[RESOLU]transfert de port DMZ-mon erreur -> suite et fin

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[RESOLU]transfert de port DMZ-mon erreur -> suite et fin

Messagepar manu59 » 22 Oct 2007 23:54

Bonjour,
me voici avec un problème qui me torture le cerveau:
Mon IPcop du boulot marche à merveille. Seulement voilà, je viens de mettre en place une DMZ et impossible d'y accéder.
Green: 10.0.0.0/8
red: 192.168.1.0/24
orange: 172.16.0.0/24

J'ai créé une rêgle d'accès afin d'accéder à l'interface de chez moi, jusque là tout va bien.
j'ai créé une rêgle d'accès pour tout le monde pour le port 80
j'ai effectué un transfert de port vers le serveur en DMZ : default ip -> 172.16.0.80:80

Résultat: lorsque je veux accéder à ma plateforme collaborative (serveur web), cela m'est impossible ( http://194.250.147.245/ ).

Par comparaison, chez moi j'utilise la Smooth' et avec un transfert de port cela suffit pour faire fonctionner l'ensemble.

Là, j'avoue que je ne trouve pas mon erreur.

Si vous pouvez me guider, je vous en remercie. :wink:
Dernière édition par manu59 le 23 Nov 2007 13:14, édité 6 fois au total.
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar manu59 » 23 Oct 2007 12:11

Petite précision:
au boulot, de mon réseau green j'arrive à accéder à mon serveur en DMZ. Pas de soucis.


Donc, en résumé:
-l'interface web d'IPcop est accessible de chez moi, donc de l'extérieur.
-le serveur en DMZ est accessible à partir du réseau GREEN.
-le serveur en DMZ est inaccessible à partir du Web.

Merci
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar yvesrobert » 23 Oct 2007 17:46

Je veux bien te donner un coup de main, mais il manque beaucoup beaucoup de détails.

C'est quoi ça http://194.250.147.245/ ??
Ton Red a une IP privée, 192.168.1.0/24 ??
Explicte tes règles...
Avatar de l’utilisateur
yvesrobert
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 24 Déc 2003 01:00

Messagepar manu59 » 23 Oct 2007 19:10

Salut !

http://194.250.147.245/ c'est l'adresse IP fixe du routeur au boulot.
Ensuite, à la sortie de mon routeur, le subnet 192.168.1.0/24
En orange: 172.16.0.0/24
En green: 10.0.0.0/8

J'ai mis une règle d'accés de manière à pouvoir contrôler IPcop de chez moi. jusque là tout va bien, ça marche nickel. --> à priori je n'ai donc pas de problème d'accés de l'extérieur.

Ensuite, j'aimerai que tout les internautes puissent accéder à mon serveur en DMZ. Son IP : 172.16.0.80
Donc, j'effectue un transfert de port:
proto source destination
TCP Default IP : 80 172.16.0.80 : 80

Mais l'accès de l'extérieur ne fonctionne pas, alors que de mon réseau Green j'y accède.

Merci :wink:
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar Franck78 » 23 Oct 2007 21:29

Salut,


Rajoute un transfert de port "defaut ip:444 => ip_serveur_http:80"

Depuis l'extérieur, tente la connexion au serveur http sur ce port 444.

Si ca marche, c'est que ton routeur (ou provider) bloque le port 80 et tu auras confirmé que l'ensemble l'IPCop+orange+serveur_http est ok.

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar manu59 » 23 Oct 2007 23:00

:cry: marche pas ...

Remarque, je m'en doutais un peu car: comment expliquer, au cas où mon provider bloquerait ce port, que je puisse accéder à ma page web ipcop de chez moi (donc de l'extérieur) :roll:

C'est suite à ce constat que j'en ai déduit qu'il n'y avait pas de soucis avec le port 80.
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar manu59 » 24 Oct 2007 12:17

"route" me donne une config correcte :
172.16.0.0 ......................eth1
192.168.1.0.....................eth2
192.168.0.0.....................eth0

vraiment je ne vois pas.
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar yvesrobert » 24 Oct 2007 14:59

Moi, je regarderais au niveau du routeur.
Dans ton 1ier post tu ne disais pas que tu avais un routeur entre l'IPCop et Internet. C'est capital.
Je joue pas mal avec ce genre de boîte aussi maintenant et il est essentiel de rediriger toutes les connexions entrantes vers ton IPCop.
Tu peux le faire de manière ponctuelle avec une option Port Forwarding si tu as ça sur ton routeur, ou bien une DMZ qui te transfert massivement tous tes ports sur l'adresse 192.168.1.1 de ton IPCop.

Bonne chance.
Avatar de l’utilisateur
yvesrobert
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 24 Déc 2003 01:00

Messagepar poulounche65 » 24 Oct 2007 15:01

salut ca va ?
Dis moi ton routeur/modem effectue du NAT ? sur le ports 80 ? si oui est tu sur que la port destination de ton routeur est bien le 80 ?

la default IP est -elle bien l'interface rouge ? (car si tu as du NAT sur ton routeur tu devras effectué le nat IPCOP sur ton réseaux rouge)

peut tu préciseé STP ???

Merci a+
poulounche65
Matelot
Matelot
 
Messages: 9
Inscrit le: 24 Oct 2007 14:52

Messagepar manu59 » 24 Oct 2007 19:07

Salut !
Le problème c'est que mon routeur est propriétaire (oléane). Les techniciens m'affirment qu'il est "passe-tout", donc aucun blocage. Il s'agit d'un bintec XR2404.
Bon, dois-je partir du principe qu'il ne bloque rien ? :oops:
Et comment le savoir (mis à part la voix du technicien...) ?????? :roll:
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar manu59 » 25 Oct 2007 16:59

Bon,
je suis en train d'éditer rc.firewall, mais je ne suis pas capable de voir ce qui ne va pas pour mon problème....
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar Franck78 » 29 Oct 2007 18:23

On a inventer un magnifique outil qui s'appelle tcpdump.

Alors pour savoir si le port 80 arrive ou non sur l'IPCop, tu le lances, sur l'interface 'RED'

#>tcpdump -i ethRED port 80

et tu seras fixé immédiatement. Tu surveilles pendant qu'un collègue essaie de se connecter...


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar manu59 » 01 Nov 2007 00:11

Franck78 a écrit:#>tcpdump -i ethRED port 80


Et M.... pourtant je le sais, quel C.. je suis, je l'utilise assez souvent pour surveiller le traffic sur ma smooth' chez moi :oops:

Bref, j'ai trouvé une autre solution pour valider le routeur:
je me suis mis avec un client dans la zone red, donc sans passer par le routeur. Résultat, impossible de se connecter.

Trop soucieux de trouver la source du problème, je me suis monté un petit réseau test à part avec la dernière version en 1.4.16 (sans addon) et 3 clients (en red, green et orange).
De la green je peux contacter mon serveur en orange, ok.
Je configure donc un transfert de port, de manière à ce que tout client dans la red zone puisse contacter le serveur en orange, et là, impossible d'établir une connexion.
Pourtant, on ne peut pas se planter dans la syntaxe:
TCP___defaultIP:80__>>__172.16.0.80:80

alors qu'est-ce qui ne vas pas ?

Au cas où, j'ai mis une regle spéciale en précisant uniquement l'adresse ip d'un client qui aurait lui seul accès au server.........rien !!!!

je continue de creuser, à la pêle et à la pioche :?
....mais je suis perdu
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar manu59 » 01 Nov 2007 00:19

De là où je suis (chez moi) je n'ai accès qu'à l'interface web, mais je ne pourrais pas faire un tcpdump, je n'ai pas d'accès ssh......


Merci de m'aider, parce que je suis à court d'idées.

Au fait, depuis que j'ai installé chez moi la dernière version de la smooth' (3.0 express) j'ai le même problème d'accès.......alors qu'avant avec la 2.0 tout fnctionnait

Alors soit j'ai un problème avec les transfert de port soit.....je sais pas :?:
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar Franck78 » 01 Nov 2007 01:19

C'est ton serveur web qui drope ce qu'il recoit..... ou ne répond pas. Suis la chaine avec tcpdump sur chaque segment!
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité