Bonjour,
 
Je demande de l'aide pour la configuration d'une DMZ avec un firewall netasq U70.
 
Cela dans le but d'accéder depuis l'extérieur à un serveur web.
 
J'ai ajouter une règle NAT comme indiqué dans guide du manager :
 
On Bimap None private_web_server1 <Any> <Any> Public_web_server
 
J'arrive ainsi à accéder au serveur web depuis l'extérieur.  
 
Le seul inconvénient est que lorsque cette règle est activée, on n'arrive plus à accéder à l'internet depuis le réseau interne (LAN).
 
Quelqu'un aurai-t-il une idée ?

personne n'a déja mis en place une DMZ avec un U70 ?

Hello
 
J'ai pas un U70 mais la console doit être la même ... Mais ton soucis me semble plus simple :
Lorsque ton LAN sort sur internet, tu le nat avec quelle ip ? pas avec Public_web_server quand même ?

non, mon LAN je le nat avec firewall_out.
 

Je viens de me rendre compte que l'accès internet était opérationnel c'est la résolution de nom qui n'est plus faites par mes postes clients lorsque j'active la règle nat indiquée dans le guide du manager.
 
En effet, lorsque je ping l'ip de www.google.fr (209.85.229.104) cela fonctionne et dans un navigateur aussi.
 
Par contre le ping de www.google.fr ou que j'essaie d'atteindre cet url, cela ne fonctionne pas.

la commande "nslookup" sur www.google.fr renvoi un dns request time out

et ton dns se trouve être ?

mon dns c'est sensé être mon serveur AD dans mon LAN  
192.168.5.1

J'ai un réseau lan en 192.168.5.* passerelle 192.168.5.254 qui est mon firewall_in dans mon manager.
 
et  
 
un réseau DMZ en192.168.2.* passerelle 192.168.2.254 qui est mon firewall_out dans le manager.
 
J'ai une seule machine qui tourne sous XP dans ma DMZ, 192.168.2.1
 
Depuis cette machine j'arrive à pinger mon LAN
 
Mais depuis mon LAN je n'arrive pas à pinger cette machine (c'est normal je crois)
 
J'ai une livebox 192.168.1.1 et mon interface firewall_out en 192.168.1.254 dans mon manger.
 
J'ai aussi une ip publique par laquelle je souhaite accéder en http à ma machine en DMZ.
 
actuellement j'accède en https à mon serveur de mail en OWA via l'ip publique.
 

 
Heuuuuu j'ai mal compris ou alors tu nat ton lan en utilisant l'adresse 192.168.2.254 ... ca devrait même pas fonctionner ton firewall n'a pas une adresse ip publique ?
 

 
Non c'est l'inverse qui serait "normal" ... L'accès LAN vers DMZ est normalement plus ouvert que DMZ vers LAN.
 

 
Je comprends plus rien qui est firewall out ? 192.168.1.254 ou 192.168.2.254 ?
 
Tu as 2 firewall ???? Un netasq et le "Firewall" orange ?
 

 
Si tu n'as qu'une seule ip (CF mon premier message) alors tu ne peux pas faire de NAT bidirectionnel il va te falloir faire du PAT (Au lieu d'utiliser l'adresse pour rediriger ton flux, utiliser les ports web (80 http par exemple)).
 

Ton serveur web sur xp ne pouvant pas être ton serveur mail (tu dis owa donc t'es au moins en 2007 sur Exchange) ... Je fais un schéma (enfin si on peut appeler ca un schema) tu me dis si j'ai bon :
 
[Orange_box]--------------------------[NETASQ_U70]-----------------------[Réseau_LAN]
                                                              |
                                                              |
                                                         [DMZ]
 
Complètons ce schéma  
- combien as-tu d'ip publique ?
- De l'extérieur tu souhaites accéder à quoi ?
                           ° Ou se trouve ces serveurs ?

 
non, désolé,  
 
un réseau DMZ en192.168.2.* passerelle 192.168.2.254 qui est mon firewall_dmz dans le manager.

Oui, ton schéma est bon
 
- Je n'ai qu'une adresse publique
- De l'exterieur je souhaite acceder à ma machine xp dans ma DMZ qui héberge un serveur tomcat pour info.
 

Je souhaite également conserver l'accés OWA

Le firewall_out a pour ip 192.168.1.254 dans le manager et je n'ai pas 2 firewall (enfin pas que je sache)
 

ok alors tu ne peux pas faire de mappage bi directionnelle
 
Convenons que :
Ton adresse ip est dans ton manager sous le nom de firewall_out
Ton serveur web en dmz se nomme apache_DMZ
Ton réseau LAN se nomme LAN_NETWORK
Ton serveur EXCHANGE : SRV_EXCH
 
L'entete énnoncé est celui de MON MANAGER en francais ca peut être dans un ordre différent chez toi
 
Tes regles de NAT doivent resembler à celà :
 
Etat | ACTION                  | OPTION | ORIGINAL         | DESTINATION |PORT DE DESTINATION |TRANSLATE  
ON  | Redirection             | NONE    | ANY                  | firewall_out    | http(80)                      | apache_DMZ
ON  | Redirection             | NONE     |ANY                   | firewall_out    | HTTPS(443)                | SRV_EXCH
ON  | Map                       | NONE    | LAN _NETWORK | ANY               | ANY                            | firewall_out
Regle 1 : Redirection de l'http entrant sur le port 80 vers le serveur apache en DMZ
Regle 2 : Redirection de l'https entrant sur le port 443 vers le serveur EXCHANGE
Regle 3 : Mappage du réseau LAN vers INTERNET
 
Et bien dans cette ordre donc comme tu utilise le ssl pour ton OWA (Attention que toutes tes applications IIS sur ton exchange (ECS, EWC, autodiscovert ...) soient aussi passées en HTTPS, cette règle 1 redirige tout le flux HTTP vers ton apache en DMZ
 
Edit : Et au fait ! Très bon choix de firewall ! Je travail sur des U250 en haute dispo et c'est du bonheur

HEUUUUU ATTENTION ! Dans la regle 2 ne pas mettre map BIDERECTIONNEL ! MAIS MAP¨UNIQUEMENT !!!!!! J'ai totalement zappé ton OWA !
 
je refais le tout !

Merci pour ton aide, mais ça ne fonctionne toujours pas malgrè que j'ai configurer comme indiqué.
 
Avant d'aller plus loin, sache que au départ, j'ai branché mon serveur apache_DMZ sur la patte DMZ du firewall sans rien modifier dans la configuration du firewall
 
J'ai mis une adresse statique 192.168.2.1 (masque  255.255.255.0) et comme passerelle 192.168.2.254
 
De là j'arrivais à pinger mon réseau interne et pas le contraire.  
 
Comment faire pour retrouver un comportement normal comme tu disais plus haut (c'est a dire dmz visible depuis le LAN et non le contraire)
 

oui, j'avais bien ces règles :
 
ON  | Redirection             | NONE     |ANY                   | firewall_out    | HTTPS(443)                | SRV_EXCH  
ON  | Map                       | NONE    | LAN _NETWORK | ANY               | ANY                            | firewall_out  
ON  | Redirection             | NONE    | ANY                  | firewall_out    | http(80)                      | apache_DMZ

Et pourtant ça ne marche pas

salut tout le monde
pour moi c'est la 1 ère fois que j’utilise  un produit netasq, j'ai un u70.
je mis la règle suivant :
 
ON  | Map | NONE | LAN _NETWORK | ANY | ANY | firewall_out
 
le probleme c'est que UNIFIED MANAGER perd la connexion avec le routeur, donc je peux configurer NAT sans perd la cnx.
 
dsl je sais que c'est une question bête mais c'est la 1 ère fois que j’utilise un produit netasq.
 
merci

Bonsoir,
 
Un erreur récurrente avec les règles de NAT est de spécifier la mauvaise interface sur laquelle appliquer la règle. Par défaut le manager ne montre pas tous les paramètres dans l'édition des règles, il faut passer en mode étendu et spécifier la bonne interface. Pour cela, cliquer sur le bouton comportant une double fleche, à droite.
 
Pour fak13, aux niveaux des règles, cela devrait donner
ON; Redirect; OUT; none; any; firewall_out; https; SRV_EXCH; https
ON; Redirect; OUT; none; any; firewall_out; http; SRV_WEB; http
ON; MAP; OUT; none; LAN_NETWORK; ANY; ANY; firewall_out; ephemeral_fw
 
 
Hors besoin spécifique, il n'y a pas besoin de faire de NAT entre le LAN et la DMZ.
Il faut également penser à créer les règles de filtrage associées.

Tu veux dire que même avec ces règles ... tu n'as plus de résolution DNS sur ton LAN ???
 
pour le ping ... Il faut que tu jettes un oeil à ta politique de filtrage ...

 
Merci flash-91, j'ai bien cette configuration et j'avais bien vu cette possibilité de spécifier l'interface.
 
Bref, je pense qu'il vaut mieux que je re-explique mon problème et les quelques bizarreries que j'aimerai bien qu'on m'explique avant d'aller plus loin.
 
J'ai donc un U70 :
- j'ai une patte IN réseau 192.168.5.X/255.255.255.0 avec un serveur de domaine en windows 2008 R2 à l'adresse 192.168.5.1 (AD, DNS, DHCP,...) + un serveur de messagerie
 
- une patte OUT réseau 192.168.1.X (firewall_out en 192.168.1.254/255.255.255.0)
 
- une patte DMZ réseau 192.168.2.X (firewall_dmz en 192.168.2.254/255.255.255.0)  
 
Au départ, j'ai simplement branché mon poste XP en direct sur la patte DMZ du firewall.  
 
J'ai configurer la carte réseau de ce poste pour qu'il soit à l'ip 192.168.2.1/255.255.255.0 et comme passerelle 192.168.2.254  
 
Déjà est-ce que j'ai bon là ?

Pour la configuration réseau oui
 
Maintenant tu as quoi en Routage, NAT,et Filtrage ? Tu serais nous lister out ça ?

 
Ok, alors déjà une chose que je ne comprend pas  
 
- depuis la machine dans la DMZ, ping du réseau interne =>OK
- depuis réseau interne, ping de ma machine dans la DMZ => OK
 
 
Et ce, sans avoir rien modifier comme NAT et filtrage  
 
 - En routage je n'ai rien, juste ma livebox qui est ma passerelle par défaut
 - Dans la NAT j'ai 2 lignes activées :  

 
en filtrage j'ai :

 

personne n'a une idée ?

Quelqu'un pourrai me dire ce que je dois faire comme règle NAT et comme filtre à partir des copies d'écran envoyé qui est l'état actuel de mon firewal ?

IP_PUB_PO c'est la même adresse que firewall_out ????
 
C'est quoi ton modem ? une box orange c'est ça ?

réactive tes règle 7 et 8 de NAT.
 
Dans le filtrage,  tu t'es gourré sur ta regle 26 .... là tu autorises srv-odace à sortir en http  
 
Regle 26 :
on / all / srv-odace / any / any / passer
(là tu autorise ton serveur à sortir ... en complet pas juste sur du http)
 
Regle 30 à créer pour autoriser l'entrer :
on / tcp / ANY / srv-odace / http / passer
(Là tu autorises toutes les source à entrer)
 
par contre je comprends pas pourquoi tu nat en sortie avec firewall_out et tu nat en entré sur un IP_PU_PO

aller vite dis moi si celà marche
 
Dernière chose : Par pitié !!!!!!!!!!! Créer une dernière règle (toujours en bas) :
on / all / any / any / any / REFUSER / MAJEUR
 
Dans ta config tu ne met en alerte que les trucs qui passe ... C'est pas logique il vaut mieux ALERTER ce qui est refoulé ! (pour voir si tu es attaqué par éxemple) et TRACER ce qui passe pour le reporting

 
OUi, IP_PUB_PO et firewall_out c'est la même ip
 
mon modem c'est une livebox orange.

ok ok pas de soucis
 
J'avais peur que tu nat en sortie sur une ip différente de l'entrée Du coup je me demandais comment celà pouvais marcher pour OWA

Je viens de tester et l'accès à srv_odace depuis l'exterieur ne fonctionne pas alors que l'accès à OWA fonctionne lui.
 
Je vais jetter un coup d'oeil dans les logs

Apparement j'ai des alarmes sur le firewall_out qui m'indique avoir bloqué le http_proxy

J'ai modifié la Regle 30 :
on / tcp / ANY / srv-odace / http_proxy / passer

En fait c'est sur le port http_proxy (8080) que je devais faire ma redirection et filtrer les flux et non pas sur le http.
 
C'est ça qui posait problème, je savais pas que c'était aussi subtil, je pensais que le http l'englobait mais non !
 
Bref, maintenant pour bien sécuriser ma DMZ, je dois l'empecher de voir et d'accéder au LAN et permettre le LAN de voir la DMZ c'est bien ça ?

parfaitement
 
le bute étant d'ouvrir les ports de l'extérieur sur la DMZ et d'en ouvrir moins entre la dmz et le lan
 
Bravo en tous cas

 
Et comment on bloque certains port? c'est en faisant des filtres ?
 
En fait j'ai ajouté une ligne filtre :
 
on / all / network_dmz/ network_in/ any / REFUSER / MAJEUR  
 
mais ça ne fontionne pas, j'arrive toujours à pinger mon réseau interne depuis mon srv-odace

le ping fonctionne, mais le reste ?

Ok j'ai compris regardes ta regle 2 de filtrage