acces externe port 443

par **Ouled** » 13 Fév 2008 10:51

Oui. Non ce n'est pas grave. C'est désagréable si vous avez un monitoring centralisé pour la présentation de l'enchainement des événements. On va finir pas y arriver !

j'espere ! merci pour votre aide.

Au dernier test j'obtiens :

Routeur

Wed, 2008-02-13 08:30:58 - TCP Packet - Source:193.253.37.205,14154 Destination:217.128.130.97,443 - [HTTPS rule match]
Wed, 2008-02-13 08:31:19 - TCP Packet - Source:193.253.37.205,14189 Destination:217.128.130.97,443 - [HTTPS rule match]
Wed, 2008-02-13 08:31:27 - TCP Packet - Source:193.253.37.205,14198 Destination:217.128.130.97,443 - [HTTPS rule match]

Ipcop

09:26:06 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=14154 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0
09:26:21 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=14189 DPT=443 WINDOW=16384 RES=0x00 RST URGP=0
09:26:33 IN=eth1 OUT=eth0 SRC=193.253.37.205 DST=172.16.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=65259 PROTO=TCP SPT=14198 DPT=443 WINDOW=1

la redirection se fait à tous les niveaux si je ne me trompe pas. ya t-il un element qui va pas ? sachant qu'en local, le teste fonctionne. http://172.16.1.1/utilisateur1, j'accède bien au contenu du repertoire de l'urilisateur1.

par **ccnet** » 13 Fév 2008 11:20

Oui, cà semble cohérent, les paquets parviennent bien à IPCOP et les différentes règles et translations sont correctes. Dans les logs ipcop via l'interface d'admin avez vous quelque chose ? Normalement il devrait ne rien y avoir si les paquets ne sont pas rejetés par IPCOP.

La machine à atteindre est une machine windows ?

par **Ouled** » 13 Fév 2008 11:30

La machine à atteindre est une machine windows ?

oui c'est un serveur 2003, les serveurs IIS et Radius sont installés et fonctionnent correctement.

par **ccnet** » 13 Fév 2008 11:38

Désolé j'ai quoté dans mon message précédent au lieu de mettre en gras. Donc les logs ipcop dans l'interface d'admin disent quo pour ces paquets ?

Dans la foule, pouvez vous jeter un oeil sur la config du 2003 server coté sécurité et restrictions ? Désolé mais là je ne maitrise pas et je ne sais pas où il faut regarder. Je soupçonne que le 2003 pourrait rejeter des requêtes https dès lors que l'adresse source est externe ?

par **Ouled** » 13 Fév 2008 14:05

Donc les logs ipcop dans l'interface d'admin disent quo pour ces paquets ?

12:46:24 NEW not SYN? eth1 TCP 193.253.37.205 22132 ::::: 172.16.1.1 443(HTTPS)
12:46:44 NEW not SYN? eth1 TCP 193.253.37.205 22148 ::::: 172.16.1.1 443(HTTPS)
12:46:56 NEW not SYN? eth1 TCP 193.253.37.205 22152 ::::: 172.16.1.1 443(HTTPS)

je fais des recherches sur le NEW not SYN?, c'est pas normal apparement.

par **ccnet** » 13 Fév 2008 15:03

New not Syn, ce n'est pas grave. Vous pouvez faire une recherche ici pour plus d'explication.
Il est temps de vérifier sur le 2003 Server ce qui existe comme sécurité, malheureusement je suis assez ignare la dessus. J'ai bien l'impression qu'il refuse les connexions dont la source est à l'extérieur du réseau.
Sinon tcpdump sur ipcop pour voir ce qui se passe.

par **Ouled** » 14 Fév 2008 09:20

Il est temps de vérifier sur le 2003 Server ce qui existe comme sécurité, malheureusement je suis assez ignare la dessus. J'ai bien l'impression qu'il refuse les connexions dont la source est à l'extérieur du réseau.

Ok je me penche sur la question et poste une réponse dés que possible.

par **Ouled** » 20 Fév 2008 14:21

Resume

pour acceder de 'exterieur à un serveur 2003, via un routeur Netgear dg384g et un firewall ipcop aevc urlfilter et advproxy, il faut :

Routeur :

il faut placer la pate rouge de l'ipcop dans une DMZ.Avancé -> Configuration Wan

Ipcop :

Pare-feur -> Transfert de ports :
Protocol : tcp
Port source : 443
Port destination : 443
Adresse ip : adresse du serveur 2003

Pare-feu -> Accès externes

Port destination : 443

Si vous avez un message d'erreur du type :
12:46:24 NEW not SYN? eth1 TCP 193.2::::: 172.16.1.1 443(HTTPS)

Cela veut dir que : http://forums.ixus.fr/viewtopic.php?t=38347&start=0
donc desacivez le mode transparent si vous pouvez et laissez le navigateur internet acceder à l'internet sans passer par Ipcop.

En tout cas c'est comme cela que ça fonctionne pour le moment chez moi.

par **ccnet** » 20 Fév 2008 14:52

Donc cela fonctionne maintenant correctement. Pensez à mettre un flag [RESOLU] dans le titre de votre fil.
Sinon

Code: Tout sélectionner: Pare-feu -> Accès externes Port destination : 443

Ce n'est nécessaire, voire dangereux.

http://www.ipcop.org/1.4.0/en/admin/htm ... nal-access

par **Ouled** » 20 Fév 2008 15:25

Code:
Pare-feu -> Accès externes
Port destination : 443

Ce n'est nécessaire, voire dangereux.

effectivement, cela fonctionne sans ajouter un accès exterieur.

Merci ccnet pour votre aide.

par **Ouled** » 20 Fév 2008 15:30

petit pb pour signalé que c'est resolé.
je met : acces externe port 4435[RESOLU] en titre du sujet. jespere que ça va marcher cette fois ci.

[/code]

par **m2nis** » 26 Fév 2008 08:36

Ouled a écrit:acces externe port 4435[RESOLU]

Pour que cela fonctionne, il vous faut éditer le tout premier message de ce fil et changer le titre. Par ailleurs, l'habitude est le plus souvent de mettre [Résolu] en tête de titre.

par **Ouled** » 12 Mars 2008 10:33

Ouled a écrit:
acces externe port 4435[RESOLU]

Pour que cela fonctionne, il vous faut éditer le tout premier message de ce fil et changer le titre. Par ailleurs, l'habitude est le plus souvent de mettre [Résolu] en tête de titre.

acces externe port 443

[resolu]Acces esterieur serveur [Resolu]

[RESOLU]

acces externe port 4435[RESOLU]

Re: acces externe port 4435[RESOLU]

[RESOLU] acces externe port 443

Qui est en ligne ?