DMZ non visible dans les favoris réseaux

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/ipcop/.

DMZ non visible dans les favoris réseaux

Message par freegate » 20 Avr 2012 23:19

Bonjour,

J'ai un IPCOP 2.04 installé sur mon réseau avec 3 branches :

GREEN : 192.168.0.xxx
ORANGE : 192.168.1xxx
RED: ip du FAI

En orange (DMZ), j'ai un serveur SME avec avec Samba, qui fait office de Serveur web (intranet) et serveur de mail, adressé en 192.168.1.2.

Le ping vers 192.168.1.2 fonctionne, thunderbird accède au serveur de mail, et l'intranet est visible par les postes GREEN.

De mon poste (Windows Vista) du réseau GREEN, je souhaite que mon logiciel de développement WEB accède au serveur Web pour mettre à jour mon intranet. Pour ça il faut que j'accède au répertoire réseau où sont installés les fichiers sources. Mais je ne vois pas le poste SME en DMZ ou y paramétrer un connecteur réseau du genre (net use z:\\192.168.1.2\intranet).

Est-ce que IPCop est la source de mon pb ? et si oui quelles règles faut-il activer pour le régler ?

Merci
freegate
 
Message(s) : 12
Inscription : 20 Avr 2012 23:05

Re: DMZ non visible dans les favoris réseaux

Message par Franck78 » 20 Avr 2012 23:55

Salut,

il y a deux interrogations la dedans. Pour l'une, je n'ai pas la réponse.

1/ Est-ce que SME sait créer un partage windows. Oui très probablement, quoique...

2/ Est-ce que IPCop interfère ? Bien sur que oui ! Il crée deux réseaux (orange/green) et un peu de recherche sur windows browser remonte l'éternel problème 'je vois pas mes partages distants' !!!

La solution à 2/ est donnée chez microsoft et d'autres. Aupif http://onlamp.com/pub/a/onlamp/excerpt/ ... tml?page=2


Voila !
Franck
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: DMZ non visible dans les favoris réseaux

Message par jibe » 21 Avr 2012 00:26

Salut,

Franck78 a écrit :1/ Est-ce que SME sait créer un partage windows. Oui très probablement, quoique...

Oui, ce que veut faire freegate est parfaitement possible. Il est juste conseillé de lire le manuel SME, ne serait-ce que pour savoir comment créer et utiliser ce partage. Mais SME étant conçue pour être configurée par des non-informaticiens, c'est vraiment simple.

Franck78 a écrit :2/ Est-ce que IPCop interfère ? Bien sur que oui !

Sans vouloir relancer le "troll du siècle", j'ajouterais : Et probablement pas de la bonne manière, sauf à être suffisamment expert... pour comprendre que SME n'est alors probablement pas le bon choix !

En résumé, SME est avant tout conçu pour être utilisé en serveur-passerelle, en frontal sur le web. Hors de ce contexte, soit une autre distrib est un meilleur choix, soit il faut vraiment savoir de quoi on parle tant en fonctionnement interne de SME qu'en configuration de firewall. Bref, être un expert en réseaux et avoir lu, parfaitement compris et retenu le developper's manual de SME (in english, of course).

Donc, mon meilleur conseil est de revoir l'architecture du réseau et de virer Ipcop qui n'apporte rien d'autre que de la complication.
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: DMZ non visible dans les favoris réseaux

Message par jdh » 21 Avr 2012 08:13

Effectivement, on est dans un schéma :
Code : Tout sélectionner
Internet <-> IpCop <-> LAN
             IpCop <-> DMZ dont une SME
L'objectif étant que la SME soit serveur web et que l'accès au répertoires web se fassent en mode windows (Samba).
Comme Franck78 et Jibé, je pense que l'accès à des partages Windows vers la DMZ est TRES mauvais parce que difficile à paramétrer !

* le bon schéma :
Un schéma qui fonctionnerait à tous les coups serait le schéma SME seul en mode server+gateway !
Cela supposerait le retrait de l'Ipcop et l'ajout d'une carte réseau dans la SME plus sa reconfiguration.
(Peut-être sans aucune perte de données : Jibe confirmes tu ?)

* faire avec le schéma actuel :
Le seul moyen fiable et sûr d'accéder depuis Green aux espaces web est FTP (et oublier les partages Windows).

Autre possibilité (mais mauvaise) : regarder comment ouvrir l'accès dans Ipcop à un partage windows vers dmz :
bonne chance pour trouver tous les ports !


Question subsidiaire :
Pourquoi avoir choisi un schéma avec Ipcop ?
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: DMZ non visible dans les favoris réseaux

Message par jibe » 21 Avr 2012 22:45

Salut,

jdh a écrit :* le bon schéma :
Un schéma qui fonctionnerait à tous les coups serait le schéma SME seul en mode server+gateway !
Cela supposerait le retrait de l'Ipcop et l'ajout d'une carte réseau dans la SME plus sa reconfiguration.
(Peut-être sans aucune perte de données : Jibe confirmes tu ?)

Je confirme effectivement :
1 - Que c'est bien le bon schéma, et même à mon sens le seul envisageable (c'est vrai que DMZ+FTP peut - si c'est bien fait - être aussi sécure, mais que de complications inutiles !).
2 - Que si on conseille toujours et à juste titre une bonne sauvegarde avant toute intervention, l'adjonction d'une seconde carte réseau et la re-configuration en serveur+gateway se fait très facilement et sans perte de données (sauf si on casse le disque en ouvrant la bête pour ajouter la seconde carte réseau !). C'est fait et de nouveau opérationnel avec le nouveau schéma en quelques minutes 8-)
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: DMZ non visible dans les favoris réseaux

Message par freegate » 23 Avr 2012 14:09

Je pense maitriser le partage réseau sous SME grâce aux ibays. SME est dans mes réseaux contrôleur de domaine depuis plus de 8 ans maintenant. En fait mon pb n'est pas SME. J'aurais pu mettre en DMZ n'importe quel serveur Lamp, qui permette de publier un site internet. J'ai choisi SME non pour ses propriétés de passerelle et de firewall mais parce que je maitrise sa configuration, et qu'en 15 mn j'ai à disposition des serveurs mail, web, et mysql opérationnels. Voila les seuls raisons pour lesquelles je parle de SME dans ce post.

D'ailleurs mon réseau avant était configuré comme JIBE le préconisait (SME en passerelle + deux cartes réseaux). J'ai fait le choix d'IP COP comme passerelle pour les fonctionnalités supplémentaires que celui-ci apporte par rapport à SME : déjà, l'assistance en ligne est plus fournie, alors que l'on tend malheureusement vers une désaffection de SME. IPCOP est mieux maintenu. Avec IPCOP, on voit ce qui se passe au niveau des flux entrants et sortant (système de détection d'intrusion par ex), la lecture des logs est très facile, alors qu'avec SME c'est super compliqué. Il ya des plugs-ins et autres addons qui me permettent de filtrer les flux sortants, de savoir quel utilisateur est allé sur quel site, une meilleure gestion du VPN, du trafic shaping, etc, tout avec un mode administration très accessible.

Bref, tout ceci pour expliquer les raisons de ma config réseau aujourd'hui. Je veux bien en débattre de son intérêt, mais cela ne résout mon pb qui est de comment mettre à jour mon serveur Web qui est dans DMZ avec une adresse IP 192.168.1.2 alors mon réseau est en 192.168.0.xxxx. Bien sûr je peux passer par du FTP, mais mon éditeur de page PHP ne gèrant pas les connexions ftp, je dois pouvoir directement accéder au répertoire réseau sur lequel sont stockés les fichiers PHP.

Ma question formulée autrement serait donc de savoir s'il y a une configuration particulière à mettre en place dans IPCOP au niveau des règles du par-feu afin d’accéder via samba au répertoire de stockage de mon intranet (qui est déjà partagé et opérationnel par SME) ? Ou bien IPCOP n’empêche en rien cette manipulation car mon pb serait un simple de routage entre sous-réseau ?

De toutes les lectures que j'ai pu lire, en matière de subnetting, c'est la passerelle qui permet de communiquer entre deux sous réseau, c'est pour cela que je persiste à penser qu'il y a quelque chose à configurer sur IPCOP pour que cela fonctionne (sans changer bien sur le masque de sous-réseau).

Merci.
freegate
 
Message(s) : 12
Inscription : 20 Avr 2012 23:05

Re: DMZ non visible dans les favoris réseaux

Message par Franck78 » 23 Avr 2012 15:18

Moi je constate simplement que tu ne dis rien sur la manière dont un client windows découvre les partages réseaux.
Je constate aussi que tu ne dis rien sur la commande lancée coté client.
Je constate aussi que tu ne donnes aucun log coté serveur samba, celui-ci pouvant par exemple rejeter pour X raison un client.

Donc ton choix est ce qu'il est, valable, mais sans véritable information utile pour incriminer ou non, client, ipcop, sme, samba.
Ca fait beaucoup !
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: DMZ non visible dans les favoris réseaux

Message par freegate » 23 Avr 2012 16:47

Si tu relis mon post, tu verras que je incrimine personne (samba, IPCOP, Config réseau, interface homme :) etc.). J'essaie de comprendre d'où peut venir le pb en avançant des hypothèses, la plus probable venant selon moi du routeur.
Si je m'adresse à vous, c'est que justement, je sèche sans doute par méconnaissance des réseaux, de IPCOP, et que j'ai besoin de vos lumières pour identifier la source éventuelle du pb, voire une piste me permettant d'accentuer mes recherches dans ce sens.

Si je ne dis rien sur la manière dont le client windows découvre les partages réseaux ou les logs de samba, c'est qu'à aucun moment j'ai pensé que cela pouvait avoir une incidence sur mon pb, puisque lorsque le serveur web revient dans la plage 192.168.0.xxx, le pb disparaît.

Maintenant, il me semble avoir parler dans mon premier message de NET USE, de PING, personne n'a relevé et creuser dans cette direction :?: , j'en ai déduit (peut être à tort) que le pb venait sans doute d'ailleurs.

Ceci dit, je veux bien croire que mon pb vient du partage réseau au lieu du routage, mais tu ne m'as pas encore donné d'éléments justifiant l'exploration de cette piste.
freegate
 
Message(s) : 12
Inscription : 20 Avr 2012 23:05

Re: DMZ non visible dans les favoris réseaux

Message par jdh » 23 Avr 2012 20:53

Le routage IP fonctionne sans doute fort correctement !
Parce que c'est sous-jacent et parfaitement normal.
Il est plus que probable que Christian CALECA donne les explications utiles pour comprendre et voire vérifier cela.

Au delà du routage, il est nécessaire qu'il existe une règle firewall qui autorise le paquet.
D'où l'importance des protocoles, de les connaître, de savoir configurer la règle correspondante.
Avez vous identifié les protocoles en jeu ?

Le bon schéma permet d'accéder simplement, via un partage Windows, à l'ibay qui correspond au site web depuis le LAN.
La complexification lié à la présence d'Ipcop doit être assumée !

Je ne vois pas d'autre solution.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: DMZ non visible dans les favoris réseaux

Message par Franck78 » 23 Avr 2012 21:05

Si je ne dis rien sur la manière dont le client windows découvre les partages réseaux ou les logs de samba, c'est qu'à aucun moment j'ai pensé que cela pouvait avoir une incidence sur mon pb

c'est pourtant bein ce qu'indique ton sujet : "DMZ non visible dans les favoris réseaux"

donc on ne sait toujours pas ce que tu testes, ni comment d'ailleurs !
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Suivant

Retour vers ipcop

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Google [Bot] et 1 invité

cron