default soit sur l'iface eth0
borgut
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 10 Avr 2007 12:17

Messagepar ccnet » 10 Avr 2007 14:02

Firewall transparent : un cable ethernet est un bon firewall transparent. Une vitre est transparente, tout passe au travers, c'est exactement ce qu'on souhaite empécher avec un firewall.

Sinon, oui une idée, utiliser le protocile ip suivant les règles, notament en matière de routage.

Revoyez vos notions réseau. La pate verte de l'ipcop deviendrat la passerelle par défaut de vos postes internes, la pate red sera connecté au routeur en employant un sous réseau différent. Ipcop se chargera du routage et vous aurez une configuration fonctionnelle ainsi qu'une sécurisation de ce réseau.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar tomtom » 10 Avr 2007 14:43

:evil:
ccnet c'est la deuxième fois aujourd'hui : La politesse est la moindre des choses sur ce forum !
Surtout pour affirmer des anneries.
:evil:

Donc, non, un firewall n'est pas obligatoirement un routeur, et oui, les ponts filtrants existent et peuvent tout aussi bien porter le nom de "firewall transparent", s'interposer en coupure et ne pas necessiter de modification du plan d'adressage, en apportant toutefoisplus de filtrage qu'un cable ethernet.

Pour Borgut : IPCop fonctionne comme un routeur, donc il necessite effectivement deux plages d'adresses différentes. De plus, il fait obligatoirement du masquage d'adresse ce qui n'est visiblement pas ton but.

Pour ton besoin, des distributions peuvent être plus pertinentes :
- censornet
- pfsense (à verifier, je ne suis pas sur).

Ou alors créer ça à la main à partir d'une distribution linuxplus classique.

Censornet est un très bon produit qui ne devrait pas te décevoir.

a+

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar jdh » 10 Avr 2007 14:52

Je redis qu'IPCOP n'est pas prévu pour fonctionner en mode "bridge".

Mode "Bridge" : un firewall qui comporte 2 pattes réseau et, en option, une adresse ip globale. Peut être intercalé entre un routeur et 1 réseau pour filtrer de façon transparente.

Le mode normal d'IPCOP est un mode "routeur/firewall" : 2 réseaux différents de chaque côté. La question est alors soit de changer l'adressage du côté Green (IPCOP+pc+autre équipement) soit de changer l'adressage du côté Red (routeur+IPCOP).

Dans ce mode, les PC ont comme passerelle l'adresse ip Green d'IPCOP et comme dns soit l'IPCOP soit le routeur (je ne suis pas sûr).


EDIT: Flute, Tomtom a été encore plus rapide ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar borgut » 11 Avr 2007 08:12

Re-bonjour,

tout d'abord merci de l'attention que vous portez à mon problème !

Je pense que je vais voir avec mon prestataire pour changer l'adresse IP du routeur cisca car il ne m'appartient pas et je n'ai pas le droit ni les moyens de faire des modifs dessus.

Je pense gardez ipcop car il me parait assez intuitif et bien construit !

Pour teste je vais me faire une maquette avec un PC d'un côté en 10.10.0.1 mon routeur cisco de l'autre avec son adresse 192.168.1.254 et mon ipcop avec l'iface red en 192.168.1.252 et l'iface green en 10.10.255.254 en toute logique je devrais avoir quelque chose qui fonctionne par défaut non ?
borgut
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 10 Avr 2007 12:17

Messagepar borgut » 11 Avr 2007 11:58

Voila j'ai fait mon test et depuis ma zone vert j'accède à internet sans problème par contre si je branche un PC sur mon interface rouge je n'accède pas à l'interface verte est ce normal ?

comment puis-je tester que mon firewall bloque bien tous les ports lorsque j'essaye depuis la zone red ?
borgut
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 10 Avr 2007 12:17

Messagepar jdh » 11 Avr 2007 12:21

Cela parait assez normal, si on y réfléchit un peu, qu'un PC en Red n'accède pas à un PC en Green (ou mieux en orange) SANS que l'on fasse quoi que ce soit.

Il y a déjà une bonne raison (et simple), c'est que les adresses en Green et Orange sont "masquées" = remplacées en sortie par l'ip de Red. (Sous Linux, on appelle cela la "masquerade").

Autrement dit, pour les PC en Green, IPCOP est la passerelle par défaut, tandis que pour des PC en Red cela ne l'est pas.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franck78 » 11 Avr 2007 12:31

borgut a écrit:comment puis-je tester que mon firewall bloque bien tous les ports lorsque j'essaye depuis la zone red ?


Salut Borgut,
Fais donc un peu confiance aux utilisateurs et developpeurs d'IPCop. Depuis 5 ans environ, on l'aurait découvert le bug qui ferait que les ports ne soient pas bloqués depuis l'extérieur vers l'intérieurs ;-)

C'est un test inutile et la réponse est apportée par les centaines d'outils testeurs de firewall disséminés sur internet (dont Ixus).
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar borgut » 11 Avr 2007 14:01

Merci de toutes vos réponses encore une...je n'arrive pas à trouver sur internet comment ouvrir des ports depuis l'extérieur et étant donné que lrsque je vais mettre en service le firewall il va falloir que tout fonctionne directementje préfère ne pas faire de bourde...

En effet j'ai sur mon réseau un serveur qui fait du webmail et un autre du TSE...si j'ai bien compris le fonctionnement de ipcop il bloque tout en entrée et rien en sortie on est bien d'accord ?

Donc il faudrait que j'autorise toutes les adresses IP de l'extérieur (accès externes de ipcop) vers 110, 25 et le port du TSE non?

Vous n'auriez pas une impression écran pour que je sois sur de moi ?
borgut
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 10 Avr 2007 12:17

Messagepar Gaston » 11 Avr 2007 21:57

Bonsoir,
"ouvrir" n'est pas le terme approprié.
Il faut que tu forwardes les ports utiles vers ton serveur TSE : je ne suis pas sur que le 110 soit le bon choix pour un webmail (port 80, 443 non ?). Sauf si tu veux authoriser le pop depuis l'extérieur de ton réseau.

G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar borgut » 12 Avr 2007 08:44

Bonjour,

le forwarding je peux le faire depuis l'interface web ???

Je n'ai pas très bien compris comment elle fonctionnait...j'ai cherché des tutoriels et je n'ai pas trouvé ce qui m'intéressait...de base je n'ai rien touché et j'accède à internet voilà ce que je ferais pour accèder à mon ftp depuis le web:

Dans l'interface de gestion,l'onglet pare-feu section accès externe je metterais

Protocole TCP, Adresse IP source -->tout, Adresse IP de destination-->default IP, Port destination -->21



J'ai essayé mais ça ne fonctionne pas comment faire ? Si vous connaissez un bon tuto merci de me donner le lien !
borgut
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 10 Avr 2007 12:17

Messagepar borgut » 12 Avr 2007 14:19

Oh lala je suis vraiment pommé quelqu'un peut m'aider ?

Je suis prêt à filer mon adresse msn !!!
borgut
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 10 Avr 2007 12:17

Messagepar francois_web » 12 Avr 2007 14:25

borgut a écrit:Je suis prêt à filer mon adresse msn !!!

Pitié, non, pas ça !!! (et puis, t'as pas un compte Jabber d'abord ?)

Que penses-tu de Pare-feu / Transfert de ports ?
Dernière édition par francois_web le 12 Avr 2007 14:36, édité 1 fois au total.
Avatar de l’utilisateur
francois_web
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 13 Mars 2007 12:32
Localisation: Ile-de-France (Est)

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité