samedi 04 juillet
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Retourner aux forums || Retourner au forum Linux.general

Linux.general : DMZ et ipcop

Posté par Rémi () le 16 janvier 2006
0
Bonjour à tous,

J'ai un problème avec IPCOP et une DMZ.

J'utilise IPCOP branché sur une freebox pour partager la connexion internet et pour faire firewall. J'ai besoin de mettre un serveur web accessible depuis l'extérieur, donc je l'ai branché sur le réseau orange d'ipcop (DMZ). Depuis l'intranet (vert) j'arrive bien à y accéder, et depuis internet aussi avec un redirection du port 80. La DMZ ne peut pas accéder à l'intranet (vert) donc jusqu'ici tout va bien.

Le problème c'est que le pc dans la DMZ n'a pas accès à internet non plus. C'est pas pratique (mise à jour par exemple, connexion de serveur à serveur).

Est-ce que c'est le comportement normal d'une DMZ ? Il ne me semble pas mais si oui comment changer ce comportement ?

Merci d'avance.

> Lire le message (7 commentaires, moyenne: 1,3).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Pour un résumé de ce qu'est une DMZ :

Posté par blobmaster () le 16/01/2006 à 16:18. (lien). Évalué à 2.

http://www.commentcamarche.net/protect/dmz-cloisonnement.php(...)

pinholes

Posté par Brahici () le 16/01/2006 à 16:19. (lien). Évalué à 1.

tu vas dans le menu 'Pare-feu->Accès à la DMZ' (ou 'Firewall->DMZ pinholes' en anglais). là tu définis quels IPs/ports de la DMZ peuvent passer.

--
python, postgresql, xml, gtk, linux, open-source !

  • [^]Re: pinholes

    Posté par Rémi () le 16/01/2006 à 16:25. (lien). Évalué à 1.

    Merci de ta réponse.

    J'avais déjà vu cet onglet mais dans réseau de destination j'ai que "VERT" alors que je voudrais mettre "ROUGE" (vers internet).

    J'ai quand même ajouté une règle pour voir avec les bonnes IP, mais ça ne fonctionne pas.

    Je suis supposé avoir "ROUGE" dans la liste ?

    • [^]Re: pinholes

      Posté par Brahici () le 16/01/2006 à 16:34. (lien). Évalué à 1.

      je reconnais que je suis aussi resté dubitatif la première fois, je m'attendais à voir ROUGE et pas VERT.
      qu'appelle-tu les bonnes IP ?
      personnellement, j'ai GREEN en 192.168.1.1 et ORANGE en 192.168.2.1 sur l'IpCop. ma machine en DMZ a l'IP 192.168.2.2
      si je définis une règle qui autorise http, je peux faire les mises à jour via apt-get.
      192.168.2.1 -> 192.168.1.1 : 80
      je te conseille d'être parcimonieux sur les ouvertures de port car l'ouverture d'un 'pinhole' est une faille de sécurité (enfin je vois ça comme cela).
      tu peux définir une plage de ports ou définir tous les ports dont tu as besoin un par un.

      --
      python, postgresql, xml, gtk, linux, open-source !

      • [^]Re: pinholes

        Posté par Rémi () le 16/01/2006 à 16:49. (lien). Évalué à 1.

        En GREEN j'ai 192.168.10.1 pour IPCOP, et 192.168.20.1 en ORANGE

        L'ip du serveur dans la DMZ est 192.168.20.2

        J'ai essayé les autorisations suivantes pour avoir le DNS :

        TCP 192.168.20.2 -> 192.168.10.1 : 53
        UDP 192.168.20.2 -> 192.168.10.1 : 53
        TCP 192.168.20.1 -> 192.168.10.1 : 53
        UDP 192.168.20.1 -> 192.168.10.1 : 53

        J'ai mis 192.168.20.1 en serveur dns, ça ne fonctionne pas. Donc j'ai essayé 192.168.10.1, mais ça ne fonctionne pas non plus...

        Merci de ton aide en tout cas, je vais continuer à chercher, au moins je sais sur quelle page ça se fait.

        • [^]Re: pinholes

          Posté par Brahici () le 16/01/2006 à 17:15. (lien). Évalué à 1.

          pour DNS, j'avoue que j'ai fait au plus simple, car en effet la machine en DMZ n'arrivait pas à résoudre les noms avec le serveur DNS de l'ipcop. alors j'ai mis les adresses DNS de mon provider dans le /etc/resolv.conf et là, les noms se sont résolus...
          si tu as une freeboite, ceci doit marcher
          nameserver 212.27.54.252
          nameserver 212.27.32.5

          --
          python, postgresql, xml, gtk, linux, open-source !

  • [^]Re: pinholes

    Posté par Jean-Philippe Garcia Ballester (Jabber id, page perso, ) le 16/01/2006 à 20:54. (lien). Évalué à 2.

    Je dis peut-être une bêtise, mais il me semble que les pinholes n'ont rien à voir avec Internet (réseau rouge).
    Les pinholes servent à autoriser un pc de la zone orange (donc DMZ) à se connecter à une machine de la zone verte, en gros un serveur sur la zone verte qui doit être accessible depuis la zone orange. Au niveau sécurité, cela pose problème, puisqu'en théorie, seules les données publiques sont sur la zone orange, et les données confidentielles sont sur la zone verte (qui n'est pas du tout accessible de l'exterieur). Ouvrir un pinhole revient à donner un accès à la zone verte à des attaquants potentiels, donc accès aux données confidentielles. Un attaquant qui prend le contrôle de la zone orange n'est pas "grave", puisqu'il n'a accès qu'à des données publiques, ou au moins peu confidentielles.
    Il me semble que sous IPCOP, la DMZ a accès à Internet out of the box.
    Vérifie plutôt que la machine en DMZ utilise bien la machine IPCOP en passerelle :
    # /sbin/route
    Destination Gateway Genmask Flags Metric Ref Use Iface
    192.168.20.0 * 255.255.255.0 U 0 0 0 eth0
    default 192.168.20.1 0.0.0.0 UG 0 0 0 eth0
    et que les DNS sont bien configurés :
    # cat /etc/resolv.conf
    nameserver 192.168.20.1

Revenir en haut de page || Retourner aux forums || Retourner au forum Linux.general

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0623s (dont 0.0055 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !