Bonjour, je doit reconfigurer un firewall netasq F200, et la je suis en train de devenir fou
 
J'ai fait un reset du firewall et redéfinit un mot de passe admin ( pour trouver cette fichue procédure)
 
J'ai établi une connexion avec le cable série et entré ifconfig fxp1 198.168.10.100 netmask 255.255.255.0 et ifconfig fxp1 up .
 
J'ai ensuite branché un cable RJ-45 sur le port N°1 du firewall vers une machine dont j'ai configuré l'adresse en 198.168.10.1.
 
Problème, impossible de pinguer cette connerie, impossible de s'y connecter via le programme fourni, bref mossieur fait le mort et ca m'irrite    
 
Quelqu'un pourrait-il m'aider en me disant si j'ai oublié quelque chose ou en me donnant une procédure pour accéder a l'interface admin de cette formidable boite a 5000€, merci

quel est le résultat de la commande slotfilter ?

command not found

Après le reset usine, pourquoi ne pas utiliser Netasq Administration Suite pour configurer la bête?

slotinfo je voulais dire

parce qu'il n'a pas l'air de le détecter, j'entre son nom, je fais résoudre et rien, j'entre son ip, je fais actualiser, rien non plus (timeout)

Tu parles bien du "manager" ?
Pke normalement ca devrait marcher.
T'es en quelle version ?

 
le "block all" me dérange un peu je crois  

c'est bien le netasq global administration que tu me parle? il est en V1.4.0

Entrer le nom direct c'est un peu aventureux, mais entrer l'ip ça doit fonctionner sans problème. Après reset usine les règles de filtrage sont en pass all. Peut-être que tu cherches à accéder au Netasq sur une mauvaise ip.
 
Ne cherche pas à modifier l'ip à la paluche après le reset usine, connects-toi y directement avec l'ip après reset usine indiquée dans la doc (doc de x centaines de pages située sur le cd).

Fais un "enfilter 10" qui te mettra en "pass all".

Ah ben vu sous cet angle forcément... Tu es sur que ton reset usine a fonctionné? Normalement il aurait du ressortir en Pass all!!!

pour le reset usine, 15 secondes sur le reset, petite mélodie -> ca reboot, ca doit être ok?
 
bon la commande enfilter 10 a fonctionnée, j'arrive maintenant a avoir une réponse de sa part.
 
problème, je vais dans firewall manager, j'entre le login (admin) et le pass, et il me dit que le pass doit être changé, j'en mets un autre et il me dit échec de connexion, je remets le même et c'est pareil
 
a savoir le login/pass marche très bien pour l'hyperterminal

j'ai deja vu des fois ou il demande 2 ou 3 fois de remettre le mot de passe (apres demande de changement puis echec). Reéssaye avec ton manager.

resultat de :  
 
sysinfo | grep "software version"  
 
?

bon, reset (bouton du dessous 15 secondes)
boot -s
/usr/Firewall/sbin/chpwd
je mets un bon pass
ca reboot
go le manager
j'ajoute le firewall
il tente de récupérer les infos : annulé, le pass doit être changé
 
idem via le firewall managerq

bon la il est vraiment désagréable, pas moyen de se logger, j'ai fait ce que j'ai dit ci dessus, a savoir reset et remise d'un pass, et toujours pas moyen de se logger.
 
a chaque fois il m'ouvre une fenêtre me demandant de changer le mot de passe et quoi que je fasse il m'envoie chier après

Version du firmware ?

6.0.7 (désolé je n'avais pas fait attention a ton précédent post )

Tu as tenté un :
 
defaultconfig -f -p
 
qui est censé remettre en conf usine et resetter le mdp.

je le fais, ca me reset le firewall, et donc je doit faire un boot-s, puis /usr/Firewall/sbin/chpwd sinon je n'ai pas accèss au netasq et puis faire un enfilter 10 pour débloquer tout.
 
après j'arrive a le voir dans le manager mais il me dit toujours "le mot de passe doit être changé"

Il me semble que par défaut il ne répond pas au ping.
Juste pour être sûr, t'as essayé de te connecter avec le firewall manager sur le 10.0.0.254 après le reset ??

oui, je renseigne 10.0.0.254, je mets admin en login et mon pass, que j'ai donc du mettre après le reset, il se connecte et me demande de le changer, je fais et après il me dit que la connexion prendra plus de temps a cause de la modif, et il me plante avec un echec de l'authentification (mauvais utilisateur/pass)

Je pense que un defaultconfig -f -p -r (-r pour le reboot)
 
Ensuite se connecter direct avec le manager, il demande le changement de mot de passe, il dit que ca prendra + de tps, s'il met echec, retenter la connex avec le manager (il met tjrs cet echec en fait apres le changement).
 
Sinon contacter le support Netasq ?

je ne peux pas faire ca, lors du reset la connexion avec le manager est impossible vu qu'il passe en mode block all.
 
il faut fonc que je fasse boot -s et un chpwd, puis reboot et enfilter 10 pour que le manager le détecte

En block all je crois que la connexion avec le manager marche qd meme depuis une interface protégée car il y a une regle implicite... a confirmer.

le manager est relié sur un pc qui a été mis en ip fixe (10.0.0.1) via le port 1 du firewall, après un reset impossible d'établir une connexion, donc si cette connexion est possible il doit surement y avoir un truc pour qu'elle marche

Bon pour le reset usine la manip selon Netasq : defaultconfig -f -p -r
Par contre l'interface "IN" c'est le port 2. Le port 1 c'est la "OUT".
A moins que par defaut aprés reset les interfaces soient toutes bridgées, mais je pense pas. Reessaye en mettant ton PC avec le manager sur le port 2.

après reset complet du firewall j'ai enfin réussi a accéder a l'interface d'administration
 
merci beaucoup, perso je n'aurais pas pensé a changer le câble sur le port 2
 
concernant la doc n'ayant pas les cds elle est en train de se télécharger mais on devrais s'en sortir ^^

 
 
Bonjour,
 
La configuration par défaut des produits NETASQ est faite pour maximiser la sécurité à terme :
- accès aux outils d'administration uniquement depuis les interfaces internes
 
 La documentation devrait aider effectivement :-)
 

Salut,
 
excuse-moi de revenir à ton premier message.  
-----------------------------------------------------------------------------------------------------------------
J'ai établi une connexion avec le cable série et entré ifconfig fxp1 198.168.10.100 netmask 255.255.255.0 et ifconfig fxp1 up .  
-------------------------------------------------------------------------------------------------------------------
 
Ne serait-ce pas plutôt:
 
# ifconfig fxp1 198.168.10.100 netmask 255.255.255.0 up
 
au lieu de  
 
# ifconfig fxp1 198.168.10.100 netmask 255.255.255.0
# ifconfig fxp1 up
 
Cela fonctionne quand même ?

oui, puisque dans un premier temps j'ai paramétré mon interface, puis je l'ai ensuite activée, mais on peut tout faire en une seule ligne de commande en effet (j'ai pris la sale habitude des cisco ou après la config je fait un no sh )

bon j'ai encore quelques petits soucis dans la config de ce pare feu
 
le pare feu est connecté comme il suit :  
 
[Internet via un routeur FT] --------> Netasq [bridge] ----> Ipcop ----> ISA Server -----> Postes clients.
 
Mon problème est que des que le netasq est branché, le surf est ralenti et certains sites ne fonctionnent pas ou sont super longs a charger (le site de la fnac rame, gizmodo rame, hotmail impossible de se logger)...
 
et si je connecte l'ipcop directement sur le routeur sans passer par le netasq tout fonctionne nickel.
 
dans le netasq j'ai pour le moment mis la politique de filtrage en pass all, et je ne comprends donc pas ce qui peut se passer
 
le proxy me renvoie cette erreur :  
Code d'erreur 64 : hôte non disponible  
Contexte : la passerelle ou le serveur proxy a perdu la connexion avec le serveur Web.  
Date : 01/02/2008 10:27:47  
Serveur : srv03
Source : serveur distant  
 
quelqu'un est capable de me dire pourquoi le netasq adopte ce comportement

va faire un tour ds l'ASQ et désactive le plugin HTTP (temporairement) voire si ca vient de la.
 
Il serait bien aussi de faire une MAJ du firmware en v7.0.2
 
Pkoi conserves-tu Ipcop ?

ok donc c'est bien le plugin http qui fait tout foirer, je l'ai désactivé, mais puis-je le laisser sans trop de soucis étant donné que le serveur isa (qui fait proxy pour la maison) se charge du filtrage d'url et tout la tralala avec websense?
 
concernant l'ipcop, ce n'est pas trop mon choix, on m'a demandé une config très sécurisée pour éviter une intrusion dans le lan, et j'ai fait avec le matos dispo et le chef est exigeant la dessus, si je lui dit que le netasq suffit je pense pas qu'il serait d'accord
 
Au début le réseau se composait d'un ISA server en tête et des pc clients derrière...

A défaut, si tu n'arrives pas a régler le plugin HTTP et l'ASQ, plutot que de désactiver le plugin globalement, tu px ne l'enlevé que pour ISA. Dans ta regle de filtrage qui permet a ISA de sortir, tu active le mode avancé, et sous la colonne ASQ, tu px desactiver les plugin auto par exemple.
 
Pour une sécurité optimale, met aussi a jour ton F200.

ok merci de tes conseils je vais de ce pas faire ca demain
 
sinon je suis arrivé a faire fonctionner le netasq + l'ipcop + l'isa server et websense, c'est déja pas mal, ils voulaient pas etre copains au début
 
sinon je vais faire une dmz sur l'ipcop, je pense que ca ne devrais pas poser de problème avec le netasq, je pense pouvoir faire une règle pour autoriser uniquement le http de sortir vers l'exterieur...

Y aura p-e "une petite astuce" a utiliser si tu vx desactiver le plugin HTTP au niveau du filtrage au niveau de la regle ISA, surtout si tu restes en v6.

tu peux m'en dire plus? actuellement ca tourne avec le plugin http/https désactivé, et l'isa s'occupe du filtrage url, ma config est-elle bonne ou pas?
 
je pense que oui mais je préfère être sur

J'avoue que j'ai tendance a penser que conserver ipcop + le F200 en bridge ca va pas mal alourdir la gestion du filtrage. Moi j'aurais enlevé l'ipcop, collé le proxy en DMZ sur le F200. Puisque seul ton proxy est autorisé a sortir sur le net, sur des sites qui ont été classé, avec des catégories bien choisies si tu es en liste blanche avec websense le risque doit etre assez faible de désactivé le plugin HTTP globalement mais bon ...
 
P-e qqs experts en sécu pourrons nous dire si c'est vraiment mieux de conserver les 2 (ipcop + F200).
 
Pour la désactivation au niveau du filtrage, si tu as utilisé le groupe "web" ou meme le service http (inclus ds web enfait), celui-ci a le plugin automatique. Meme en desactivant l'application auto des plugin, le plugin http sera activé. Il faut créer un autre objet service (http_np) par exemple) sur lequel tu choisis aucun plugin a la création de l'objet. Puis ds ta regle de filtrage tu utilises ce service au lieu de l'objet http ou encore tu modifie le http deja existant.
 
Je me relis pas, j'espere que c'est compréhensible.