[RESOLU] pb configuration MNF2

par **Malmon** » 19 Sep 2005 17:11

Bonjour,

Mon entreprise vient d'acheter la MNF2 ( pas choisi :-(

).
J'ai de gros souci avec.
l'install se déroule bien ( bien que je ne peux choisir la langue anglais par défaut)

Normalment la config de base permet au lan de seconnecter au web, mais chez moi ça ne passe pas du tout.

voici ma config:

eth0 dmz 192.168.1.1 255.255.255.0
eth1 lan 192.0.1.53 255.255.255.0
eth2 wan 192.168.0.2 255.255.255.0
---
default policies

1 lan all REJECT info
2 dmz all REJECT info
3 fw all REJECT info
4 wan all DROP info
5 all all REJECT info
---
rules

1 ACCEPT fw wan tcp+udp 53 dns_queries enabled
2 ACCEPT dmz wan udp 53 dns_queries enabled
3 ACCEPT lan wan udp 53 dns_queries enabled
4 REJECT wan fw tcp 113 ident_port enabled
5 ACCEPT lan fw tcp 22 ssh_port enabled
6 ACCEPT lan fw tcp 8443 mnf_web_admin_port enabled
7 ACCEPT fw wan icmp 8 ping enabled
8 ACCEPT fw lan icmp 8 ping enabled
9 ACCEPT lan fw icmp 8 ping enabled
10 ACCEPT lan dmz icmp 8 ping enabled
11 ACCEPT dmz lan icmp 8 ping enabled
12 ACCEPT dmz fw icmp 8 ping enabled
13 ACCEPT fw dmz icmp 8 ping enabled
14 ACCEPT lan wan tcp pop3 receive_mail enabled
15 ACCEPT lan wan tcp smtp send_mail enabled
16 ACCEPT lan wan tcp http web_surfing enabled
17 ACCEPT lan wan tcp https secure_web_surfing enabled
18 ACCEPT lan wan tcp ssh ssh enabled
19 ACCEPT lan wan tcp ftp ftp enabled
20 ACCEPT lan wan tcp nntp news enabled
21 ACCEPT fw wan udp ntp time_synchronisation enabled
22 ACCEPT lan wan tcp imap internet_mail enabled
23 ACCEPT fw wan tcp http enabled
24 ACCEPT fw wan tcp https enabled
25 ACCEPT fw wan tcp ftp enabled

Ce sont les param par défaut.

Je ne comprends pas pourquoi depuis mon lan j'ai pas acces au http.

Merci de vos réponses

par **Gandalf** » 19 Sep 2005 17:14

Salut, qu'y a t'il au bout de la carte wan en 192.168.0.2 ?

par **Malmon** » 19 Sep 2005 17:21

Au bout de mon interface wan (192.168.0.2) y'a un routeur (192.168.0.1) c un zyxzl prestige.
à partir du fw j' ai acces au net.
j'arrive à me connecter pour faire les maj. ( pas faite pour l'instant)

par **Gandalf** » 19 Sep 2005 22:41

Au niveau de tes clients, il leur faut : en passerelle l'IP de la carte lan du MNF, en DNS des DNS qui vont bien ( ceux de ton FAI ou ceux d'Oléane qui sont très bons 194.2.0.20 +50 ), n'actives pas le cache DNS pour l'instant, et fais un test avec une station en IP fixe avant d'activer le DHCP !

Normalement les règles par défaut permettent de surfer sur le net, mais si ça ne focntionne pas ouvres une session ssh avec putty et suis tes logs avec un tail -f /var/log/messages ! Tu y verras en temps réel les paquets rejetés par le MNF et donc la cause possible du problème !

@ +

par **casse gueule** » 20 Sep 2005 08:48

Bonjour

Petite question qui me viens à l'esprit as tu fais "masquage classique"

Dans la mnf2
Menu Firewall puis option "Masq NAT"

par **Malmon** » 20 Sep 2005 09:32

Qu'est-ce que tu appelles un "masquage classique" ??

Voicii ce que j'ai dans la section Classical Masquerading

Interface Subnet SNAT
1 eth1:0.0.0.0/0 192.0.1.0

Je viens de fiare un tail -f /var/log/messages
je ne vois aucun paquet bloquer ?
Je ne comprend pas

par **Gandalf** » 20 Sep 2005 11:29

Ca ne devrait pas plutôt être eth1 par eth2 ?

par **Malmon** » 20 Sep 2005 11:39

Exact,
Mais meme en remplaçant eth1 par eth2 ça ne marche pas non plus.
Je commence à désespérer.
Il doit manquer un $%#&!.
A partir de la mnf un lynx http://www.google.fr marche
mais à partir du lan kedal

par **jdh** » 20 Sep 2005 11:46

On peut supposer que le générateur de script iptables intégré dans la MNF soit shorewall. D'où l'intéret de regarder http://www.shorewall.net.

La masquerade me semble en effet mal configurée : il devrait plutôt y avoir "eth1 eth2" qui signifierait les PC venant d'eth2(=lan) sont "masqueradé" en passant par l'interface eth1(=wan).

Ensuite, il est possible de faire des tests : sur une ou plusieurs sessions on peut faire un simple "tcpdump -ln -i ethX". Avec dump comme cela, il est facile de voir ce qu'il se passe.

par **Malmon** » 20 Sep 2005 12:06

ça marche nickel merci les gars.

Voici ce que j'ai modifé

Classical Masquerading:

Interface Subnet SNAT
1 eth2 eth1

au lieu de mettre le reseau 192.0.1.0 j'ai remplacer par eth1 (reseu lan)

$\:D/$

a big thx, j'aurais plus mon chef sur le dos

par **jdh** » 20 Sep 2005 12:15

Il faut tirer 2 enseignements de cet exemple :

- le choix d'un système venant de l'open-source (ici MNF) est parfois pris par les entreprises (en connaissance de cause).
- le support (de qualité

) sur ces produits peut se trouver facilement et rapidement.

Comme quoi le chef a raison !!

Le "gros souci" était un peu exagéré !

par **Malmon** » 20 Sep 2005 12:22

Mon chef a choisi la MNF car, on a deja un firewall en open-source ( redhat / iptables+squid) .
Et il a choisi la MNF grace au fonction VPN qu'il a lu ds la pub.

C 'est vrai que pour le support c'est agréable d'avoir des forums ( de qualité) en nombre croissant.

pour info la fonction tcpdump n'est pas ds la MNF2

par **Gandalf** » 20 Sep 2005 13:11

Je me suis permis d'inscrire RESOLU dans le titre de ton post ! Alors bienvenu parmi les utilisateurs du MNF, tu verras que c'est un firewall très puissant et très agréable à administrer !

@ jdh, c'est bien shorewall qui est intégré dasn le MNF pour générer les scripts iptables !

par **casse gueule** » 20 Sep 2005 13:26

Malmon a écrit:Mon chef a choisi la MNF car, on a deja un firewall en open-source ( redhat / iptables+squid) .
Et il a choisi la MNF grace au fonction VPN qu'il a lu ds la pub.

C 'est vrai que pour le support c'est agréable d'avoir des forums ( de qualité) en nombre croissant.

pour info la fonction tcpdump n'est pas ds la MNF2

Bonjour

J'ai plusieurs questions si tu veux bien

1- pourquoi avoir un routeur derrière la mnf car si j ai bien lu c'est ton routeur qui à ton adresse "public"
Donc si je dis pas de bêtises tu as une double "translation d'adresse" (NAT) par rapport à certain logiciel cela va être une galère.

2- A ta place dans dans la mnf "default policies" remplace REJECT par DROP

3- Tu dis "Mon entreprise vient d'acheter la MNF2,l'install se déroule bien ( bien que je ne peux choisir la langue anglais par défaut)" , donc ta version est enregistré chez mandriva.
Peux tu si tu en as la possibilité te renseigné auprès du support pour ce problème de langage.

Merci à toi

par **jdh** » 20 Sep 2005 13:54

Quelques améliorations de filtrage qui peuvent être ajoutées :

- en effet, le DROP est préférable au REJECT mais surtout sur la ligne "fw all DROP",
- le paramêtre "info" des ligne de policy risque de générer pas mal de log,

- le port 113 (ident) me semble en trop (mais il est sans doute utilisé par MNF)
- le port smtp (lan -> wan) DEVRAIENT être limité en destination aux serveurs smtp du fournisseur
- mieux encore ce traffic devrait passer par un relais interne auquel on adjoindrait un antivirus et un antispam

- le ping est bien traité avec le seul paquet de type 8 !

Sinon, je sais bien que Shorewall est le firewall des Mandrake-Mandriva depuis déjà quelques années. C'est aussi mon choix depuis pas mal de temps. Et je suis un peu triste que ce ne soit pas le choix d'IPCOP. Rien que sur les questions, qui reviennent sans cesse, des doubles interfaces Green ou des schémas Green+Blue. J'aime bien l'expression de MNF : le "multi-zones".

[RESOLU] pb configuration MNF2

[RESOLU] pb configuration MNF2

Qui est en ligne ?