Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1747 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Configuration DMZ - firewall netasq U70

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

Configuration DMZ - firewall netasq U70

n°73020
fak13
Posté le 25-10-2010 à 18:13:40  profilanswer
 

Bonjour,
 
Je demande de l'aide pour la configuration d'une DMZ avec un firewall netasq U70.
 
Cela dans le but d'accéder depuis l'extérieur à un serveur web.
 
J'ai ajouter une règle NAT comme indiqué dans guide du manager :
 
On Bimap None private_web_server1 <Any> <Any> Public_web_server
 
J'arrive ainsi à accéder au serveur web depuis l'extérieur.  
 
Le seul inconvénient est que lorsque cette règle est activée, on n'arrive plus à accéder à l'internet depuis le réseau interne (LAN).
 
Quelqu'un aurai-t-il une idée ?

mood
Publicité
Posté le 25-10-2010 à 18:13:40  profilanswer
 

n°73058
fak13
Posté le 27-10-2010 à 10:01:01  profilanswer
 

personne n'a déja mis en place une DMZ avec un U70 ?

n°73064
ChaTTon2
Je l'aime !
Posté le 27-10-2010 à 11:22:04  profilanswer
 

Hello ;)
 
J'ai pas un U70 mais la console doit être la même ... Mais ton soucis me semble plus simple :
Lorsque ton LAN sort sur internet, tu le nat avec quelle ip ? pas avec Public_web_server quand même ?


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73072
fak13
Posté le 27-10-2010 à 14:21:01  profilanswer
 

non, mon LAN je le nat avec firewall_out.
 

n°73073
fak13
Posté le 27-10-2010 à 14:25:18  profilanswer
 

Je viens de me rendre compte que l'accès internet était opérationnel c'est la résolution de nom qui n'est plus faites par mes postes clients lorsque j'active la règle nat indiquée dans le guide du manager.
 
En effet, lorsque je ping l'ip de www.google.fr (209.85.229.104) cela fonctionne et dans un navigateur aussi.
 
Par contre le ping de www.google.fr ou que j'essaie d'atteindre cet url, cela ne fonctionne pas.

n°73074
fak13
Posté le 27-10-2010 à 14:27:37  profilanswer
 

la commande "nslookup" sur www.google.fr renvoi un dns request time out

n°73076
ChaTTon2
Je l'aime !
Posté le 27-10-2010 à 14:42:36  profilanswer
 

et ton dns se trouve être ?


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73079
fak13
Posté le 27-10-2010 à 15:04:43  profilanswer
 

mon dns c'est sensé être mon serveur AD dans mon LAN  
192.168.5.1

n°73080
fak13
Posté le 27-10-2010 à 15:10:56  profilanswer
 

J'ai un réseau lan en 192.168.5.* passerelle 192.168.5.254 qui est mon firewall_in dans mon manager.
 
et  
 
un réseau DMZ en192.168.2.* passerelle 192.168.2.254 qui est mon firewall_out dans le manager.
 
J'ai une seule machine qui tourne sous XP dans ma DMZ, 192.168.2.1
 
Depuis cette machine j'arrive à pinger mon LAN
 
Mais depuis mon LAN je n'arrive pas à pinger cette machine (c'est normal je crois)
 
J'ai une livebox 192.168.1.1 et mon interface firewall_out en 192.168.1.254 dans mon manger.
 
J'ai aussi une ip publique par laquelle je souhaite accéder en http à ma machine en DMZ.
 
actuellement j'accède en https à mon serveur de mail en OWA via l'ip publique.
 

n°73082
ChaTTon2
Je l'aime !
Posté le 27-10-2010 à 15:59:38  profilanswer
 

fak13 a écrit :

J'ai un réseau lan en 192.168.5.* passerelle 192.168.5.254 qui est mon firewall_in dans mon manager.
 
et  
 
un réseau DMZ en192.168.2.* passerelle 192.168.2.254 qui est mon firewall_out dans le manager.


 
Heuuuuu j'ai mal compris ou alors tu nat ton lan en utilisant l'adresse 192.168.2.254 ... ca devrait même pas fonctionner :) ton firewall n'a pas une adresse ip publique ?
 

fak13 a écrit :

J'ai une seule machine qui tourne sous XP dans ma DMZ, 192.168.2.1
 
Depuis cette machine j'arrive à pinger mon LAN
 
Mais depuis mon LAN je n'arrive pas à pinger cette machine (c'est normal je crois).


 
Non c'est l'inverse qui serait "normal" ... L'accès LAN vers DMZ est normalement plus ouvert que DMZ vers LAN.
 

fak13 a écrit :

J'ai une livebox 192.168.1.1 et mon interface firewall_out en 192.168.1.254 dans mon manger.


 
Je comprends plus rien :) qui est firewall out ? 192.168.1.254 ou 192.168.2.254 ? :)
 
Tu as 2 firewall ???? Un netasq et le "Firewall" orange ?
 

fak13 a écrit :

J'ai aussi une ip publique par laquelle je souhaite accéder en http à ma machine en DMZ.


 
Si tu n'as qu'une seule ip (CF mon premier message) alors tu ne peux pas faire de NAT bidirectionnel ;) il va te falloir faire du PAT (Au lieu d'utiliser l'adresse pour rediriger ton flux, utiliser les ports web (80 http par exemple)).
 

fak13 a écrit :

actuellement j'accède en https à mon serveur de mail en OWA via l'ip publique..


Ton serveur web sur xp ne pouvant pas être ton serveur mail (tu dis owa donc t'es au moins en 2007 sur Exchange) ... Je fais un schéma (enfin si on peut appeler ca un schema) tu me dis si j'ai bon :
 
[Orange_box]--------------------------[NETASQ_U70]-----------------------[Réseau_LAN]
                                                              |
                                                              |
                                                         [DMZ]
 
Complètons ce schéma ;)  
- combien as-tu d'ip publique ?
- De l'extérieur tu souhaites accéder à quoi ?
                           ° Ou se trouve ces serveurs ?

Message cité 1 fois
Message édité par ChaTTon2 le 27-10-2010 à 16:05:09

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
mood
Publicité
Posté le 27-10-2010 à 15:59:38  profilanswer
 

n°73084
fak13
Posté le 27-10-2010 à 16:12:45  profilanswer
 

ChaTTon2 a écrit :


 
Heuuuuu j'ai mal compris ou alors tu nat ton lan en utilisant l'adresse 192.168.2.254 ... ca devrait même pas fonctionner :) ton firewall n'a pas une adresse ip publique ?
 


 
non, désolé,  
 
un réseau DMZ en192.168.2.* passerelle 192.168.2.254 qui est mon firewall_dmz dans le manager.

n°73085
fak13
Posté le 27-10-2010 à 16:15:39  profilanswer
 

Oui, ton schéma est bon
 
- Je n'ai qu'une adresse publique
- De l'exterieur je souhaite acceder à ma machine xp dans ma DMZ qui héberge un serveur tomcat pour info.
 

n°73086
fak13
Posté le 27-10-2010 à 16:16:21  profilanswer
 

Je souhaite également conserver l'accés OWA

n°73087
fak13
Posté le 27-10-2010 à 16:27:15  profilanswer
 

Le firewall_out a pour ip 192.168.1.254 dans le manager et je n'ai pas 2 firewall (enfin pas que je sache)
 

n°73089
ChaTTon2
Je l'aime !
Posté le 27-10-2010 à 17:06:57  profilanswer
 

fak13 a écrit :

Le firewall_out a pour ip 192.168.1.254 dans le manager et je n'ai pas 2 firewall (enfin pas que je sache)
 


ok alors tu ne peux pas faire de mappage bi directionnelle :)
 
Convenons que :
Ton adresse ip est dans ton manager sous le nom de firewall_out
Ton serveur web en dmz se nomme apache_DMZ
Ton réseau LAN se nomme LAN_NETWORK
Ton serveur EXCHANGE : SRV_EXCH
 
L'entete énnoncé est celui de MON MANAGER en francais ;) ca peut être dans un ordre différent chez toi :)
 
Tes regles de NAT doivent resembler à celà :
 
Etat | ACTION                  | OPTION | ORIGINAL         | DESTINATION |PORT DE DESTINATION |TRANSLATE  
ON  | Redirection             | NONE    | ANY                  | firewall_out    | http(80)                      | apache_DMZ
ON  | Redirection             | NONE     |ANY                   | firewall_out    | HTTPS(443)                | SRV_EXCH
ON  | Map                       | NONE    | LAN _NETWORK | ANY               | ANY                            | firewall_out
Regle 1 : Redirection de l'http entrant sur le port 80 vers le serveur apache en DMZ
Regle 2 : Redirection de l'https entrant sur le port 443 vers le serveur EXCHANGE
Regle 3 : Mappage du réseau LAN vers INTERNET
 
Et bien dans cette ordre ;) donc comme tu utilise le ssl pour ton OWA (Attention que toutes tes applications IIS sur ton exchange (ECS, EWC, autodiscovert ...) soient aussi passées en HTTPS, cette règle 1 redirige tout le flux HTTP vers ton apache en DMZ :)
 
Edit : Et au fait ! Très bon choix de firewall ! Je travail sur des U250 en haute dispo et c'est du bonheur ;)


Message édité par ChaTTon2 le 27-10-2010 à 17:36:39

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73090
ChaTTon2
Je l'aime !
Posté le 27-10-2010 à 17:32:20  profilanswer
 

HEUUUUU ATTENTION ! Dans la regle 2 ne pas mettre map BIDERECTIONNEL ! MAIS MAP¨UNIQUEMENT !!!!!! J'ai totalement zappé ton OWA !
 
je refais le tout !


Message édité par ChaTTon2 le 27-10-2010 à 17:33:52

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73092
fak13
Posté le 27-10-2010 à 17:59:29  profilanswer
 

Merci pour ton aide, mais ça ne fonctionne toujours pas malgrè que j'ai configurer comme indiqué.
 
Avant d'aller plus loin, sache que au départ, j'ai branché mon serveur apache_DMZ sur la patte DMZ du firewall sans rien modifier dans la configuration du firewall
 
J'ai mis une adresse statique 192.168.2.1 (masque  255.255.255.0) et comme passerelle 192.168.2.254
 
De là j'arrivais à pinger mon réseau interne et pas le contraire.  
 
Comment faire pour retrouver un comportement normal comme tu disais plus haut (c'est a dire dmz visible depuis le LAN et non le contraire)
 

n°73093
fak13
Posté le 27-10-2010 à 18:01:45  profilanswer
 

oui, j'avais bien ces règles :
 
ON  | Redirection             | NONE     |ANY                   | firewall_out    | HTTPS(443)                | SRV_EXCH  
ON  | Map                       | NONE    | LAN _NETWORK | ANY               | ANY                            | firewall_out  
ON  | Redirection             | NONE    | ANY                  | firewall_out    | http(80)                      | apache_DMZ

n°73094
fak13
Posté le 27-10-2010 à 18:02:04  profilanswer
 

Et pourtant ça ne marche pas

n°73107
mousoft
Posté le 27-10-2010 à 21:00:56  profilanswer
 

salut tout le monde
pour moi c'est la 1 ère fois que j’utilise  un produit netasq, j'ai un u70.
je mis la règle suivant :
 
ON  | Map | NONE | LAN _NETWORK | ANY | ANY | firewall_out
 
le probleme c'est que UNIFIED MANAGER perd la connexion avec le routeur, donc je peux configurer NAT sans perd la cnx.
 
dsl je sais que c'est une question bête mais c'est la 1 ère fois que j’utilise un produit netasq.
 
merci

n°73111
flash-91
Posté le 27-10-2010 à 22:02:27  profilanswer
 

Bonsoir,
 
Un erreur récurrente avec les règles de NAT est de spécifier la mauvaise interface sur laquelle appliquer la règle. Par défaut le manager ne montre pas tous les paramètres dans l'édition des règles, il faut passer en mode étendu et spécifier la bonne interface. Pour cela, cliquer sur le bouton comportant une double fleche, à droite.
 
Pour fak13, aux niveaux des règles, cela devrait donner
ON; Redirect; OUT; none; any; firewall_out; https; SRV_EXCH; https
ON; Redirect; OUT; none; any; firewall_out; http; SRV_WEB; http
ON; MAP; OUT; none; LAN_NETWORK; ANY; ANY; firewall_out; ephemeral_fw
 
 
Hors besoin spécifique, il n'y a pas besoin de faire de NAT entre le LAN et la DMZ.
Il faut également penser à créer les règles de filtrage associées.

n°73130
ChaTTon2
Je l'aime !
Posté le 28-10-2010 à 12:05:10  profilanswer
 

fak13 a écrit :

Merci pour ton aide, mais ça ne fonctionne toujours pas malgrè que j'ai configurer comme indiqué.
 
Avant d'aller plus loin, sache que au départ, j'ai branché mon serveur apache_DMZ sur la patte DMZ du firewall sans rien modifier dans la configuration du firewall
 
J'ai mis une adresse statique 192.168.2.1 (masque  255.255.255.0) et comme passerelle 192.168.2.254
 
De là j'arrivais à pinger mon réseau interne et pas le contraire.  
 
Comment faire pour retrouver un comportement normal comme tu disais plus haut (c'est a dire dmz visible depuis le LAN et non le contraire)
 


Tu veux dire que même avec ces règles ... tu n'as plus de résolution DNS sur ton LAN ???
 
pour le ping ... Il faut que tu jettes un oeil à ta politique de filtrage ...


Message édité par ChaTTon2 le 28-10-2010 à 12:06:07

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73131
fak13
Posté le 28-10-2010 à 12:10:21  profilanswer
 

flash-91 a écrit :

Bonsoir,
 
Un erreur récurrente avec les règles de NAT est de spécifier la mauvaise interface sur laquelle appliquer la règle. Par défaut le manager ne montre pas tous les paramètres dans l'édition des règles, il faut passer en mode étendu et spécifier la bonne interface. Pour cela, cliquer sur le bouton comportant une double fleche, à droite.
 
Pour fak13, aux niveaux des règles, cela devrait donner
ON; Redirect; OUT; none; any; firewall_out; https; SRV_EXCH; https
ON; Redirect; OUT; none; any; firewall_out; http; SRV_WEB; http
ON; MAP; OUT; none; LAN_NETWORK; ANY; ANY; firewall_out; ephemeral_fw
 
 
Hors besoin spécifique, il n'y a pas besoin de faire de NAT entre le LAN et la DMZ.
Il faut également penser à créer les règles de filtrage associées.


 
Merci flash-91, j'ai bien cette configuration et j'avais bien vu cette possibilité de spécifier l'interface.
 
Bref, je pense qu'il vaut mieux que je re-explique mon problème et les quelques bizarreries que j'aimerai bien qu'on m'explique avant d'aller plus loin.
 
J'ai donc un U70 :
- j'ai une patte IN réseau 192.168.5.X/255.255.255.0 avec un serveur de domaine en windows 2008 R2 à l'adresse 192.168.5.1 (AD, DNS, DHCP,...) + un serveur de messagerie
 
- une patte OUT réseau 192.168.1.X (firewall_out en 192.168.1.254/255.255.255.0)
 
- une patte DMZ réseau 192.168.2.X (firewall_dmz en 192.168.2.254/255.255.255.0)  
 
Au départ, j'ai simplement branché mon poste XP en direct sur la patte DMZ du firewall.  
 
J'ai configurer la carte réseau de ce poste pour qu'il soit à l'ip 192.168.2.1/255.255.255.0 et comme passerelle 192.168.2.254  
 
Déjà est-ce que j'ai bon là ?

n°73138
ChaTTon2
Je l'aime !
Posté le 28-10-2010 à 13:37:23  profilanswer
 

Pour la configuration réseau oui :)
 
Maintenant tu as quoi en Routage, NAT,et Filtrage ? Tu serais nous lister out ça ? :)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73142
fak13
Posté le 28-10-2010 à 15:14:46  profilanswer
 

ChaTTon2 a écrit :

Pour la configuration réseau oui :)
 
Maintenant tu as quoi en Routage, NAT,et Filtrage ? Tu serais nous lister out ça ? :)


 
Ok, alors déjà une chose que je ne comprend pas  
 
- depuis la machine dans la DMZ, ping du réseau interne =>OK
- depuis réseau interne, ping de ma machine dans la DMZ => OK
 
 
Et ce, sans avoir rien modifier comme NAT et filtrage  
 
 - En routage je n'ai rien, juste ma livebox qui est ma passerelle par défaut
 - Dans la NAT j'ai 2 lignes activées :  
http://www.projectone.fr/images/Regles_NAT_Fak13.jpg
 
en filtrage j'ai :
http://www.projectone.fr/images/Regles_filtrage_Fak13.jpg
 

n°73154
fak13
Posté le 28-10-2010 à 18:23:15  profilanswer
 

personne n'a une idée ?

n°73192
fak13
Posté le 29-10-2010 à 11:03:37  profilanswer
 

Quelqu'un pourrai me dire ce que je dois faire comme règle NAT et comme filtre à partir des copies d'écran envoyé qui est l'état actuel de mon firewal ?

n°73196
ChaTTon2
Je l'aime !
Posté le 29-10-2010 à 11:58:11  profilanswer
 

IP_PUB_PO c'est la même adresse que firewall_out ????
 
C'est quoi ton modem ? une box orange c'est ça ?


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73197
ChaTTon2
Je l'aime !
Posté le 29-10-2010 à 12:06:30  profilanswer
 

réactive tes règle 7 et 8 de NAT.
 
Dans le filtrage,  tu t'es gourré sur ta regle 26 .... là tu autorises srv-odace à sortir en http ;)  
 
Regle 26 :
on / all / srv-odace / any / any / passer
(là tu autorise ton serveur à sortir ... en complet pas juste sur du http)
 
Regle 30 à créer pour autoriser l'entrer :
on / tcp / ANY / srv-odace / http / passer
(Là tu autorises toutes les source à entrer)
 
par contre je comprends pas pourquoi tu nat en sortie avec firewall_out et tu nat en entré sur un IP_PU_PO :)


Message édité par ChaTTon2 le 29-10-2010 à 12:08:21

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73198
ChaTTon2
Je l'aime !
Posté le 29-10-2010 à 12:06:52  profilanswer
 

aller vite dis moi si celà marche ;)
 
Dernière chose : Par pitié !!!!!!!!!!! Créer une dernière règle (toujours en bas) :
on / all / any / any / any / REFUSER / MAJEUR
 
Dans ta config tu ne met en alerte que les trucs qui passe ... C'est pas logique :) il vaut mieux ALERTER ce qui est refoulé ! (pour voir si tu es attaqué par éxemple) et TRACER ce qui passe pour le reporting ;)


Message édité par ChaTTon2 le 29-10-2010 à 12:10:30

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73199
fak13
Posté le 29-10-2010 à 12:12:25  profilanswer
 

ChaTTon2 a écrit :

IP_PUB_PO c'est la même adresse que firewall_out ????
 
C'est quoi ton modem ? une box orange c'est ça ?


 
OUi, IP_PUB_PO et firewall_out c'est la même ip
 
mon modem c'est une livebox orange.

n°73200
ChaTTon2
Je l'aime !
Posté le 29-10-2010 à 12:20:16  profilanswer
 

ok ok pas de soucis ;)
 
J'avais peur que tu nat en sortie sur une ip différente de l'entrée :) Du coup je me demandais comment celà pouvais marcher pour OWA ;)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73201
fak13
Posté le 29-10-2010 à 12:25:07  profilanswer
 

Je viens de tester et l'accès à srv_odace depuis l'exterieur ne fonctionne pas alors que l'accès à OWA fonctionne lui.
 
Je vais jetter un coup d'oeil dans les logs

n°73202
fak13
Posté le 29-10-2010 à 12:35:24  profilanswer
 

Apparement j'ai des alarmes sur le firewall_out qui m'indique avoir bloqué le http_proxy

n°73203
fak13
Posté le 29-10-2010 à 12:41:41  profilanswer
 

J'ai modifié la Regle 30 :
on / tcp / ANY / srv-odace / http_proxy / passer

n°73216
fak13
Posté le 29-10-2010 à 15:51:53  profilanswer
 

En fait c'est sur le port http_proxy (8080) que je devais faire ma redirection et filtrer les flux et non pas sur le http.
 
C'est ça qui posait problème, je savais pas que c'était aussi subtil, je pensais que le http l'englobait mais non !
 
Bref, maintenant pour bien sécuriser ma DMZ, je dois l'empecher de voir et d'accéder au LAN et permettre le LAN de voir la DMZ c'est bien ça ?

n°73289
ChaTTon2
Je l'aime !
Posté le 02-11-2010 à 08:20:54  profilanswer
 

parfaitement ;)
 
le bute étant d'ouvrir les ports de l'extérieur sur la DMZ et d'en ouvrir moins entre la dmz et le lan :)
 
Bravo en tous cas :)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73342
fak13
Posté le 03-11-2010 à 14:41:45  profilanswer
 

ChaTTon2 a écrit :

parfaitement ;)
 
le bute étant d'ouvrir les ports de l'extérieur sur la DMZ et d'en ouvrir moins entre la dmz et le lan :)
 
Bravo en tous cas :)


 
Et comment on bloque certains port? c'est en faisant des filtres ?
 
En fait j'ai ajouté une ligne filtre :
 
on / all / network_dmz/ network_in/ any / REFUSER / MAJEUR  
 
mais ça ne fontionne pas, j'arrive toujours à pinger mon réseau interne depuis mon srv-odace

n°73388
ChaTTon2
Je l'aime !
Posté le 04-11-2010 à 12:42:08  profilanswer
 

le ping fonctionne, mais le reste ?


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°73389
ChaTTon2
Je l'aime !
Posté le 04-11-2010 à 12:42:53  profilanswer
 

Ok j'ai compris ;) regardes ta regle 2 de filtrage ;)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Configuration DMZ - firewall netasq U70

 

Sujets relatifs
Configuration DNS Windows 2000Telnet sur VPN entre 2 Netasq série U
Pbm de redirection NAT sur netasq u250syslog netasq
Netasq (U70) Event Reporter et BDD Collectorconfig pppoe netasq
Configuration iLO sur DL 160 G6Aide configuration sur Netasq U70
Plus de sujets relatifs à : Configuration DMZ - firewall netasq U70


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR