Les Pat Dans Ipcop :

[juliezenatti]

Bonjour,

j'ai installer tout le réseau comme indiqué sur le schéma du tuto de génétation-nt.

• La DMZ, où ya un serveur web - ftp - mail doit avoir accès a Internet.
• Le LAN doit aussi avoir accès au Web.
• J'ai mi IPCop en tant que serveur Proxy transparent sur la zone verte.

Et voilà mes PAT correspondant :

régles pat ici

Comme ya un serveur proxy, a un moment ou a un autre, je dois pas ouvrir le port 8080 ou quelque chose comme ça ? J 'ai rien oublier, est-ce que vous voyez quelque(s) chose(s) d'anormal ?

Merci de vos réponses.

[vanzetti44]

salut


Non, pas besoin d'ouvrir d'autres ports... par contre, inutile d'ouvrir les ports UDP 80, 21, 25, 110...

Par contre, pour le ftp, faut ouvrir aussi le port TCP 20 (ftp_data)

[juliezenatti]

Pourquoi dans le tuto ils disent :

Citation:

Exemple : Un serveur web se trouve derrière l’interface verte d’IPCop. Il vous faut donc rediriger les requêtes HTTP que reçoit votre IPCop vers ce serveur. Vous allez donc choisir les protocoles utilisés par http (ici TCP et UDP, il faudra donc créer une règle pour chaque protocole) et rediriger les paquets vers l’adresse IP de votre serveur web (192.168.1.250 par exemple) sur le port HTTP (80 par défaut, 8080 parfois).

Merci

[Kikof]

Salut,

La question est d'abord est-ce que ça marche ou pas ? Et si non qu'est-ce qui ne marche pas ?
Les serveurs en question sont ils installés ? A mon avis, c'est la tâche de loin la plus dure.

Concernant tes règles, à ma connaissance, aucun des protocoles concernés n'utilise UDP. Tu peux donc les virer (bien que ça ne gêne en rien).

Je ne connais pas ipcop mais il doit intégrer le module ftp_conntrack, (regarder s'il faut le charger ou s'il est déjà présent) à ce titre et du moment que tu restes sur le ports d'écoute standard (21), tu ne dois avoir besoin d'ouvrir rien de plus.

Le proxy (ip+port, souvent TCP 8080), il suffit de le mettre dans le réglage approprié de chaque navigateur. Et seule la machine hébergeant le proxy doit avoir une règle l'autorisant à sortir sur TCP 80 (destination) et https (TCP 443) si le proxy le permet.

Je te conseille de t'attaquer à un seul problème à la fois. Par exemple, commence par faire marcher le proxy http et le réseau vert en ce qui concerne l'accès au web. Ensuite, nate http et met en place le serveur web, etc...

[juliezenatti]

re slt

Citation:

La question est d'abord est-ce que ça marche ou pas ?

En fait, oui et non : dans le cadre de mon rapport de stage j'ai créer un LAN + DMZ + Ipcop et tout marche avec ces régles. Cependant, mon stage est fini et mon proff ma conseillé de mettre en place le Proxy.. Je ne peux donc plus vérifier si ça marche.

Le module ftp_conntrack doit y être puisque mon serveur ftp était ok ..

Je crois pas kil yé besoin de régler pour tout les clients le fait qu'ils passent pas un Proxy, car j'ai mis l'option 'transparent sur zone vert' (
ici)

Donc voilà, est-ce que le mode transparent dispense l'ajout de nouvelle règle ? Je pense que wé mais j'aimerais bien qu'on confirme lol

Merci

[Mathieu]

Bonsoir à tous,

- Pour ce qui est des ports UDP en effet ils ne sont pas obligatoires : il sont de la "définition" du protocole du IANA mais en pratique on ne les utilise jamais... (je vais retirer ca du dossier )

- Concernant le mode "transparent" du proxy ce dernier te permet en effet de ne pas intervenri sur chaque poste pour que ces dernier passent par le proxy (sauf si @ que tu auras spécifier dans la config bien entendu...), pour faire simple : une fois l'options "Transparent" cochée tout ce qui sortira passera par le proxy...

Bien @ vous
Mathieu

Edit : Dossier corriger
http://www.generation-nt.com/dossiers/lire...ation/page8.php