acces externe port 443

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

acces externe port 443

Messagepar Ouled » 07 Fév 2008 11:49

bonjour,

je dispose d'aun routeur Netgear dg834g v2 et d'un poste avec ipcop. ipcop etant avec deux carte reseaux Red et Green.
je dispose de deux poste informatique deriere le serveur mandataire.


Internet-------------R-Serveur Mandataire IPCOP- G-----------Commutateur-----2 postes info.
l'adresse ip de la carte red etant de la classe A et celle Green en classe B.

je souhaite acceder a un dossier sur un des deux postes à partir de l'exterieur. l'acces doit se faire en https et pour cela j'ai créé un certificat avec le service de certification de Windows 2003.

le test en local est positif : avec Internet explorer j'accede a mon dossier https://serveur/nomutilisateur.
de l'exterieur, c'est mission impossible.

[b]
Configuration IPCOP:[/b]

[i]--Onglet Parfeu :[/i]

Transfert de port : Alias Ip = DEFAULT IP, adresse ip destination = adresse ip Green , Port source : 443 , Port destination : 443 et adresse ip cource : vide.

[i]-- Accès externe:[/i]

adresse ip source : vide, port destination : 443 et adresse ip de destination : DEFAULT IP

les deux regles sont actives.


Mon routeur netgear, accepte les appels entrants (https) et les redirige vers l'adresse IP de la carte Red.


Avez-vous une idée ou une piste pour régler mon probleme et acceder à mes dossiers via mon routeur et mon ipcop v 1.4.18 svp ?


Merci d'avance.
Ouled
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 07 Fév 2008 11:24

Messagepar ccnet » 07 Fév 2008 12:02

je dispose de deux poste informatique deriere le serveur mandataire.

Que nous soyons certains : proxy ou pas proxy ? Quand vous écrivez "serveur mandataire", êtes vous sûr de ce que vous écrivez ?

Mon routeur netgear, accepte les appels entrants (https) et les redirige vers l'adresse IP de la carte Red.

C'est en effet nécessaire, comment avez vous pu le vérifier ?
L'accès externe est inutile.

Depuis l'extérieur, comment essayez vous d'accès à la machine interne ? le mot serveur est un nom ou une adresse ip ?
En dehors du netgear comment êtes vous raccordé à Internet, quelle box ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Ouled » 07 Fév 2008 12:16

Bonjour

Que nous soyons certains : proxy ou pas proxy ? Quand vous écrivez "serveur mandataire", êtes vous sûr de ce que vous écrivez ?


Oui c'est un Proxy (serveur mandataire en francais sauf erreur de ma part)


Citation:
Mon routeur netgear, accepte les appels entrants (https) et les redirige vers l'adresse IP de la carte Red.
C'est en effet nécessaire, comment avez vous pu le vérifier ?
j'ai juste ajouter la regle suivante au parfeu:

Services entrants:
# Activer Nom du service Action Adresse IP serveur LAN Utilisateurs WAN Journal
1 HTTPS ALLOW always 10.0.0.101 Any Always
Par défaut Oui Indifférent Toujours BLOQUER Indifférent Indifférent Jamais


L'accès externe est inutile.

Depuis l'extérieur, comment essayez vous d'accès à la machine interne ? le mot serveur est un nom ou une adresse ip ?
j'ai une adresse ip fixe.

En dehors du netgear comment êtes vous raccordé à Internet, quelle box ?
Aucune je n'ai que le modem routeur de chez NetGear.


ma config est-elle bonne ?

Merci
Ouled
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 07 Fév 2008 11:24

Messagepar ccnet » 07 Fév 2008 12:46

Le proxy : sur ipcop ?

Plusieurs propositions pour éclaicir la situation et essayer de comprendre et, si possible, de faire fonctionner ce que vous souhaitez. Commençons par une configuration réseau saine et simple.

1. Est il possible de mettre le netgear en pont ? je pense qu'il est en mode routeur actuellement et qu'il nat une première fois. L'idéal serait que vous ayez l'ip fixe sur l'interface RED d'ipcop. Ce serait aussi plus facile à mettre au point dans un premier temps, ensuite vous ferez ce vous voudrez. Qui est votre FAI ?

2. Et puisque vous utilisez ipcop, désactivez tout filtrage sur le netgear.

3. A priori votre transfert de port est correct, mais supprimez l'accès externe.

Pas d'addon sur Ipcop ?

Nous sommes bien d'accord que le test positif en interne, c'est bien depuis la machine B vers la machine A qui répond aux requètes https ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Ouled » 07 Fév 2008 13:02

Le proxy : sur ipcop ?
Peut etre que je me trompe, dans mos esprit mon pc avec ipcop forme un proxy. mais bon !

Commençons par une configuration réseau saine et simple.

1. Est il possible de mettre le netgear en pont ? je pense qu'il est en mode routeur actuellement et qu'il nat une première fois.
Franchement je ne sais pas, je vais consulter la doc, en general tant que cela fonctionne correctement je ne bidouille pas.

L'idéal serait que vous ayez l'ip fixe sur l'interface RED d'ipcop. Ce serait aussi plus facile à mettre au point dans un premier temps, ensuite vous ferez ce vous voudrez.
je vais tenter cette solution.

Qui est votre FAI ?
Wanadoo


2. Et puisque vous utilisez ipcop, désactivez tout filtrage sur le netgear.
Aucun filtrage sur le routeur


3. A priori votre transfert de port est correct, mais supprimez l'accès externe.
Ok


Pas d'addon sur Ipcop ?
Advproxy v2.1.5 et Urlfilter V1.9.1


Nous sommes bien d'accord que le test positif en interne, c'est bien depuis la machine B vers la machine A qui répond aux requètes https ?
c'est exact.
Ouled
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 07 Fév 2008 11:24

Messagepar ccnet » 07 Fév 2008 13:12

Merci de quoter correctement pour rendre la lecture plus aisée.

Le proxy : sur ipcop ?
Peut etre que je me trompe, dans mos esprit mon pc avec ipcop forme un proxy. mais bon !

Vous vous trompez. Ipcop est un firewall avant tout. On peut activer un service proxy sur ipcop. Ce n'est qu'optionnel. L'avez vous fait ?

Dans les logs ipcop avez vous des traces de rejet des connexions https ? Si c'est ipcop qui bloque elles devraient être visibles.

En attendant de mettre le Netgear en pont (si possible), pouvez vous faire un test en ayant supprimer l'autorisation d'accès externe ? et regarder ensuite les logs ipcop. Le netgear fourni des logs ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Ouled » 07 Fév 2008 16:11

[quote]Merci de quoter correctement pour rendre la lecture plus aisée.[/quote]
je vais essayer

Citation:
Le proxy : sur ipcop ?
Peut etre que je me trompe, dans mos esprit mon pc avec ipcop forme un proxy. mais bon !

Citation:
Vous vous trompez. Ipcop est un firewall avant tout. On peut activer un service proxy sur ipcop. Ce n'est qu'optionnel. L'avez vous fait ?
Ok, je prend note, effectivement l'option est activée

Citation:
Dans les logs ipcop avez vous des traces de rejet des connexions https ? Si c'est ipcop qui bloque elles devraient être visibles.

Aucune trace, la seule rtace de mon ip est :
SRC=172.16.111.117 DST=172.16.255.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=29284 PROTO=UDP SPT=138 DPT=138 LEN=209

En attendant de mettre le Netgear en pont (si possible), pouvez vous faire un test en ayant supprimer l'autorisation d'accès externe ? et regarder ensuite les logs ipcop.
toujours pas de trace

Citation:
Le netgear fourni des logs ?

Oui mais rien d'interessant
Thu, 2008-02-07 12:45:49 - TCP Packet - Source:10.0.0.101,48182 Destination:193.48.203.242,443 - [HTTPS rule match]
Thu, 2008-02-07 12:45:49 - TCP Packet - Source:10.0.0.101,48180 Destination:193.48.203.242,443 - [HTTPS rule match]
Thu, 2008-02-07 12:45:49 - TCP Packet - Source:10.0.0.101,48182 Destination:193.48.203.242,443 - [HTTPS rule match]
Thu, 2008-02-07 12:45:50 - TCP Packet - Source:10.0.0.101,48144 Destination:72.14.217.97,443 - [HTTPS rule match]
Thu, 2008-02-07 12:46:05 - TCP Packet - Source:10.0.0.101,48182 Destination:193.48.203.242,443 - [HTTPS rule match]
Thu, 2008-02-07 12:46:06 - TCP Packet - Source:10.0.0.101,48016 Destination:193.48.203.242,443 - [HTTPS rule match]
Thu, 2008-02-07 12:46:18 - TCP Packet - Source:10.0.0.101,48278 Destination:216.143.70.27,443 - [HTTPS rule match]
Thu, 2008-02-07 12:46:20 - TCP Packet - Source:10.0.0.101,48288 Destination:193.48.203.242,443 - [HTTPS rule match]
Thu, 2008-02-07 12:46:21 - TCP Packet - Source:10.0.0.101,48292 Destination:216.143.70.27,443 - [HTTPS rule match]
Thu, 2008-02-07 12:46:21 - TCP Packet - Source:10.0.0.101,48288 Destination:193.48.203.242,443 - [HTTPS rule match]
Thu, 2008-02-07 12:46:21 - TCP Packet - Source:10.0.0.101,48292 Destination:216.143.70.27,443 - [HTTPS rule match][quote][/quote]
Ouled
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 07 Fév 2008 11:24

Messagepar ccnet » 07 Fév 2008 16:42

Aucune trace, la seule rtace de mon ip est :
SRC=172.16.111.117 DST=172.16.255.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=29284 PROTO=UDP SPT=138 DPT=138 LEN=209

C'est de l'udp et c'est un brodcast. Du babillage windows probablement. Je ne vois pas le rapport avec vos connection https depuis l'extérieur.

Code: Tout sélectionner
Oui mais rien d'interessant
Thu, 2008-02-07 12:45:49 - TCP Packet - Source:10.0.0.101,48182 Destination:193.48.203.242,443 - [HTTPS rule match]
Thu, 2008-02-07 12:45:49 - TCP Packet - Source:10.0.0.101,48180 Destination:193.48.203.242,443 - [HTTPS rule match]
Thu, 2008-02-07 12:45:49 - TCP Packet - Source:10.0.0.101,48182 Destination:193.48.203.242,443 - [HTTPS rule match]

En effet ce sont des connexions sortantes vers google, macafee et inp-toulouse,là encore rien a voir avec votre problème. Expliquez nous comment vous faites vos tests. Il y a quelque chose de critique que vous ne dites pas , ou que vous ne voyez pas. Si vous avez bien votre routeur, sans aucun filtrage, qui redirige le traffic vers RED Ipcop, puis juste un transfert de port de RED vers ip GREEN pour le port 443, cela devrait fonctionner.
Sur la machine Windows qui fait office de serveur http, pas de firewall win XP ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Ouled » 07 Fév 2008 16:54

[Quote] En effet ce sont des connexions sortantes vers google, macafee et inp-toulouse,là encore rien a voir avec votre problème. Expliquez nous comment vous faites vos tests. Il y a quelque chose de critique que vous ne dites pas , ou que vous ne voyez pas. Si vous avez bien votre routeur, sans aucun filtrage, qui redirige le traffic vers RED Ipcop, puis juste un transfert de port de RED vers ip GREEN pour le port 443, cela devrait fonctionner.
Sur la machine Windows qui fait office de serveur http, pas de firewall win XP ?[/quote]


j'ouvre mon Internet explorer 6 sp1 sous windows 2000 pro sp4. Ensuite ->Fichier ouvrir, url=https://adresseipfixe/dupond et je coche "ouvrir en tant que dossier web".
je suis sur un des deux postes de mon mini reseau deriere le proxy et je cherche a acceder a un repertoire situé sur le second pc (serveur 2003), loopback ?

ps: mes logs que j'ai verifié se trouve a cette adresse /var/log/messages


est ce bien ça ?


Desolé pour les scitations je n y arrive pas
cordialement
Ouled
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 07 Fév 2008 11:24

Messagepar ccnet » 07 Fév 2008 19:04

Desolé pour les scitations je n y arrive pas


Sélectionnez votre texte à quoter puis cliquer sur le bouton "Quote", ca se fait seul.

Donc si je comprend bien vous testez de l'intérieur (depuis le lan) avec votre adresse ip publique ?
Si oui, ce test ne peut pas fonctionner. Il faut que vous fassiez un "vrai" test avec une autre connexion internet pour que cela soit probant.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Ouled » 07 Fév 2008 23:35

Sélectionnez votre texte à quoter puis cliquer sur le bouton "Quote", ca se fait seul.

bien sur, fallait activer le BBcode :-)


Donc si je comprend bien vous testez de l'intérieur (depuis le lan) avec votre adresse ip publique ?

c'est le cas

Si oui, ce test ne peut pas fonctionner. Il faut que vous fassiez un "vrai" test avec une autre connexion internet pour que cela soit probant.

ce soir, je teste de chez un ami, sans resultat. n y a t-il pas un rapport avec les propriétés de de la connexion reseau de mon poste ?

adresse ip : classs b
masque 255.255.0.0
passerelle: adresse ip proxy (classe B)
dns : dns de mon fournisseur

autres choses, y a t-il besoin de faire des regles de routage en plus de l'ouverture du port 443 ?
Voici la possibilité qu'offre le Netgear dg384g :

Routes statiques:
Nom de la route
Privée ou
Active
Adresse IP de destination ...
Masque sous-réseau IP ...
Adresse IP passerelle ...
Métrique


Merci pour vos efforts.
Ouled
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 07 Fév 2008 11:24

Messagepar Ouled » 07 Fév 2008 23:38

Voici un url pour plus de details sur la configuration de mon routeur :

http://interface.netgear-forum.com/DG834G/start.htm

Cordialement
Ouled
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 07 Fév 2008 11:24

Messagepar ccnet » 08 Fév 2008 18:01

En utilisant l'utilitaire de configuration du netgear, dans Filtrage de contenu -> règles de pare-feu -> Services entrants : qu'elles sont les règles activées dans cette rubrique ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Ouled » 09 Fév 2008 21:47

Bonsoir,

En utilisant l'utilitaire de configuration du netgear, dans Filtrage de contenu -> règles de pare-feu -> Services entrants : qu'elles sont les règles activées dans cette rubrique ?

je n'ai qu'une seule régle :

Service : HTTPS(443)
Action : Toujours Autoriser
Envoyé au serveur lan : 10.0.0.1 (adresse ip de macrte rouge ipcop)
utilisateurs wan : tous
journal : tous .


j'ai remarqué dans Avancé -> Configuration ip Lan ceci "Direction RIP" , y a til un lien ?

Cordialement
Ouled
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 07 Fév 2008 11:24

Messagepar ccnet » 11 Fév 2008 15:14

Afin de simplifier les choses, pouvez vous dans la config du routeur : parametres avancés -> configuration Wan cocher l'option "Serveur DMZ par défaut" et indiquer comme destination la pate RED d'ipcop.

Désactiver toutes les règles existante sur le Netgear. Refaite des tests depuis l'extérieur. Un transfert de port dans ipcop doit suffire pour le port 443. En principe il est déjà en place.

Notez bien qu'à ce moment c'est IPCOP et lui seul qui assure votre sécurité. Cà tombe bien : il est fait pour cela.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité