PhenIXUS

[freegate]

c'est pourtant bein ce qu'indique ton sujet : "DMZ non visible dans les favoris réseaux"

Je ne vois pas le rapport. Bon, il est possible que j'explique mal mon pb. Sans blague, j'ai l'impression que l'on est plus embrouillé qu'au début.

Reprenons autrement :

Au delà de tout ce que je viens de dire, pour ceux qui ont un serveur Web en DMZ (sur la patte orange d'IPCOP), comment faites vous mettre le mettre à jour à partir d'un poste Windows du réseau green (autrement qu'en FTP) ? Est-ce que l'accès aux répertoires de stockage des fichiers HTML, par le réseau green a nécessité la modification des règles de pare-feu ? Si oui lesquelles ?

C'est ça mon pb initial

Si vous avez besoin de précisions complémentaires, je suis à votre disposition.

Merci.

[jdh]

Je pense que nous avons tous répondu : on NE FAIT PAS de mise à jour entre LAN et DMZ par le moyen de partage windows !
Parce que c'est difficile de configurer un firewall pour autoriser ce type de trafic !

Evidemment, avec une règle totalement idiote qui autoriserait tout de Green vers Orange, on pourrait éventuellement y arriver.
Moins idiot, une règle autorisant seulement un accès à des partages windows.
Avez vous déjà simplement cherché "partage windows firewall" ?

Peut-être faudrait-il aussi penser que la SME refuse ou non l'accès à ses partages windows depuis un autre réseau ?


Vous êtes confronté à la complexité que vous avez vous même introduit.
Je ne vois aucun effort pour assumer cette complexité, ni remise en cause, ni acceptation de l'alternative ftp pourtant usuelle.

[Franck78]

Je me loggue en ssh dans le dit serveur et envoie les commandes prévues à cet effet !
apt-get update/upgrade
yum ???
rpm -i???

Enfin bref, j'ai pas l'impression que c'est la réponse que tu attends car ta question est encore plus mal posée !

Tu veux accéder à un partage windows (samba) situé dans un autre réseau.

Il y a mille eccueuils à ce petit challenge. Tous détaillés par microsoft et d'autres.
Les mots clés sont tous présent dans le liens que je t'ai donné. D'accord il n'est pas des plus pertinents cet article.


Mais comme tu ne veux pas dire ce tu fais, difficile de t'aider.

[ccnet]

Au delà de tout ce que je viens de dire, pour ceux qui ont un serveur Web en DMZ (sur la patte orange d'IPCOP), comment faites vous mettre le mettre à jour à partir d'un poste Windows du réseau green (autrement qu'en FTP) ?

L'idée en elle même est porteuse d'une dangerosité extrême. A la base l'idée est mauvaise sauf à accepter une dégradation énorme de la sécurité qui va jusqu'à remettre en question la pertinence de la dmz. Pourtant l'idée de la dmz est bonne. Vouloir mettre à jour un serveur web, par nature exposé, via un partage de fichier Microsoft avec tout ce que cela implique, c'est pratiquement ouvrir son réseau interne au premier venu qui fera sauter votre serveur web. Comme il n'y a pas de firewall applicatif, il y a fort à parier que ce ne sera pas trop difficile.
Votre serveur web sera alors transformé, au choix, en plateforme d'attaque, en spammeur, ou encore hébergera une page dans ce style (http://xss-ubs.com/Jx=9820 ) afin de récupérer les identifiants d'internautes naïfs. Ma recommandation serait d'utiliser un protocole ne nécessitant pas l’ouverture d'un grand nombre de port et fournissant des moyens d'authentification potentiellement robustes.

Nous avons un cas exemplaire où une mesure de sécurité, la dmz, est ruinée par une mise en ouvre inadaptée, le partage réseau.

[freegate]

Je pense que nous avons tous répondu : on NE FAIT PAS de mise à jour entre LAN et DMZ par le moyen de partage windows !
Parce que c'est difficile de configurer un firewall pour autoriser ce type de trafic !

Donc ce n'est pas impossible.

Moins idiot, une règle autorisant seulement un accès à des partages windows.
Avez vous déjà simplement cherché "partage windows firewall" ?

Justement c'est à ce que je veux arriver. Si vous pensez qu'une telle règle pouvait résoudre mon pb, je veux bien que vous disiez comment la rajouter dans IPCOP ? Et risque de vous étonner, si j'ai pris la décision de poster mon pb dans PhenIXUS, c'est après de longues recherches qui se sont révélées infructueuses, tant sur Google que Ixus (mots clés utilisés : firewall, IPCOP, partage windows, visibilité, favoris réseau, sous réseau, masque de réseau, DMZ, ORANGE, etc....).

J'ai bien vu qu'il était traité d'une histoire de protocole netbios (port 139 et 138 à ouvrir) à configurer dans IPCOP, mais il n'est fait mention nulle part de comment créer la bonne règle ? Est-ce dans le module trafic en sortie, trafic interne, transfert de port. C'est justement sur ces points que je sèche et que je voulais profiter de vos lumières en tant que spécialiste d'IPCOP.

Peut-être faudrait-il aussi penser que la SME refuse ou non l'accès à ses partages windows depuis un autre réseau ?

Je pense avoir réglé ce problème grâce au module de "gestion de réseau dans SME". J'ai rajouté le réseau 192.168.0.xxxxxx
D'ailleurs sans aucune modification d'IPCOP, j'accède aux serveurs FTP, SSH, IMAP, SMTP, LDAP de mon serveur 192.168.1.2 à partir de mon réseau green. Qu'est-ce qui explique que cela ne soit pas possible pour les répertoires réseaux partagés ? C'est ça mon interrogation.

Vous êtes confronté à la complexité que vous avez vous même introduit.
Je ne vois aucun effort pour assumer cette complexité, ni remise en cause, ni acceptation de l'alternative ftp pourtant usuelle.

. Loin de moi l'idée de m'arc-bouter vers une solution plutôt qu'une autre mais je n'ai pas le choix, comme je l'ai dit, mon éditeur PHP HTML est contraignant. Pour modifier mes pages WEB, il veut absolument avoir accès à un partage réseau. Il ne s'agit aucunement d'un caprice de ma part. D'où ma dernière question "Comment faites-vous, vous qui êtes peut être confronté au même problème que moi ?"

Maintenant je ne m'attendais pas à autant de jugement de valeur de votre part, "aucune effort pour assumer cette complexité, ni remise en cause" . Dans mes propos, il ne m'a pas semblé être obtus. Quand on me l'a demandé, j'ai expliqué toutes mes prises de position. J'ai même émis la possibilité que je m'exprime mal. Je n'attends pas non plus que l'on me donne la solution toute cuite. Une orientation pertinente dans la résolution de mon pb m'aurait largement suffit, ou d'ailleurs n'importe quel éclaircissement sur la faisabilité technique de ma demande.

Il semblerait que ma démarche n'ait été comprise.

[freegate]

Je me loggue en ssh dans le dit serveur et envoie les commandes prévues à cet effet !
apt-get update/upgrade
yum ???
rpm -i???

Enfin bref, j'ai pas l'impression que c'est la réponse que tu attends car ta question est encore plus mal posée !


Mais comme tu ne veux pas dire ce tu fais, difficile de t'aider.

Le hic c'est que je pense avoir décrit en long et en large ce que je fais , mon pb et ce que j'ai fait pour essayer de le résoudre, dans mes posts précédents. Loin de moi la volonté de faire de la rétention d'informations, mais je ne vois quelle autre information veux-tu que je te donne, à part dire que je ne vois pas le serveur 192.168.1.2 dans les favoris réseau malgré une recherche via cette adresse IP.

Mon pb n'est pas de mettre à jour le serveur lui-même, la commande "yum update" à partir de Putty est parfaitement opérationnelle.

Mon pb est comment mettre à jour les fichiers html de mon site internet stocké sur ledit serveur Web placé en DMZ ?

J'espère avoir correctement reformulé ma question cette fois-ci.

[freegate]

L'idée en elle même est porteuse d'une dangerosité extrême.

Soit je veux bien entendre ça. Je ne suis pas obtus.

Maintenant d'un point de vue purement théorique et technique, au delà de l'aspect sécurité (que je veux bien assumer), puisque toute ma démarche est basée sur une volonté d 'apprendre à utiliser IPCOP d'en comprendre ses concepts, et donc d'en connaitre ses limites, toutes ces demandes d'information et d'aide technique concernent un réseau perso qui n'a aucune donnée sensible, dont la perte serait catastrophique pour la sécurité nationale.

Maintenant je comprends que je peux être un vecteur au piratage international en offrant aux hackers, un PC zombi, mais le risque est limité compte tenu que je fais juste des tests, que l'IP publique de mon réseau perso est dynamique et publié uniquement dans le cadre de mes test perso.

[Franck78]

mais je ne vois quelle autre information veux-tu que je te donne, à part dire que je ne vois pas le serveur 192.168.1.2 dans les favoris réseau malgré une recherche via cette adresse IP

-peut être le résultat d'un net use dans une boite cmd ....?

-peut être qu'a la lecture des articles sur le browser (l'explorateur) windows tu comprends pourquoi tu ne vois rien ....

IPCop et les régles, c'est la dernière roue du carosse ici. D'autant que GREEN->ORANGE n'est pas limité (enfin c'était le cas en 1.4.21, il est temps que je mette à jour quelques connaissances moi).

[ccnet]

IPCop et les régles, c'est la dernière roue du carosse ici.

Freegate, je pense que c'est une phrase qu'il faut vraiment prendre en considération.
Les choses se pensent dans un ordre tout à fait différent. Je crois que tous les éléments vous ont été donné pour comprendre non pas Ipcop (ou un autre firewall) mais le fonctionnement d'un protocole en particulier. C'est de là qu'il faut partir. Et en tirer les conséquences.

Pour mon commentaire et votre réponse, je n'ai rien à ajouter. J'ai dit ce que j'en pense d'un point de vue sécurité (ce qui est le sujet central de PhenIXUS). Vous êtes le maitre à bord.

Vous demandez comment nous faisons en pratique. En aucun cas ce type de situation n'est viable. Je parle de contexte professionnel. En d'autre terme : la mise à jour d'un serveur web par modification directe avec éditeur PHP HTML n'est pas envisageable. La mise à jour est réalisée sur un environnement de développement (qui peut être supporterai mieux votre éditeur). Celle ci est transférée sur un environnement de préproduction par FTP probablement mais dans un vpn. La bascule en production est réalisé par un exploitant avec des mécanismes totalement automatisés. Il n'y a aucune communication possible (d'un point de vue système) entre le réseau local et le serveur web en prod. Je comprend que cela ne vous concerne pas, mais travaillant dans un contexte professionnel, c'est à peu près la façon dont les choses se passent. Voilà pourquoi, pour moi du moins, votre problème ne se pose pas. Ou, dit autrement, comment un besoin assez similaire est traité.

[freegate]

Bien compris.

Y-a-t-il un lien (tutoriel) que vous pouvez me conseiller qui explique la méthode et les incidences en matière de sécurité lorsque l'on rajoute des règles de type trafic en sortie, trafic interne, transfert de port sur IPCOP version 2.0.4 ?

Merci