Forum Linux.général DMZ et ipcop

Posté par .
Tags : aucun
0
16
jan.
2006
Bonjour à tous,

J'ai un problème avec IPCOP et une DMZ.

J'utilise IPCOP branché sur une freebox pour partager la connexion internet et pour faire firewall. J'ai besoin de mettre un serveur web accessible depuis l'extérieur, donc je l'ai branché sur le réseau orange d'ipcop (DMZ). Depuis l'intranet (vert) j'arrive bien à y accéder, et depuis internet aussi avec un redirection du port 80. La DMZ ne peut pas accéder à l'intranet (vert) donc jusqu'ici tout va bien.

Le problème c'est que le pc dans la DMZ n'a pas accès à internet non plus. C'est pas pratique (mise à jour par exemple, connexion de serveur à serveur).

Est-ce que c'est le comportement normal d'une DMZ ? Il ne me semble pas mais si oui comment changer ce comportement ?

Merci d'avance.
  • # Pour un résumé de ce qu'est une DMZ :

    Posté par . Évalué à 2.

  • # pinholes

    Posté par . Évalué à 1.

    tu vas dans le menu 'Pare-feu->Accès à la DMZ' (ou 'Firewall->DMZ pinholes' en anglais). là tu définis quels IPs/ports de la DMZ peuvent passer.
    • [^] # Re: pinholes

      Posté par . Évalué à 1.

      Merci de ta réponse.

      J'avais déjà vu cet onglet mais dans réseau de destination j'ai que "VERT" alors que je voudrais mettre "ROUGE" (vers internet).

      J'ai quand même ajouté une règle pour voir avec les bonnes IP, mais ça ne fonctionne pas.

      Je suis supposé avoir "ROUGE" dans la liste ?
      • [^] # Re: pinholes

        Posté par . Évalué à 1.

        je reconnais que je suis aussi resté dubitatif la première fois, je m'attendais à voir ROUGE et pas VERT.
        qu'appelle-tu les bonnes IP ?
        personnellement, j'ai GREEN en 192.168.1.1 et ORANGE en 192.168.2.1 sur l'IpCop. ma machine en DMZ a l'IP 192.168.2.2
        si je définis une règle qui autorise http, je peux faire les mises à jour via apt-get.
        192.168.2.1 -> 192.168.1.1 : 80
        je te conseille d'être parcimonieux sur les ouvertures de port car l'ouverture d'un 'pinhole' est une faille de sécurité (enfin je vois ça comme cela).
        tu peux définir une plage de ports ou définir tous les ports dont tu as besoin un par un.
        • [^] # Re: pinholes

          Posté par . Évalué à 1.

          En GREEN j'ai 192.168.10.1 pour IPCOP, et 192.168.20.1 en ORANGE

          L'ip du serveur dans la DMZ est 192.168.20.2

          J'ai essayé les autorisations suivantes pour avoir le DNS :

          TCP 192.168.20.2 -> 192.168.10.1 : 53
          UDP 192.168.20.2 -> 192.168.10.1 : 53
          TCP 192.168.20.1 -> 192.168.10.1 : 53
          UDP 192.168.20.1 -> 192.168.10.1 : 53

          J'ai mis 192.168.20.1 en serveur dns, ça ne fonctionne pas. Donc j'ai essayé 192.168.10.1, mais ça ne fonctionne pas non plus...

          Merci de ton aide en tout cas, je vais continuer à chercher, au moins je sais sur quelle page ça se fait.
          • [^] # Re: pinholes

            Posté par . Évalué à 1.

            pour DNS, j'avoue que j'ai fait au plus simple, car en effet la machine en DMZ n'arrivait pas à résoudre les noms avec le serveur DNS de l'ipcop. alors j'ai mis les adresses DNS de mon provider dans le /etc/resolv.conf et là, les noms se sont résolus...
            si tu as une freeboite, ceci doit marcher
            nameserver 212.27.54.252
            nameserver 212.27.32.5
    • [^] # Re: pinholes

      Posté par (page perso) . Évalué à 2.

      Je dis peut-être une bêtise, mais il me semble que les pinholes n'ont rien à voir avec Internet (réseau rouge).
      Les pinholes servent à autoriser un pc de la zone orange (donc DMZ) à se connecter à une machine de la zone verte, en gros un serveur sur la zone verte qui doit être accessible depuis la zone orange. Au niveau sécurité, cela pose problème, puisqu'en théorie, seules les données publiques sont sur la zone orange, et les données confidentielles sont sur la zone verte (qui n'est pas du tout accessible de l'exterieur). Ouvrir un pinhole revient à donner un accès à la zone verte à des attaquants potentiels, donc accès aux données confidentielles. Un attaquant qui prend le contrôle de la zone orange n'est pas "grave", puisqu'il n'a accès qu'à des données publiques, ou au moins peu confidentielles.
      Il me semble que sous IPCOP, la DMZ a accès à Internet out of the box.
      Vérifie plutôt que la machine en DMZ utilise bien la machine IPCOP en passerelle :
      # /sbin/route
      Destination Gateway Genmask Flags Metric Ref Use Iface
      192.168.20.0 * 255.255.255.0 U 0 0 0 eth0
      default 192.168.20.1 0.0.0.0 UG 0 0 0 eth0
      et que les DNS sont bien configurés :
      # cat /etc/resolv.conf
      nameserver 192.168.20.1

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.