Bonjour,
Je cherche à accéder au Partage de mon réseau Bleu (qui est en faite, le réseau filaire de l'Atelier, IP en 192.168.x.0), depuis mon réseau Vert (192.168.y.0).
J'ai enlever toutes les protections que je connaissais : pare feu sur les postes, désactiver BOT etc.
Depuis mon réseau Vert je peux accèder à un serveur FTP sur mon réseau Bleu... mais impossible d'accéder aux partages ... Bizarre non ?
Si quelqu'un à une idée je suis preneur.
Merci beaucoup de votre aide.
Cordialement,
Camille.
Partage de fichier Windows entre Vert et Bleu
Modérateur: modos Ixus
16 messages
• Page 1 sur 2 • 1, 2
Partage de fichier Windows entre Vert et Bleu
par cams2207 » 23 Juil 2009 17:12
- cams2207
- Matelot
- Messages: 4
- Inscrit le: 23 Juil 2009 16:53
par ccnet » 23 Juil 2009 17:29
Depuis mon réseau Vert je peux accèder à un serveur FTP sur mon réseau Bleu... mais impossible d'accéder aux partages ... Bizarre non ?
Non.
Les protocoles mis en ouvre sont "sensiblement" différents. Les ports utilisés et mécanismes de connexion aussi. Sur le site Microsoft vous trouverez des documents sur la gestions des partages MS au travers de firewall. Au passage se pose le problème du serveur wins, si ma mémoire est bonne, qui est indispensable aux systèmes MS pour retrouver leurs petits.
Dernière édition par ccnet le 23 Juil 2009 17:47, édité 1 fois au total.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par cams2207 » 23 Juil 2009 17:37
merci pour cette réponse.
bon déjà c'est possible
! je commençais à me demander s'il n'y avait pas des restrictions natives entre le vert et le bleu ...
d'aprés mes recherches il faut ouvrir ces ports :
- TCP : 135, 139 et 445
- UDP : 137, 138
Mais je ne vois pas dans où il faut créer ces règles ...
Merci.
Camille.
bon déjà c'est possible
! je commençais à me demander s'il n'y avait pas des restrictions natives entre le vert et le bleu ...
d'aprés mes recherches il faut ouvrir ces ports :
- TCP : 135, 139 et 445
- UDP : 137, 138
Mais je ne vois pas dans où il faut créer ces règles ...
Merci.
Camille.
- cams2207
- Matelot
- Messages: 4
- Inscrit le: 23 Juil 2009 16:53
par computer91 » 23 Juil 2009 20:44
Salut
Ipcop utilise iptables comme firewall, avant l'installation de BOT on ne peux créer des régles d'accès de tel à tel zone quand ligne de commande.
Voila la réponse :
- Install BOT
- Active BOT
- Ton serveur de fichier se trouve dans la zone bleu donc :
- Crée une régles dans bot de la façon suivante :
Tout les pcs qui se trouvent dans la zone vert peuvent accès à la zone bleu que ton serveur avec son IP.
et si ça marche tu à fine avec les ports.
car cette régles de donne acces au serveur depuis les pcs du green
Voila
Ipcop utilise iptables comme firewall, avant l'installation de BOT on ne peux créer des régles d'accès de tel à tel zone quand ligne de commande.
Voila la réponse :
- Install BOT
- Active BOT
- Ton serveur de fichier se trouve dans la zone bleu donc :
- Crée une régles dans bot de la façon suivante :
Tout les pcs qui se trouvent dans la zone vert peuvent accès à la zone bleu que ton serveur avec son IP.
et si ça marche tu à fine avec les ports.
car cette régles de donne acces au serveur depuis les pcs du green
Voila
- computer91
- Premier-Maître
- Messages: 46
- Inscrit le: 27 Avr 2007 09:49
par cams2207 » 24 Juil 2009 09:05
Merci pour vos réponses.
Il y a quelques choses que je ne comprends pas : BOT est désactivé, je devrais donc, en théorie, avoir accès sans problème à mon serveur de fichier ?
J'essaye d'accéder à mon serveur de fichier par son adresse IP.
Merci de votre aide.
Camille.
EDIT : ca progresse, j'arrive à avoir l'authentification, mais parcontre c'est assez long (plusieurs minutes), est ce normal ? Merci
Il y a quelques choses que je ne comprends pas : BOT est désactivé, je devrais donc, en théorie, avoir accès sans problème à mon serveur de fichier ?
J'essaye d'accéder à mon serveur de fichier par son adresse IP.
Merci de votre aide.
Camille.
EDIT : ca progresse, j'arrive à avoir l'authentification, mais parcontre c'est assez long (plusieurs minutes), est ce normal ? Merci
- cams2207
- Matelot
- Messages: 4
- Inscrit le: 23 Juil 2009 16:53
par jdh » 24 Juil 2009 09:17
(Je peux dire des bêtises : je suis loin d'être spécialiste d'IPCOP).
Les règles de base d'IPCOP entre zones sont rappelées dans le newbie-kit ... (faudrait quand même lire ce guide pour débutant ...). Il est probable que Green vers Blue soit fermé ...
Par ailleurs, BOT est quasi obligatoire car c'est justement le vrai moyen de savoir les flux autorisés (et non les flux de base avec ces policy laxistes à mon gout).
Donc c'est un mauvais réflexe de supprimer BOT (d'ailleurs cela ne fonctionne pas ce qui le montre bien).
Les règles de base d'IPCOP entre zones sont rappelées dans le newbie-kit ... (faudrait quand même lire ce guide pour débutant ...). Il est probable que Green vers Blue soit fermé ...
Par ailleurs, BOT est quasi obligatoire car c'est justement le vrai moyen de savoir les flux autorisés (et non les flux de base avec ces policy laxistes à mon gout).
Donc c'est un mauvais réflexe de supprimer BOT (d'ailleurs cela ne fonctionne pas ce qui le montre bien).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par calamarz » 24 Juil 2009 10:21
Bonjour,
Sur un site j'ai la même configuration un Bleu en filaire et un vert en filaire Ipcop ne gerant pas encore deux reseaux vert j'avais cette manipulation:
Dans /etc/rc.d/rc.firewall
Chercher les lignes concernant l'interface verte de type
Ligne 165-166:
/sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT -p ! icmp
/sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT
Les dupliquer et changer $GREEN_DEV en $BLUE_DEV
/sbin/iptables -A INPUT -i $BLUE_DEV -m state --state NEW -j ACCEPT -p ! icmp
/sbin/iptables -A FORWARD -i $BLUE_DEV -m state --state NEW -j ACCEPT
Ligne 180:
Désactiver (en mettant # ) les deux lignes bloquant sur DHCPBLUEINPUT
# /sbin/iptables -N DHCPBLUEINPUT
# /sbin/iptables -A INPUT -j DHCPBLUEINPUT
Ligne 186:
Idem (désactiver) les 2 lignes avec IPSECBLUE
# /sbin/iptables -N IPSECBLUE
# /sbin/iptables -A INPUT -j IPSECBLUE
Sur un site j'ai la même configuration un Bleu en filaire et un vert en filaire Ipcop ne gerant pas encore deux reseaux vert j'avais cette manipulation:
Dans /etc/rc.d/rc.firewall
Chercher les lignes concernant l'interface verte de type
Ligne 165-166:
/sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT -p ! icmp
/sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT
Les dupliquer et changer $GREEN_DEV en $BLUE_DEV
/sbin/iptables -A INPUT -i $BLUE_DEV -m state --state NEW -j ACCEPT -p ! icmp
/sbin/iptables -A FORWARD -i $BLUE_DEV -m state --state NEW -j ACCEPT
Ligne 180:
Désactiver (en mettant # ) les deux lignes bloquant sur DHCPBLUEINPUT
# /sbin/iptables -N DHCPBLUEINPUT
# /sbin/iptables -A INPUT -j DHCPBLUEINPUT
Ligne 186:
Idem (désactiver) les 2 lignes avec IPSECBLUE
# /sbin/iptables -N IPSECBLUE
# /sbin/iptables -A INPUT -j IPSECBLUE
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
[ Albert Jacquard ]
-
calamarz - Contre-Amiral
- Messages: 468
- Inscrit le: 10 Déc 2002 01:00
- Localisation: Rennes BZH
par jdh » 24 Juil 2009 11:06
Il est fort probable que ce qu'écrit Calamarz soit juste, mais ...
Une question me vient (qu'il ne faut pas prendre mal) :
Est ce bien maintenable ces modifications manuelles de script ?
ou autrement dit, Ne faut-il pas passer à BOT pour disposer d'une interface (web) aisée d'entretien des bonnes règles de flux ?
Une question me vient (qu'il ne faut pas prendre mal) :
Est ce bien maintenable ces modifications manuelles de script ?
ou autrement dit, Ne faut-il pas passer à BOT pour disposer d'une interface (web) aisée d'entretien des bonnes règles de flux ?
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par calamarz » 24 Juil 2009 11:09
Oui l'utilisation de bot est plus "propre" apres je voulais juste proposer cette solution
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
[ Albert Jacquard ]
-
calamarz - Contre-Amiral
- Messages: 468
- Inscrit le: 10 Déc 2002 01:00
- Localisation: Rennes BZH
par jdh » 24 Juil 2009 11:16
Je corrige : le newbie-kit indique Green -> Blue : Ouvert (donc je ne vois guère où était la difficulté !)
Cela dit, et c'est connu ou devrait l'être, "\\serveur" ne peut guère fonctionner (dans une autre zone) sans dns et/ou wins.
Et ça c'est le protocole SMB alias CIFS utilisé en environnement "Windows" (IPCOP n'y est pour rien et n'est pas solution pour cela).
Il est clair que, un, on remplace par "\\x.x.x.x", deux, on joue sur dns et wins voire hosts/lmhosts.
Cela dit, et c'est connu ou devrait l'être, "\\serveur" ne peut guère fonctionner (dans une autre zone) sans dns et/ou wins.
Et ça c'est le protocole SMB alias CIFS utilisé en environnement "Windows" (IPCOP n'y est pour rien et n'est pas solution pour cela).
Il est clair que, un, on remplace par "\\x.x.x.x", deux, on joue sur dns et wins voire hosts/lmhosts.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par cams2207 » 24 Juil 2009 14:41
merci pour vos réponses.
je suis d'accord avec tous ce que vous avez dit, et pourtant cela ne fonctionne toujours pas ...
apparament ce problème est apparu aprés une mise à jour d'ipcop (1.4.10>1.4.21) ... peut être qu'il y a un bug sur cette version ...
je vais installer la 1.4.10 sur mon serveur de test pour voir si ca ne vient pas de là, on ne sait jamais ... !
je suis d'accord avec tous ce que vous avez dit, et pourtant cela ne fonctionne toujours pas ...
apparament ce problème est apparu aprés une mise à jour d'ipcop (1.4.10>1.4.21) ... peut être qu'il y a un bug sur cette version ...
je vais installer la 1.4.10 sur mon serveur de test pour voir si ca ne vient pas de là, on ne sait jamais ... !
- cams2207
- Matelot
- Messages: 4
- Inscrit le: 23 Juil 2009 16:53
par jdh » 24 Juil 2009 15:17
pourtant cela ne fonctionne toujours pas
Pour résoudre un problème, il faut
- comprendre les enjeux,
- partir d'une situation claire,
- regarder le contexte,
- ajuster une config,
- faire des tests,
- examiner le résultat et les messages d'erreurs s'il y a lieu,
- boucler sur les 3 dernières étapes ...
11 messages et pas de description du contexte (sauf très générale),
pas d'indication de tests (ou approximative),
et, comme seul message, "cela ne fonctionne pas" ...
Il y aurait un bug dans la 1.4.21 ?
Que pourrions nous avoir comme indice ?
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par computer91 » 25 Juil 2009 11:58
Salut
Par défaut comme bot est désactivé tu ne peux accès de green vers red et orange. et Bleu ne peut accèéder qu'a red.
En activant BOT tu crée les bonnes régles et tu peux accèder à une machine qui se trouve d'une zone à l'autre.
Exemple :
Green network vers bleu 192.168.y.1 machine pas de port
Cela veux dire que n'importe quel machine du réseau green peux accès à la machine 192.1683y.1 sur tous les ports qui se trouve sur le réseau bleu
Mais je te conseil te faire une trame sur papier avant d'activer bot et te créer tes régles
Voila
Par défaut comme bot est désactivé tu ne peux accès de green vers red et orange. et Bleu ne peut accèéder qu'a red.
En activant BOT tu crée les bonnes régles et tu peux accèder à une machine qui se trouve d'une zone à l'autre.
Exemple :
Green network vers bleu 192.168.y.1 machine pas de port
Cela veux dire que n'importe quel machine du réseau green peux accès à la machine 192.1683y.1 sur tous les ports qui se trouve sur le réseau bleu
Mais je te conseil te faire une trame sur papier avant d'activer bot et te créer tes régles
Voila
- computer91
- Premier-Maître
- Messages: 46
- Inscrit le: 27 Avr 2007 09:49
par gemoussier » 25 Juil 2009 12:51
Bonjour,
BOT désactivé les règles par défaut sont utilisées et sont sensiblement différentes de celles annoncées dans le message précédent (voir newbie-kit). Le message coloré est assez explicite.
A mon avis avant de se poser la question de la configuration (ou non?) de Block Out Traffic, il faudrait s'intéresser au fonctionnement du "partage de fichiers Windows" inter-réseau... Comme le disait ccnet dans la première réponse à ce sujet.
Une lecture intéressante qui devrait répondre a pas mal de questions : http://www.tech-faq.com/understanding-n ... tion.shtml
BOT désactivé les règles par défaut sont utilisées et sont sensiblement différentes de celles annoncées dans le message précédent (voir newbie-kit). Le message coloré est assez explicite.
A mon avis avant de se poser la question de la configuration (ou non?) de Block Out Traffic, il faudrait s'intéresser au fonctionnement du "partage de fichiers Windows" inter-réseau... Comme le disait ccnet dans la première réponse à ce sujet.
Une lecture intéressante qui devrait répondre a pas mal de questions : http://www.tech-faq.com/understanding-n ... tion.shtml
- gemoussier
- Lieutenant de vaisseau
- Messages: 233
- Inscrit le: 08 Avr 2008 16:42
16 messages
• Page 1 sur 2 • 1, 2
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité