Netasq F100-3 et DMZ

Netasq F100-3 et DMZ - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 07-04-2006 à 10:57:15    

Bonjour,
 
Voilà j'ai un gros soucis avec mon firewall ... je fais une redirection du traffic entrant sur l'interface "out" en http sur mon serveur web ... ce serveur se trouve sur la pate DMZ du firewall ... Et de l'extérieur, impossible d'accéder à la page ... J'ai retiré toutes les règles de filtrage et de même ( j'ai également redémarré le firewall ). Si je crée la meme règle sur l'interface in de mon firewall pas de soucis j'accède bien a mon serveur web dans la DMZ depuis le LAN ... Quelqu'un aurait une idée du blocage ? :/  
 
Petit schéma au cas ou :
 
Routeur
    |
    | (192.0.1.0/24)
    |
Firewall -- Serveur Web (en DMZ (192.0.3.0/24))
    |
  LAN
(192.0.2.0/24)

Reply

Marsh Posté le 07-04-2006 à 10:57:15   

Reply

Marsh Posté le 07-04-2006 à 11:20:38    

Ton port 80 est bien ouvert sur le firewall ? Tu utilises bien le port 80 aussi sur ton serveur web ?

Reply

Marsh Posté le 07-04-2006 à 11:22:04    

Bonjour et merci de ta réponse :
En fait je ne fais aucun filtrage sur le firewall le temps des tests ... donc il sagit soit d'un problème de redirection (ce que je pense) soit d'un problème avecc le routeur (que je n'ai pas le droit de toucher (Location))

Reply

Marsh Posté le 07-04-2006 à 11:24:44    

Je pense effectivement que c'est un problème de NAT c'est pour cela que je te posais les questions sur les ports. Dans les logs de ton firewall peux-tu voir les tentatives de connexion à ton serveur web ? Le cas échéant cela pourrait venir en effet du routeur as-tu quand meme une vue sur la conf de ce derner ?

Reply

Marsh Posté le 07-04-2006 à 11:43:16    

En gros jai créé 2 règles sur le firewall en NAT :
Redirection de toutes les requetes HTTP sur l'interface out vers le serveur web
et la même sur l'interface in (pour tester la config)
 
sinon pour la config du routeur oui jai la config :

Code :
  1. mmi polling-interval 60
  2. no mmi auto-configure
  3. no mmi pvc
  4. mmi snmp-timeout 180
  5. aaa new-model
  6. !
  7. !
  8. aaa authentication login default group tacacs+ line enable none
  9. aaa authentication enable default group tacacs+ enable none
  10. aaa accounting exec default start-stop group tacacs+
  11. aaa accounting commands 15 default start-stop group tacacs+
  12. aaa accounting network default start-stop group tacacs+
  13. aaa accounting connection default start-stop group tacacs+
  14. aaa accounting system default start-stop group tacacs+
  15. aaa session-id common
  16. ip subnet-zero
  17. no ip source-route
  18. !
  19. !
  20. !
  21. !
  22. no ip domain lookup
  23. ip cef
  24. !
  25. !       
  26. !
  27. controller DSL 0
  28. mode atm
  29. line-term cpe
  30. line-mode 4-wire
  31. dsl-mode shdsl symmetric annex B
  32. line-rate 2048
  33. !
  34. !
  35. interface Loopback0
  36. ip address 212.157.247.252 255.255.255.255
  37. !
  38. interface ATM0
  39. no ip address
  40. no ip route-cache cef
  41. no ip route-cache
  42. clock rate aal5 5300000
  43. no atm ilmi-keepalive
  44. !
  45. interface ATM0.1 point-to-point
  46. ip unnumbered Loopback0
  47. ip access-group 151 in
  48. no ip redirects
  49. ip nat outside
  50. ip virtual-reassembly
  51. no ip route-cache
  52. no ip mroute-cache
  53. pvc 8/35
  54.   encapsulation aal5snap
  55. !
  56. !
  57. interface FastEthernet0
  58. ip address 192.0.1.254 255.255.255.0
  59. ip nat inside
  60. ip virtual-reassembly
  61. no ip route-cache cef
  62. no ip route-cache
  63. speed 10
  64. half-duplex
  65. no cdp enable
  66. hold-queue 100 out
  67. !
  68. ip classless
  69. ip route 0.0.0.0 0.0.0.0 ATM0.1
  70. ip tacacs source-interface Loopback0
  71. no ip http server
  72. ip nat translation timeout 14400
  73. ip nat translation udp-timeout 30
  74. ip nat translation dns-timeout 30
  75. ip nat translation icmp-timeout 30
  76. ip nat inside source list 1 interface Loopback0 overload
  77. ip nat inside source static tcp 192.0.1.253 1300 interface Loopback0 1300
  78. ip nat inside source static udp 192.0.1.253 1300 interface Loopback0 1300
  79. ip nat inside source static udp 192.0.1.253 22 interface Loopback0 22
  80. ip nat inside source static tcp 192.0.1.253 22 interface Loopback0 22
  81. ip nat inside source static tcp 192.0.1.253 20 212.208.245.61 20 extendable
  82. ip nat inside source static tcp 192.0.1.253 21 212.208.245.61 21 extendable
  83. ip nat inside source static tcp 192.0.1.253 22 212.208.245.61 22 extendable
  84. ip nat inside source static tcp 192.0.1.253 1300 212.208.245.61 1300
  85. extendable
  86. !
  87. !
  88. !
  89. logging 195.129.111.26
  90. access-list 1 permit 192.0.1.0 0.0.0.255
  91. access-list 151 deny   ip host 0.0.0.0 any
  92. access-list 151 deny   ip 10.0.0.0 0.255.255.255 any
  93. access-list 151 deny   ip 127.0.0.0 0.255.255.255 any
  94. access-list 151 deny   ip 172.16.0.0 0.15.255.255 any
  95. access-list 151 deny   ip 192.168.0.0 0.0.255.255 any
  96. access-list 151 deny   ip 192.0.2.0 0.0.0.255 any
  97. access-list 151 deny   ip 224.0.0.0 31.255.255.255 any
  98. access-list 151 permit ip any any
  99. access-list 171 permit tcp 158.43.128.0 0.0.127.255 any
  100. access-list 171 permit tcp host 62.191.128.38 any
  101. access-list 171 permit tcp host 146.188.96.8 any
  102. access-list 171 permit tcp host 146.188.99.69 any
  103. access-list 171 permit tcp host 146.188.99.136 any
  104. access-list 171 permit tcp host 194.7.70.70 any
  105. access-list 171 permit tcp host 213.68.123.11 any
  106. access-list 171 permit tcp host 213.68.123.12 any
  107. access-list 171 permit tcp 146.188.96.0 0.0.3.255 any
  108. access-list 171 permit tcp 193.78.241.0 0.0.0.255 any
  109. access-list 171 deny   ip any any
  110. no cdp run
  111. !
  112. tacacs-server host 195.129.111.1
  113. tacacs-server host 195.129.12.116
  114. tacacs-server timeout 6
  115. tacacs-server directed-request
  116. !
  117. control-plane

Reply

Marsh Posté le 07-04-2006 à 12:02:55    

Heu vu comme ça je dirais qu'il te manque une route statique qui rebalance sur Eth0 pour la destination 192.0.3.0/24


Message édité par Pandinus2k4 le 07-04-2006 à 12:05:09
Reply

Marsh Posté le 07-04-2006 à 13:30:51    

Bah si c'était le cas, la DMZ ne marcherait pas, hors tout est accessible jai même le net sur mon serveur Web ... je vais me pencher sur la question...

Reply

Marsh Posté le 07-04-2006 à 14:57:58    

Apres réflexion il est sur que cette route ne manque pas puisque le firewall fait un mapping du réseau de la DMZ sur le réseau externe (entre le firewall et le routeur)

Reply

Marsh Posté le 07-04-2006 à 15:02:03    

Yes je me suis planté désolé :) Tu as donc accès au web à partir de ton PC DMZ ? C'est qu'effectivement ce ne doit pas être un problème de routage alors mais plus au niveau du NAT. Comment l'as tu configuré au niveau du FIrewall ?

Reply

Marsh Posté le 07-04-2006 à 15:08:04    

C'est dommage que je ne puisse pas screener l'interface mais en gros jai fait un port redirect
interface : out
origine : any
destination : any
port : http
destination translatée : ip serveur web
port translaté : http

Reply

Marsh Posté le 07-04-2006 à 15:08:04   

Reply

Marsh Posté le 10-04-2006 à 09:44:01    

J'ai essayé avec l'ip de mon serveur Web en whitelist pour que le netasq ne fasse aucun filtrage et ça ne change toujours rien ... j'arrive à cours d'idée là ...
 
(PS : Les règles de Translation obéissent à la même loi que les règles de filtrage ? c-a-d lapremière règle qui concerne le traffic trouvée est appliqué ?)

Reply

Marsh Posté le 10-04-2006 à 16:35:50    

Petite précision ..
 
Dans ces lignes :

Code :
  1. ip nat inside source static tcp 192.0.1.253 20 212.208.245.61 20 extendable
  2. ip nat inside source static tcp 192.0.1.253 21 212.208.245.61 21 extendable
  3. ip nat inside source static tcp 192.0.1.253 22 212.208.245.61 22 extendable
  4. ip nat inside source static tcp 192.0.1.253 1300 212.208.245.61 1300


 
La 2ème IP doit bien être mon ip publique ? J'ai du mal à saisir le concept d'ip publique et d'ip routable sur internet (qui apparement sont différentes)  ...

Reply

Marsh Posté le 10-04-2006 à 18:43:44    

J'ai bien l'impression qu'il manque le nat du port 80 sur ton routeur.
Pour t'en assurer, branche toi avec un portable sur le reseau 1.0 et essaie d'accéder a ton serveur Web.
 
Sinon dans tes regles de nat du FW, pour etre plus précis, dans le champs destination, au lieu de mettre "any", mets l'ip externe de ton FW (1.x).  :hello:

Reply

Marsh Posté le 11-04-2006 à 08:37:22    

Merci de ta réponse.
Je ne saisis pas bien ton idée, je ne peux pas vérifier la bon fonctionnement du NAT en me branchant sur le réseau 1.X puisque ce réseau est entre le routeur et le firewall, et la pate externe du routeur c'est l'Internet je ne peux donc pas m'y brancher non plus ... si quelqu'un pouvait me confirmer que dans ces lignes :
   1.ip nat inside source static tcp 192.0.1.253 20 212.208.245.61 20 extendable
   2.ip nat inside source static tcp 192.0.1.253 21 212.208.245.61 21 extendable
   3.ip nat inside source static tcp 192.0.1.253 22 212.208.245.61 22 extendable
   4. ip nat inside source static tcp 192.0.1.253 1300 212.208.245.61 1300  
 
La 2eme ip doit bien être mon ip publique ... ?
 

Citation :


Sinon dans tes regles de nat du FW, pour etre plus précis, dans le champs destination, au lieu de mettre "any", mets l'ip externe de ton FW (1.x).


 
C'est deja quasiment le cas, c'est l'ip externe de mon firewall ...

Reply

Marsh Posté le 11-04-2006 à 09:10:13    

Ben tu mets un switch entre ton routeur et ton firewall au lieu de les brancher en direct et tu branches aussi une machine en 1.x sur le switch.
Patte externe du firewall ------ Patte interne de ton routeur -------- ton portable en 1.x
A partir de là tu essaie d'interroger ton serveur Web et si ca passe, tu sauras que c'est ton routeur en location qui bloque (a mon avis c'est ca).
 
Concernant ta 2eme question, oui la 2eme ip doit etre l'ip externe de ton routeur donc l'ip publique.


Message édité par Quich'Man le 11-04-2006 à 09:11:34
Reply

Marsh Posté le 11-04-2006 à 09:20:41    

J'avais bien compris alors mais le pb c'est que le routeur redirige tout le traffic vers la pate out de mon firewall ... donc je ne pourrai pas tester le bon fonctionnement sauf en prennant carrément son ip (malheureusement je ne peux pas me permettre une interruption de service ...)
Sinon le problème viens bien de mon routeur puisque la 2ème ip des lignes de config n'est pas mon ip publique ... :x

Reply

Marsh Posté le 11-04-2006 à 11:13:26    

En mettant ton portable entre les 2, tu interroges l'ip OUT de ton fw sur le port 80, pas de raisons de prendre l'ip de ton routeur ;)
 
De toute facon le probleme vient de ton routeur, appelle ton FAI pour lui demander de t'ouvrir le port 80 et de rediriger les flux vers ton FW  :hello:


Message édité par Quich'Man le 11-04-2006 à 11:14:32
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed