Accès Internet bloqué

par **Bouclettes** » 18 Mai 2010 10:35

Bonjour,

J'ai avant tout regardé dans votre forum mais rien ne concernait mon problème.
J'ai donc installé IPCOP en GREEN + RED.
J'ai installé BOT, j'ai suivi la doc de Nicolas LEJEUNE .
J'ai bien l'accés à Internet mais la page est bloqué : "Access Denied".

Schéma :

-----------
| SFRBox | DNS 192.168.1.1
-----------
| RED 192.168.1.229
-----------
| IPCOP | GREEN 192.168.8.253 (passerelle 192.168.1.1)
-----------
|
-----------
| Switch |
-----------
|
-----------
| PC | FIXE 192.168.8.200 (passerelle 192.168.8.253)
-----------

Merci.

par **ccnet** » 18 Mai 2010 11:04

Un proxy est il actif ?

| SFRBox | DNS 192.168.1.1

| IPCOP | GREEN 192.168.8.253 (passerelle 192.168.1.1)

C'est pour le moins curieux d'avoir une passerelle qui ne se trouve pas sur le même lan et qui est par ailleurs l'ip du dns du FAI. Il nous manque quelques éclaircissements.

par **jdh** » 18 Mai 2010 11:22

Je décrirais le schéma suivant :

Internet <-> Neufbox <-> (Red) Ipcop (Green) <-> switch <-> PC internes

réseau Red : 192.168.1.x/255.255.255.0
- Neufbox : 192.168.1.1 : passerelle, service dns
- Red d'Ipcop : 192.168.1.229 (adresse "static")

réseau Green : 192.168.8.x/255.255.255.0
- Green d'Ipcop : 192.168.8.253 : passerelle, service dns, service dhcp (.8.20 à 8.39)
- PC de test : 192.168.8.200

Les 2 premiers test à réaliser sont :
- vérifier que l'ipcop est correctement configuré : ping passerelle (=neufbox), ping + loin, résolution dns
- vérifier que le pc de test est "en capacité de" : adr ip, masque, passerelle, dns, ping passerelle (=green), ping + loin, résolution dns

Puis, au niveau d'ipcop,
- Squid est-il activé ? est-il en mode transparent ? ...
- BOT est il correctement configuré ? quelles règles sont définies ? ...

par **Bouclettes** » 18 Mai 2010 11:37

Un proxy est il actif ?

Oui je l'ai activé sur l'interface web d'IPCOP et il est transparent.

Code: Tout sélectionner: C'est pour le moins curieux d'avoir une passerelle qui ne se trouve pas sur le même lan et qui est par ailleurs l'ip du dns du FAI. Il nous manque quelques éclaircissements

Réponse :

-----------
| SFRBox | DNS 192.168.1.1
-----------
| RED 192.168.1.229

- vérifier que l'ipcop est correctement configuré : ping passerelle (=neufbox), ping + loin, résolution dns

Tout marche correctement.

- vérifier que le pc de test est "en capacité de" : adr ip, masque, passerelle, dns, ping passerelle (=green), ping + loin, résolution dns

Depuis mon PC, je ping seulement mon PC. Sinn "Délai d'attente de la demande dépassé"!

BOT est il correctement configuré ? quelles règles sont définies ? ...

Oui BOT est configuré, il contient deux règles : règles d'accès à IPCOP (SSH, PROXY, HTTPS) et règles de navigation web (http, ftp, pop3, dns, smtp, ftp data).

par **ccnet** » 18 Mai 2010 11:40

Faites maintenant des test comme indiqué par jdh en désactivant BOT.

par **jdh** » 18 Mai 2010 11:54

Depuis mon PC, je ping seulement mon PC. Sinn "Délai d'attente de la demande dépassé"!

Il est notable de réaliser les tests, à partir du PC de test, dans l'ordre suivant :

- ping 192.168.8.253 (=green d'ipcop)
- ping 77.238.178.122 (=www.yahoo.fr)
- nslookup www.yahoo.fr
- ping www.yahoo.fr

Dans BOT, j'ajouterais, forcément, au moins 2 règles supplémentaires :
- ping (de Green et au delà)
- dns : ipcop fourni dns our le réseau green : il vaut mieux avoir une règle qui autorise cela

Je ne sais pas s'il est nécessaire d'autoriser le port 800 (port d'écoute de Squid) et/ou s'il y a besoin d'une règle BOT pour le "proxy transparent" ...

par **Bouclettes** » 18 Mai 2010 11:55

En faisant ces manip, je ping bien tout depuis mon PC.

Ms l'accès aux pages web restent interdites "Access Denied".

L'image que j'avais installé pour afficher l'interdiction, est maintenant visible alors qu'elle ne l'était pas auparavant.

par **Bouclettes** » 18 Mai 2010 11:59

Dans BOT, j'ajouterais, forcément, au moins 2 règles supplémentaires :
- ping (de Green et au delà)

Comment dois-je inscrire ces règles? Dans BOT, je ne peux qu'inscrire la source GREEN ou RED et en destination seulement IPCOP, RED OU GREEN!

- dns : ipcop fourni dns pour le réseau green : il vaut mieux avoir une règle qui autorise cela

Je ne pense pas que ce soit mon souci, mais si c'est le cas, comme l'autoriser, j'ai déjà autoriser le port 53!

par **ccnet** » 18 Mai 2010 12:23

"Access Denied" sur le navigateur ? C'est un problème avec le proxy probablement.

Là aussi un test sans proxy pour valider le fonctionnement général ne serait pas un mal. Ensuite vous vous attaquez au proxy.

par **Bouclettes** » 18 Mai 2010 12:37

En effet en désactivant les deux cases : "Activé sur Green" et "Mode transparent Green" l'accès est autorisé mais les ping depuis mon PC ne marche plus (j'ai réactivé BOT).
J'ai redésactivé BOT, les ping depuis mon PC marchent.

Donc BOT bloque les ping mais n'a rien avoir avec mes "Access Denied"
ET le PROXY interdit tous page web.

Est-il donc nécessaire d'activer le proxy?
Est-il important de pingué depuis mon PC?

par **ccnet** » 18 Mai 2010 12:54

Donc BOT bloque les ping mais n'a rien avoir avec mes "Access Denied"

C'est certain en effet. Ping c'est le protocole icmp, http c'est sur TCP.

Est-il donc nécessaire d'activer le proxy?

Le plus souvent oui, mais pas sur le firewall. Ensuite selon le contexte les réponses varient.

Est-il important de pingué depuis mon PC?

Non, mais c'est encore une question de contexte. Et ce n'est pas pour autant qu'il soit souhaitable de bloquer tous les types icmp.

par **jdh** » 18 Mai 2010 13:32

Si j'ai écrit que j'ajouterais une règle ping sur BOT, c'est parce que c'est utile.

Certains veulent bloquer le ping sur le firewall en entrée sous prétexte de sécurité. Mais est que l'on peut faire un ping sur www.google.fr ou www.yahoo.fr ?

En fait, il faut comprendre que ping s'appuie sur le protocole icmp, que le protocole icmp est nécessaire pour des services même sous tcp. Donc il ne faut pas supprimer icmp (en totalité).

Moi, j'autorise le LAN à faire du icmp/8 = echo (request) de façon systématique. Bien sur, il est possible de construire un vpn grâce à icmp/8, mais le débit obtenu est très faible.

BOT est le seul outil d'Ipcop qui permette d'écrire, sous interface web, des règles d'autorisation/refus pour les flux réseaux. Il est clair qu'il faut bien connaitre les protocoles pour mettre au point ces règles, mais on peut y aller à tâtons avec l'aide de tcpdump ...

DNS c'est udp/53 et tcp/53 : il faut accéder à Green d'Ipcop pour résoudre dns.

par **Bouclettes** » 18 Mai 2010 14:14

Si j'ai écrit que j'ajouterais une règle ping sur BOT, c'est parce que c'est utile.

Pour le ping, je ne t'ai pas contredis, c'était pour le dns!

Moi, j'autorise le LAN à faire du icmp/8 = echo (request) de façon systématique.

J'ai donc ajouté le protocole ICMP/8, je ping tout depuis mon PC maintenanant sauf IPCOP (sauf GREEN).

Mais est que l'on peut faire un ping sur www.google.fr ou www.yahoo.fr ?

Oui je ping sur les sites.

par **Bouclettes** » 18 Mai 2010 14:20

C'est bon j'ai rajouté le icmp/8 dans les deux règles, ça marche. MERCI BEAUCOUP BEAUCOUP =)

Cependant j'aimerais bien utilisé le proxy, alors pourquoi il bloque tout?
Que faut-il configurer en plus que de cocher les deux cases sur la page du proxy?

par **Bouclettes** » 18 Mai 2010 14:55

Etant donné que je veux utilisé URLFilter, je suis obligé d'activer le proxy!!!

Pourquoi, pourquoi il bloque tout alr?
Comment résoudre ce problème? HELP HELP ^^

Accès Internet bloqué

Accès Internet bloqué

Qui est en ligne ?