Bonjour à tous,
J'ai un problème avec IPCOP et une DMZ.
J'utilise IPCOP branché sur une freebox pour partager la connexion internet et pour faire firewall. J'ai besoin de mettre un serveur web accessible depuis l'extérieur, donc je l'ai branché sur le réseau orange d'ipcop (DMZ). Depuis l'intranet (vert) j'arrive bien à y accéder, et depuis internet aussi avec un redirection du port 80. La DMZ ne peut pas accéder à l'intranet (vert) donc jusqu'ici tout va bien.
Le problème c'est que le pc dans la DMZ n'a pas accès à internet non plus. C'est pas pratique (mise à jour par exemple, connexion de serveur à serveur).
Est-ce que c'est le comportement normal d'une DMZ ? Il ne me semble pas mais si oui comment changer ce comportement ?
Merci d'avance.
Forum Linux.général DMZ et ipcop
16
jan.
2006
# Pour un résumé de ce qu'est une DMZ :
Posté par blobmaster . Évalué à 2.
# pinholes
Posté par Brahici . Évalué à 1.
[^] # Re: pinholes
Posté par Rémi . Évalué à 1.
J'avais déjà vu cet onglet mais dans réseau de destination j'ai que "VERT" alors que je voudrais mettre "ROUGE" (vers internet).
J'ai quand même ajouté une règle pour voir avec les bonnes IP, mais ça ne fonctionne pas.
Je suis supposé avoir "ROUGE" dans la liste ?
[^] # Re: pinholes
Posté par Brahici . Évalué à 1.
qu'appelle-tu les bonnes IP ?
personnellement, j'ai GREEN en 192.168.1.1 et ORANGE en 192.168.2.1 sur l'IpCop. ma machine en DMZ a l'IP 192.168.2.2
si je définis une règle qui autorise http, je peux faire les mises à jour via apt-get.
192.168.2.1 -> 192.168.1.1 : 80
je te conseille d'être parcimonieux sur les ouvertures de port car l'ouverture d'un 'pinhole' est une faille de sécurité (enfin je vois ça comme cela).
tu peux définir une plage de ports ou définir tous les ports dont tu as besoin un par un.
[^] # Re: pinholes
Posté par Rémi . Évalué à 1.
L'ip du serveur dans la DMZ est 192.168.20.2
J'ai essayé les autorisations suivantes pour avoir le DNS :
TCP 192.168.20.2 -> 192.168.10.1 : 53
UDP 192.168.20.2 -> 192.168.10.1 : 53
TCP 192.168.20.1 -> 192.168.10.1 : 53
UDP 192.168.20.1 -> 192.168.10.1 : 53
J'ai mis 192.168.20.1 en serveur dns, ça ne fonctionne pas. Donc j'ai essayé 192.168.10.1, mais ça ne fonctionne pas non plus...
Merci de ton aide en tout cas, je vais continuer à chercher, au moins je sais sur quelle page ça se fait.
[^] # Re: pinholes
Posté par Brahici . Évalué à 1.
si tu as une freeboite, ceci doit marcher
nameserver 212.27.54.252
nameserver 212.27.32.5
[^] # Re: pinholes
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 2.
Les pinholes servent à autoriser un pc de la zone orange (donc DMZ) à se connecter à une machine de la zone verte, en gros un serveur sur la zone verte qui doit être accessible depuis la zone orange. Au niveau sécurité, cela pose problème, puisqu'en théorie, seules les données publiques sont sur la zone orange, et les données confidentielles sont sur la zone verte (qui n'est pas du tout accessible de l'exterieur). Ouvrir un pinhole revient à donner un accès à la zone verte à des attaquants potentiels, donc accès aux données confidentielles. Un attaquant qui prend le contrôle de la zone orange n'est pas "grave", puisqu'il n'a accès qu'à des données publiques, ou au moins peu confidentielles.
Il me semble que sous IPCOP, la DMZ a accès à Internet out of the box.
Vérifie plutôt que la machine en DMZ utilise bien la machine IPCOP en passerelle :
# /sbin/route
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.20.0 * 255.255.255.0 U 0 0 0 eth0
default 192.168.20.1 0.0.0.0 UG 0 0 0 eth0
et que les DNS sont bien configurés :
# cat /etc/resolv.conf
nameserver 192.168.20.1
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.