port 80-25-100-53 ipcop 2.0

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/ipcop/.

port 80-25-100-53 ipcop 2.0

Message par nadvig » 04 Nov 2011 01:00

bonjour

je suis une newbie en ce qui concerne ipcop 2.0

mon probleme est la base du firewalling versus ipcop.

je veux ouvrir un port : 80-25-100
je sais que pour le port 53 il y a des restrictions mais que faire si on a un site web sur son serveur web ?

voici ma config :

red : pc firewall ipcop
orange : serveur web linux ubuntu apache bind postfix webmin
vert : pcs

tout est fonctionnel

je veux simplement permettre a mon site sur apache puisse etre vu de l'exterieur et aussi de l'interne : donc ouvrir le port 80
que les courriels puissent sortir et entrer : port 25 - 110
et quoi faire avec les DNS? port 53 réservé a IPCOP!!!

j'ai deja forwardé les port 25-80-110 mais pour le trafic interne et externe je ne veux pas scrapper le tout!!!!

j'ai l'interface GUI de ipcop en francais. mais je peux faire aussi en mode commande sur ipcop

svp aidez moi!!!! j,aimerais etre aidé en francais... plus facile!

merci!

ps : avant c'était un ami qui s'occupait de mon firewall et serveur web (slackware) maintenant avec ubuntu serveur (xubuntu desktop) je n'ai plus besoin de lui, c'est pour ca que j'ai configuré ipcop sur un vieux pc et je veux l'administrer moi meme!
nadvig
 
Message(s) : 6
Inscription : 04 Nov 2011 00:51

Re: port 80-25-100-53 ipcop 2.0

Message par jdh » 04 Nov 2011 07:44

Bon, la présentation est loin d'être complète (adressage, ...) mais on comprend ce que vous voulez faire.
Néanmoins, il y a du travail de compréhension à faire !

Il ne faut pas réfléchir en terme de "je veux ouvrir un port" mais "quel sont les opérations nécessaires" !

Le serveur en Orange est un serveur web et un serveur mail :
- il doit être accessible, depuis l'extérieur, comme serveur web et serveur mail (réception des mails),
- il doit, comme client, résoudre les noms (dns), envoyer des mails.

Concernant pop3 (port 110/tcp), il est à déconseiller d'y accéder depuis l'extérieur : à préférer l'utilisation d'un webmail ou d'un vpn.

Donc, en entrée, il y aura juste smtp (25/tcp) et http (80/tcp) : ce sera les 2 (seules) règles NAT.
Et, en sortie (=client), il y aura dns (53/udp+tcp ?), smtp (25/tcp) : les firewall rules.


NB : 53 (=dns) n'est pas réservé à Ipcop, mais il est certain que jamais vous hébergerez le dns vous-même : ce n'est pas votre boulot !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: port 80-25-100-53 ipcop 2.0

Message par nadvig » 05 Nov 2011 01:07

c'est en plein ca .... j'ai quand meme reussi a me faire comprendre :-)

mon serveur web est aussi un serveur de mail avec postfix. je recois mes courriels via mon poste de travail réseau interne avec en configuration mail.domain.com

dans l'interface GUI de IPCOP il y a dans Firewall transfert de ports, trafic interne et trafic externe.
donc le trafic interne 25/tcp et 80 /tcp
trafic externe 53/udp-tcp 25/tcp
transfert de port j'ai deja fait 80-25

ce qui me mêle un peu c'est lorsque nous voulons faire une regle de trafic interne par ex. la source (carte) c'est indiqué Vert ou Orange. ca serait vert? puisque destination il y a vert ou orange aussi. et aux 2 endroits il y a reseau par defaut : Any ou les diff. zones

bref, voici ce que j'ai fait comme premiere tentative

Externe:

1 ORANGE Any => Rouge Any : smtp
2 ORANGE Any => Rouge Any : TCP
3 ORANGE Any => Rouge Any : UDP

Interne :
1 VERT Any => ORANGE Any : http
2 VERT Any => ORANGE Any : smtp

transfert :
1 Tout Any : 25 => ORANGE 192.168.10.1 : smtp
2 Tout Any : 80 => ORANGE 192.168.10.1 : http

suis-je dans la bonne direction?

merci pour votre aide!
nadvig
 
Message(s) : 6
Inscription : 04 Nov 2011 00:51

Re: port 80-25-100-53 ipcop 2.0

Message par jdh » 05 Nov 2011 08:08

(Pas très facile à lire : un français simple est plus aisé pour être bien compris ...)

Les règles "tout" sont à éviter : règle 2 et 3 Orange !

Il doit manquer : de Green vers Orange, pop3 ou imap !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: port 80-25-100-53 ipcop 2.0

Message par nadvig » 05 Nov 2011 13:27

voici

1 ORANGE Orange Network => Rouge Any : smtp
2 ORANGE Orange Network => Rouge Any : TCP
3 ORANGE Orange Network => Rouge Any : UDP

1 VERT Green Network => ORANGE Any : http
2 VERT Green Network => ORANGE Any : smtp
3 VERT Green Network => ORANGE Any : pop3

1 Tout Any : 25 => ORANGE 192.168.10.1 : smtp
2 Tout Any : 80 => ORANGE 192.168.10.1 : http
nadvig
 
Message(s) : 6
Inscription : 04 Nov 2011 00:51

Re: port 80-25-100-53 ipcop 2.0

Message par jdh » 05 Nov 2011 13:33

Les règles 2 et 3 d'Orange vers Red sont A EVITER !
Par contre, il n'y a pas la règle Orange -> Red : dns (53/udp+tcp ?).

Quand on configure un firewall, on commence par rejeter tous les flux zones à zones, puis on autorise les seuls flux nécessaires.
Et on évite les flux généraux, quitte à ajouter des règles supplémentaires par la suite.
On pense aux flux naturels sous-jacents comme dns (en principe, il n'y en a besoin uniquement pour Orange puisque Ipcop fournit le dns à Green seulement).
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: port 80-25-100-53 ipcop 2.0

Message par nadvig » 06 Nov 2011 00:32

voici :

Sortie :
3 ORANGE Orange Network => Rouge 192.168.10.2 : TCP
4 ORANGE Orange Network => Rouge 192.168.10.2 : UDP

dans Sortie :
2 ORANGE Orange Network => Rouge 192.168.10.2 : domain / est-ce ok comme ca ou bien c'est dans la regle 3 et 4 que je dois dire port 53?

dans Firewall- Services j'ai :
Service par defaut :
IPCop dns 53 TCP & UDP



edité:

j'ai fait qq changements et maintenant quand je fais un nmap sur mon IP (red-firewall) j'ai 2 ports ouverts et 2 fermés
25-80 ouverts
53-110 fermés
nadvig
 
Message(s) : 6
Inscription : 04 Nov 2011 00:51

Re: port 80-25-100-53 ipcop 2.0

Message par nadvig » 08 Nov 2011 03:37

pour revenir au trafic externe/sortie

"Par contre, il n'y a pas la règle Orange -> Red : dns (53/udp+tcp ?)"

quand je suis dans l'interface GUI, comment peut-on associer le port 53 a UDP et TCP?
Pièces jointes
out.jpg
trafic sortie
out.jpg (76.43 Kio) Consulté 1944 fois
nadvig
 
Message(s) : 6
Inscription : 04 Nov 2011 00:51

Re: port 80-25-100-53 ipcop 2.0

Message par nadvig » 09 Nov 2011 15:08

hier soir j'ai créé dans Services un nouveau service : UDP DNS avec le port 53. Dans le menu regles de firewall, j'ai repris ce service UDP DNS et appliqué la regle. Meme chose pour TCP DNS relié au port 53.

Je continu ce soir j'avance.
nadvig
 
Message(s) : 6
Inscription : 04 Nov 2011 00:51


Retour vers ipcop

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron