Les Pat Dans Ipcop : - Le Forum de Génération Nouvelles Technologies

juliezenatti · 09/05/2006, 15h15

Bonjour,

j'ai installer tout le réseau comme indiqué sur le schéma du tuto de génétation-nt.

• La DMZ, où ya un serveur web - ftp - mail doit avoir accès a Internet.
• Le LAN doit aussi avoir accès au Web.
• J'ai mi IPCop en tant que serveur Proxy transparent sur la zone verte.

Et voilà mes PAT correspondant :

régles pat ici

Comme ya un serveur proxy, a un moment ou a un autre, je dois pas ouvrir le port 8080 ou quelque chose comme ça ? J 'ai rien oublier, est-ce que vous voyez quelque(s) chose(s) d'anormal ?

Merci de vos réponses.

vanzetti44 · 09/05/2006, 19h51

salut

Non, pas besoin d'ouvrir d'autres ports... par contre, inutile d'ouvrir les ports UDP 80, 21, 25, 110...

Par contre, pour le ftp, faut ouvrir aussi le port TCP 20 (ftp_data)

juliezenatti · 09/05/2006, 20h22

Pourquoi dans le tuto ils disent :

Citation:

Exemple : Un serveur web se trouve derrière l’interface verte d’IPCop. Il vous faut donc rediriger les requêtes HTTP que reçoit votre IPCop vers ce serveur. Vous allez donc choisir les protocoles utilisés par http (ici TCP et UDP, il faudra donc créer une règle pour chaque protocole) et rediriger les paquets vers l’adresse IP de votre serveur web (192.168.1.250 par exemple) sur le port HTTP (80 par défaut, 8080 parfois).

Merci

Kikof · 09/05/2006, 21h00

Salut,

La question est d'abord est-ce que ça marche ou pas ? Et si non qu'est-ce qui ne marche pas ?
Les serveurs en question sont ils installés ? A mon avis, c'est la tâche de loin la plus dure.

Concernant tes règles, à ma connaissance, aucun des protocoles concernés n'utilise UDP. Tu peux donc les virer (bien que ça ne gêne en rien).

Je ne connais pas ipcop mais il doit intégrer le module ftp_conntrack, (regarder s'il faut le charger ou s'il est déjà présent) à ce titre et du moment que tu restes sur le ports d'écoute standard (21), tu ne dois avoir besoin d'ouvrir rien de plus.

Le proxy (ip+port, souvent TCP 8080), il suffit de le mettre dans le réglage approprié de chaque navigateur. Et seule la machine hébergeant le proxy doit avoir une règle l'autorisant à sortir sur TCP 80 (destination) et https (TCP 443) si le proxy le permet.

Je te conseille de t'attaquer à un seul problème à la fois. Par exemple, commence par faire marcher le proxy http et le réseau vert en ce qui concerne l'accès au web. Ensuite, nate http et met en place le serveur web, etc...

juliezenatti · 09/05/2006, 21h58

re slt

Citation:

La question est d'abord est-ce que ça marche ou pas ?

En fait, oui et non : dans le cadre de mon rapport de stage j'ai créer un LAN + DMZ + Ipcop et tout marche avec ces régles. Cependant, mon stage est fini et mon proff ma conseillé de mettre en place le Proxy.. Je ne peux donc plus vérifier si ça marche.

Le module ftp_conntrack doit y être puisque mon serveur ftp était ok ..

Je crois pas kil yé besoin de régler pour tout les clients le fait qu'ils passent pas un Proxy, car j'ai mis l'option 'transparent sur zone vert' (
ici)

Donc voilà, est-ce que le mode transparent dispense l'ajout de nouvelle règle ? Je pense que wé mais j'aimerais bien qu'on confirme lol

Merci

Mathieu · 09/05/2006, 22h10

Bonsoir à tous,

- Pour ce qui est des ports UDP en effet ils ne sont pas obligatoires : il sont de la "définition" du protocole du IANA mais en pratique on ne les utilise jamais... (je vais retirer ca du dossier

)

- Concernant le mode "transparent" du proxy ce dernier te permet en effet de ne pas intervenri sur chaque poste pour que ces dernier passent par le proxy (sauf si @ que tu auras spécifier dans la config bien entendu...), pour faire simple : une fois l'options "Transparent" cochée tout ce qui sortira passera par le proxy...

Bien @ vous

Mathieu

Edit : Dossier corriger
http://www.generation-nt.com/dossiers/lire...ation/page8.php

09/05/2006, 19h51	#2 (permalink)
vanzetti44 Confirmé Date d'inscription: janvier 2003 Localisation: Ouest Âge: 28 Messages: 810	salut Non, pas besoin d'ouvrir d'autres ports... par contre, inutile d'ouvrir les ports UDP 80, 21, 25, 110... Par contre, pour le ftp, faut ouvrir aussi le port TCP 20 (ftp_data) __________________ voili voilou vanzetti44 http://www.etincelle.cc MCSA Windows 2000 VMware Certified Professional Vi3 Powered by Mandriva Linux N'hésiter pas à me contacter par MSN Messenger : vanzetti44@hotmail.com

09/05/2006, 21h00	#4 (permalink)
Kikof Informaticien du dimanche Date d'inscription: mars 2003 Localisation: Autrefois, on appelait cela Europe Âge: 41 Messages: 7 039	Salut, La question est d'abord est-ce que ça marche ou pas ? Et si non qu'est-ce qui ne marche pas ? Les serveurs en question sont ils installés ? A mon avis, c'est la tâche de loin la plus dure. Concernant tes règles, à ma connaissance, aucun des protocoles concernés n'utilise UDP. Tu peux donc les virer (bien que ça ne gêne en rien). Je ne connais pas ipcop mais il doit intégrer le module ftp_conntrack, (regarder s'il faut le charger ou s'il est déjà présent) à ce titre et du moment que tu restes sur le ports d'écoute standard (21), tu ne dois avoir besoin d'ouvrir rien de plus. Le proxy (ip+port, souvent TCP 8080), il suffit de le mettre dans le réglage approprié de chaque navigateur. Et seule la machine hébergeant le proxy doit avoir une règle l'autorisant à sortir sur TCP 80 (destination) et https (TCP 443) si le proxy le permet. Je te conseille de t'attaquer à un seul problème à la fois. Par exemple, commence par faire marcher le proxy http et le réseau vert en ce qui concerne l'accès au web. Ensuite, nate http et met en place le serveur web, etc... __________________ I walk, shattered soul but unconcerned. Probably, I'm alive.

09/05/2006, 22h10	#6 (permalink)
Mathieu Débutant Date d'inscription: novembre 2005 Localisation: Paris (Nice des fois...) Âge: 22 Messages: 348	Bonsoir à tous, - Pour ce qui est des ports UDP en effet ils ne sont pas obligatoires : il sont de la "définition" du protocole du IANA mais en pratique on ne les utilise jamais... (je vais retirer ca du dossier ) - Concernant le mode "transparent" du proxy ce dernier te permet en effet de ne pas intervenri sur chaque poste pour que ces dernier passent par le proxy (sauf si @ que tu auras spécifier dans la config bien entendu...), pour faire simple : une fois l'options "Transparent" cochée tout ce qui sortira passera par le proxy... Bien @ vous Mathieu Edit : Dossier corriger http://www.generation-nt.com/dossiers/lire...ation/page8.php __________________ Bonne journée !

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email
Modes d'affichage
Mode linéaire Choisir le mode hybride Choisir le mode arborescent

09/05/2006, 15h15	#1 (permalink)
juliezenatti Novice Date d'inscription: février 2006 Messages: 3	Bonjour, j'ai installer tout le réseau comme indiqué sur le schéma du tuto de génétation-nt. • La DMZ, où ya un serveur web - ftp - mail doit avoir accès a Internet. • Le LAN doit aussi avoir accès au Web. • J'ai mi IPCop en tant que serveur Proxy transparent sur la zone verte. Et voilà mes PAT correspondant : régles pat ici Comme ya un serveur proxy, a un moment ou a un autre, je dois pas ouvrir le port 8080 ou quelque chose comme ça ? J 'ai rien oublier, est-ce que vous voyez quelque(s) chose(s) d'anormal ? Merci de vos réponses.