simulation ipcop

[kahalm]

rebonjour <BR>merci a gesp et tout ceux qu'on eut des probleme pr les réponses qui m'ont permise de faire fonctionner ipcop correctement <BR> <BR>là j'essaye de simuler une zone red <BR>jai deux pc connectés sur la machine ipcop sur 2 cartes réseaux. <BR> <BR>ds l'explorer j'ai bien connexion à la machine zone rouge de marqué <BR>-de machine verte j'arrive a pinger machine red mais l'inverse est impossible <BR>- je ne peux acceder a ipcop html sur la machine rouge <BR> <BR>tout cela me parait normal vu ke c rouge <BR> <BR> <BR>mais que faire pour ouvrir des port pr pouvoir pinger la machine verte? <BR>de plus j'aimerai pouvoir utiliser vnc de la machine red vers la verte <BR>admettons que le port de vnc soit fixe et sois le 777 que faire? <BR> <BR> <BR>Je suis débutante donc merci de bien détailléer si possible <BR> <BR>merci d'avance ^^

[acdsee]

ahh un nouvelle demoisel c belugah qui va etre contente elle n'est plus seul <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR> <BR>pour le ping la a cette heure ci je ne vois pas ( repas de famille trop arrosé) <BR> <BR>si non pour avoir accé a la page web depuis le red il faut que tu forward le port 81 ou le 445(https) sur ton ipcop <BR> <BR>pour faire le forward c dans l'interface web le menu "services" et tu va dans transfert de port <BR> <BR>Adresse IP de destination: tu met l'ip de ton ipcop <BR> <BR>Port source: 81 ou 445(si tu veux l'accé en https) <BR>Port de destination: 81 ou biin comme au dessus <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Adresse IP source ou réseau : tu met lip de ta machine dans le rouge ou tu laisse vide comme ca toutes les ip pourraont y accédé ... <BR> <BR>pour vnc tu fais pareil mais pour le port 777

[kahalm]

boire ou aider les gens il faut choisir ;-p <BR> <BR> <BR>donc pour le tranfer de port j'avais essayé <BR> <BR>donc j'ai bien mis port 445 source <BR>445 destination <BR>adresse destination lip du serveur <BR> <BR>mais qd je valide il me dit : <BR>Le port source est réservé à IPCop seulement: 445 <BR>idem pr le 81 <BR> <BR> <BR>en tout cas la rapidités des réponses me surprendra toujours dans ce forum

[hb]

je pense qu'il y a une mauvais comprehension de ta part. <BR> <BR>sur la zone red tu est censé etre sur Internet donc une adresse officielle. <BR>sur la zone green tu es en local donc adresses non officielles (10.*.*.* ou 192.168.*.* ou 169.254.*.* ou 172.17.*.* a quelque chose pret) <BR> <BR>donc il n'est pas possible de PINGuer depuis le red vers le green <BR> <BR>par contre il est tout à fait possible de faire fonctionner la VNC du red vers le green. <BR>il faut FORWARDer le(s) ports (je crois que c'est 5900 et 5901 - à vérifier) vers l'IP de ton poste green <BR>tu y accederas en utilisant l'adresse du RED qui se chargera de faire suivre ... <BR> <BR>tu trouvera plein de posts dans le forum pour faire du forward sur IPCOP et vérifier les ports de la VNC. <BR> <BR>bon courage

[tomtom]

Allez, je m'y colle. <BR> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-09 20:37, kahalm a écrit: <BR>rebonjour <BR>merci a gesp et tout ceux qu'on eut des probleme pr les réponses qui m'ont permise de faire fonctionner ipcop correctement <BR> <BR>là j'essaye de simuler une zone red <BR>jai deux pc connectés sur la machine ipcop sur 2 cartes réseaux. <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Très bonne idée pour faire des tests ! A condition de bien se rendre compte que le réseau green va "disparaitre de la vue du réseau red". Green, c'est ton réseau de chez toi. Red, c'est Internet. Et internet ne voit pas ton chez-toi. <BR> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>ds l'explorer j'ai bien connexion à la machine zone rouge de marqué <BR>-de machine verte j'arrive a pinger machine red mais l'inverse est impossible <BR>- je ne peux acceder a ipcop html sur la machine rouge <BR> <BR>tout cela me parait normal vu ke c rouge <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Effectivement tout est normal. Par defaut sur IPCop, le green peut acceder à tout ce qu'il veut, il est considéré comme sur. Par contre, bien evidemment du red tout est interdit par defaut. <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR> <BR>mais que faire pour ouvrir des port pr pouvoir pinger la machine verte? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>On essaye de ne pas confondre tout. le ping est un outil de diagnosqtique. Il permet de tester la connectivité IP entre deux machines. Ce n'est pas un protocole de niveau 4, donc on ne parle pas de ports. En fait, pour que leping traverse IPCop dans ce sens, il faudrait authoriser les paquets de tympe ICMP echo request. C'est faisable bien sur, IPCop etant un linux, mais pas avec le GUI d'IPCop qui n'est pas fait pour ça. <BR>De plus, pour que RED puisse "pinger" GREEN, nous allons nous heurter à un autre problème J'ai dit plus haut que RED ne verrait plus GREEN au plan IP. En fait, IPCop est une distribution qui a été conçue pour servir de passerelle Internet. Son but est de permettre à un ensemble de machines (réseau GREEN) d'acceder aux ressources situées sur Internet (réseau RED). Pour acceder à des ressources sur Internet, il faut ce que l'on appelle une IP "publique". Pourquoi publique ? parceque tout le monde la voit. Mais ces ip publiques sont en nombre limité. Donc on utilise un subterfuge : Les ip internes à notre réseau vont être "privées" (car on ne les voit pas du dehors". Le soucis, c'est que les IP privées ne sont pas authorisées à aller se promener sur Internet (en effet, comme tout le monde peut avoir les mêmes, comment pourrait-on savoir à qui elles appartiennent ?). <BR>Pour que le réseau "priveé" puisse malgré tout acceder au reseau "public", on utilise une astuce : la passerelle (ici, IPCop), va jouer l'ambassadeur pour tout le réseau privé; COmme elle possède une adresse publique (probablement la seule que tu possède, celle qui est fournie par ton FAI), elle va pouvoir dialoguer avec le reste du monde. Pour faire ça, à chaque fois qu'un paquet est emis pas le GREEN pour aller sur Internet, IPCop va au passage remplacer l'adresse source du paquet par son adresse publique ! Ainsi, le destinataire saura ou repondre. Il renverra son paquet de reponse vers IPCop. Celui-ci conserve une table ou il associe des ports sources avec des ip sources, c'est un peu technique ici. Tout ce que tu dois savoir, c'est qu'il sait retrouver le vrai destinataire du paquet, remodifier l'adresse destinatin au retour pour etablir la connexion. <BR> <BR>Par contre, si on se place cette fois du coté RED, on ne peut pas voir les adresses du green (IPCop sert en partie à ça !). Donc on ne sait envoyer des paquets que à IPCop. On ne pourra donc pas pinger une machine de green. <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>de plus j'aimerai pouvoir utiliser vnc de la machine red vers la verte <BR>admettons que le port de vnc soit fixe et sois le 777 que faire? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Ce que l'on peut faire par contre, c'est que IPCop peut se faire passer pour un serveur du green. Par exemple, pour le cas de ton VNC : Je suis sur le RED, je veux acceder au VNC situé sur le green (adresse 192.168.0.5 par exemple). Mai scette adresse, je ne peux pas lui envoyer de paquets car je ne la connais pas, et en plus je n'ai pas le droit de lui en envoyer par Internet (IP privée!). Je vais donc envoyer mes paquets à IPCop. Celui-ci aura mis en place ce que l'on appelle une REDIRECTION de port. En clair, ca fait : "Si je reçois un paquet sur mon port 5800 (VNC), je vais le transmettre au serveur VNC à l'interieur. Sous IPCop, cela se configure en ajoutant une "redirection". Cela nous donne : <BR> <BR>port source : 777 <BR>adresse source : any <BR>adresse destination : adresse serveur VNC (son adresse privée) <BR>port destination : 5800 (port par defaut du serveur vnc, qui ecoutera sur cette adresse en interne). <BR> <BR>Voila, <BR>J'espère que c'est assez clair. Il est important de bien saisir ces concepts avant de s'attaquer à la mise ne place d'un firewall. <BR> <BR> <BR>T.

[kahalm]

alors la cette explication est parfaite !! <BR>bon je vais tester tout ça et je vous tiens au courant en tout cas chapeau <BR> <BR>a+ <BR> <BR>