plantage réseau lors de modifications

[Guepi]

Bonjour à tous. <BR> <BR>Je vous présente mon problème : Lorsque je tente d'appliquer des modifications sur mon MNF ( bouton Appliquer ), je "bloque" tout le réseau de ma boîte. <BR>C'est assez ennuyeux, d'autant plus que je dois mettre en place un VPN, et donc configurer les éléments. <BR> <BR>Le schéma du réseau entreprise est le suivant : <BR>------------------------------------------------------ <BR>Internet <BR>|| <BR>Modem ADSL + Routeur <BR>|| <BR>MNF == DMZ ( serveur de domaine + fichiers + apache / 10.0.0.*) <BR>|| <BR>LAN ( postes clients / 192.168.100.* ) <BR>------------------------------------------------------ <BR> <BR>Lorsque le réseau est bloqué, je me connecte sur le poste MNF, en tant que root, et je fais un : <BR># shorewall clear <BR> <BR>Suite à ça, le réseau refonctionne correctement. <BR> <BR>Mes questions : <BR> <BR>1- Pensez-vous qu'il y a un problème de configuration du MNF ? <BR>2- Pensez-vous qu'il y a un problème au niveau de l'architecture du réseau ? <BR>3- Quel est l'impact exact de la commande #shorewall clear ? <BR> <BR>Merci. <BR>

[svart]

Mes réponses : <BR> <BR>1- pour le savoir, il faudrait connaitre les règles que tu utilises et les modifications que tu effectues (de quel ordre et à quel destination), et quels messages apparaissent dans les logs quand le reseau est bloqué. <BR>2- Me semble que non, ton archi est a priori correct, reste à voir les adressages. <BR>3- Ca élimine toutes les règles actives, si ma mémoire est bonne. <BR> <BR> <BR> <BR>

[Guepi]

Par exemple, après la mise à jour d'apache que je viens de faire, je n'ai rencontré aucun soucis. <BR> <BR>Mes problèmes se posent quand : <BR>- je modifie le proxy du mode transparent au mode manuel, et que j'applique. <BR>- je modifie le pare-feu pour ajouter les zones du VPN, les règles, etc.. <BR> <BR>---------------------- <BR>Concernant le réseau, l'ensemble fonctionne, donc selon moi, ça devrait aller... <BR>---------------------- <BR>Après mon shorewall clear, mes règles sont toujours présentes dans l'interface, d'où ma question sur son action préçise.<BR><BR><font size=-2></font>

[kboche]

Il me semble que cela ouvre totalement ton firewal... Et c'est pas vraiment bon ! <IMG SRC="images/smiles/icon_bawling.gif">

[Guepi]

Le firewall est derrière un autre firewall ... non non je ne suis pas parano ! <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR>De toutes manières, les règles du firewall MNF sont un peu de l'ordre de "j'accepte tout !" <IMG SRC="images/smiles/icon_frown.gif">

[svart]

Oui c'est bien ça, les règles ne sont plus actives, mais elles restent visibles. <BR> <BR>Passer du mode transparent au mode manuel, ou vice-versa, implique plusieurs actions (en fait, pas mal d'actions) de la part de la MNF. Ca modifie des infos de config dans shorewall. <BR> <BR>Pour ma part, je ferais le test suivant : <BR> <BR>- en mode console <BR># shorewall restart <BR> <BR>L'avantage est que tu va voir à l'écran toute les règles défiler, et tu seras prévenu si l'une d'elle n'est pas correcte. <BR>

[kboche]

Parano, mais non... <BR> <BR>Mais avoir le second firewall ou le premier totalement permissif n'est pas de bon ton ! <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Je pense que tu devrais d'ailleurs plutôt tout fermé et n'ouvrir que les qq ports nécessaires... Il faut mieux etre restrictif et ouvrir à bon escient même si cela prend parfois un peu plus de temps ! <IMG SRC="images/smiles/icon_mad.gif"> <BR> <BR>Allez courage et si tu as besoin <IMG SRC="images/smiles/icon_help.gif"> Ixus est là... <BR> <BR> <IMG SRC="images/smiles/icon_up.gif">

[Guepi]

Oui oui, je dois fermer mon firewall, mais je basculerais le serveur de domaine NT + le serveur de fichiers dans la zone LAN ... pour que les broadcast ne soient pas trop gênants. <BR> <BR>Sinon, grâce à toi svart, je me rends compte qu'il y a pas mal de $%#&! dans ma config de iptables... tout passe, mais bon, le <BR> <BR>je refais ça ! <IMG SRC="images/smiles/icon_smile.gif">

[svart]

Pour ma part, j'ai noté que l'interface n'est pas super pour faire des choses fines. En outre, il faut utiliser l'interface en anglais. <BR> <BR>J'ai opté pour l'abandon de l'interface web, mais pas de la MNF. <BR> <BR>Je me connecte sur cette dernière en SSH. <BR> <BR>Le firewall utilise les infos contenus dans /etc/shorewall/policy (regles générales) et /etc/shorewall/rules (exceptions). En modifiant ces fichiers à coups de vi, on peut faire bien comme on veut (tout fermer, et ouvrir port par port), en mettant des commentaires et tout. <BR> <BR>A chaque modif, un petit coup de shorewall restart permet de suivre et contrôler ses règles. Un petit tail -60 /var/log/messages permet là-dessus de vérifier quels paquets sont interceptés ou passés. <BR> <BR>Attention, si tu réutilise l'interface après avoir fait des modifs à la main, elles seront écrasées. Il faut sauvegarder une copie des fichiers modifiés pour les restaurer. Le problème est facilement surmontable avec un p'tit script pour copier et restaurer tes configs. <BR> <BR>Je sais pas si ça va t'aider !

[Guepi]

au passage, la commande : <BR>#shorewall check <BR>est préférable, car ça ne bloque pas le réseau, mais vérifie tout de même. <BR>ainsi, je peux voir que : <BR> <BR>Error: server port may not be specified in an ACCEPT rule; rule: "ACCEPT lan fw::3328 tcp www - all" <BR> <BR>Ce qui me pose problème, vu qu'i ls'agit de squid ou dansguardian... <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_rolleyes.gif">

[Guepi]

ben on va faire en sorte oui !!! <BR> <BR>Merci svart !

[svart]

très juste pour le check ! J'avais oublié en être passé par là. <BR> <BR>J'avais le même problème, d'où la modif à la mimine. <BR> <BR>voilà ma bonne ligne <BR> <BR>ACCEPT lan fw::3328 tcp 80 - all <BR> <BR>(juste avant, j'avais passé squid du mode manuel au mode transparent, via l'interface pour être bien sûr que le système remet à jour les regles iptables manquantes)

[Guepi]

Je comprends mieux pourquoi je "passais" en ftp à travers le proxy ... <IMG SRC="images/smiles/icon_biggrin.gif"> Mon proxy n'était pas bien configuré, car shorewall ne passait pas toutes les règles correctement. <BR> <BR>J'ai donc désactivé le proxy ... avant de configurer les machines pour utiliser le proxy. <BR>MNF, c'est bien, mais je n'ai pas été au bout de sa configuration avant sa mise en place. Je le regrette maintenant. <BR> <BR>J'ai mis en commentaire les redirections des paquets netbios du LAN vers la DMZ ... <BR>maintenant, ça fonctionne <IMG SRC="images/smiles/icon_smile.gif">

[svart]

C'est délicat ces petites bêtes <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>Tout fonctionne comme tu le souhaite ? <BR> <BR>Au passage, as-tu effectuée les mises à jour de la MNF (surtout pour l'histoire des mots de passe qui expire au bout de 3 mois). <BR> <BR>Content d'avoir pu t'aider. On m'a BCP aidé quand j'ai installé mon biniou <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Tu as ouvert les ports Netbios ??? Ca me parait dangereux ça, non ?

[Guepi]

Tout fonctionnait, et maintenant tout fonctionne ... mais tout fonctionne mieux ! <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>J'avais en fait mis en place une regle qui ressemble à ça : <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>REDIRECT lan dmz tcp netbios-ssn - </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>car je voulais rediriger tous les paquets netbios du LAN vers la DMZ où se situe mon primary domain controler (PDC) sous Windows 2000 Server. <BR> <BR>J'ai commenté ces règles, et maintenant, ça passe quand même. <BR> <BR>Ce qui me reste à faire : mettre en place le VPN <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>En tous cas, merci <IMG SRC="images/smiles/icon_bise.gif">