J'ai un ordinateur passerelle qui possède 2 cartes réseaux , une à
10.50.x.193 reliée au réseau 10.50.x.x et l'autre en 192.168.x.23 reliée au
réseau 192.168.x.x. Ce poste fait le routage entre les 2 réseaux.
Pour l'instant, le reseau 10.50.x.x communique bien avec le 192.168.x.x et
vice versa.
Mon problème est que je voudrais que les postes du reseau 10.50.x.x puisse
accéder au poste passerelle, mais pas au réseau 192.168.x.x.
Par contre , il faudrait que les poste de 192.168.x.x puissent communiquer
avec les 10.50.x.x. et avec le poste passerelle .
J'ai donc tester avec un firewall, Looknstop ou kerio , et ça ne fonctionne
pas .
J'ai mis le firewall sur la carte 192.168.x.x de l'ordinateur passerelle et
j'ai créer un filtre qui empêche les 10.50.x.x en entrée sur la carte
192.168.x.x . mia quand je fais ça , plus rienne fonctionne. Le routage ne
se fait plus et donc les 192.168.x.x n'ont plus acces au 10.50.x.x .
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
NonSenZ
Le Mon, 12 Sep 2005 15:24:35 +0000, Andrea a écrit :
J'ai un ordinateur passerelle qui possède 2 cartes réseaux , une à 10.50.x.193 reliée au réseau 10.50.x.x et l'autre en 192.168.x.23 reliée au réseau 192.168.x.x. Ce poste fait le routage entre les 2 réseaux.
Pour l'instant, le reseau 10.50.x.x communique bien avec le 192.168.x.x et vice versa. ---
Ok. Pour résumer : Net1 (192.168.x.x) - Routeur - Net2 (10.50.x.x) Pour le moment, Net1 communique avec Net2 et inversement. Tu voudrais que Net1 puisse aller vers Net2 mais que Net2 ne puisse pas aller vers Net1 (en lui laissant la possibilité d'accéder au routeur). Il faut donc en effet ajouter un firewall qui empèchera Net2 d'aller vers Net1 tout en laissant Net2 répondre aux requêtes de Net1, car si on bloque le retour des paquets, les deux réseaux ne communiquent plus du tout (c'est l'expérience que tu as faite). Il faut donc que le routeur soit "stateful", c'est-à-dire qu'il soit capable de détecter si les paquets qu'ils reçoit sont des initialisations de connexion, ou des réponses à une connexion existante (en gros). En langage courant, il faut écrire les règles suivantes : Tout le trafic de Net1 doit pouvoir aller vers Net2 Tout le trafic de Net2, dont les connexions ont été établies (donc pas les nouvelles) doit pouvoir aller vers Net1. Enfin, comme tu veux que les deux réseaux puissent accéder sans problème à la passerelle, il faut en effet placer les règles au niveau des entrées sorties de l'interface du routeur sur Net1 pour ne pas bloquer les demandes de connexions de Net2 qui s'arrêteraient à la passerelle.
Kerio semble être stateful. (Soit dit en passant, sous Linux, ce serait un jeu d'enfant avec IPTables et netfilter) Je ne connais pas Kerio mais ta problématique correspond en gros à protéger un réseau local (Net1) d'Internet (Net2) tout en laissant un serveur accessible (ta passerelle) dans une DMZ.
J'espère que ces quelques éléments pourront t'être utiles.
-- NSZ
Le Mon, 12 Sep 2005 15:24:35 +0000, Andrea a écrit :
J'ai un ordinateur passerelle qui possède 2 cartes réseaux , une à
10.50.x.193 reliée au réseau 10.50.x.x et l'autre en 192.168.x.23 reliée au
réseau 192.168.x.x. Ce poste fait le routage entre les 2 réseaux.
Pour l'instant, le reseau 10.50.x.x communique bien avec le 192.168.x.x et
vice versa.
---
Ok. Pour résumer :
Net1 (192.168.x.x) - Routeur - Net2 (10.50.x.x)
Pour le moment, Net1 communique avec Net2 et inversement. Tu voudrais que
Net1 puisse aller vers Net2 mais que Net2 ne puisse pas aller vers Net1
(en lui laissant la possibilité d'accéder au routeur).
Il faut donc en effet ajouter un firewall qui empèchera Net2 d'aller vers
Net1 tout en laissant Net2 répondre aux requêtes de Net1, car si on
bloque le retour des paquets, les deux réseaux ne communiquent plus du
tout (c'est l'expérience que tu as faite). Il faut donc que le routeur
soit "stateful", c'est-à-dire qu'il soit capable de détecter si les
paquets qu'ils reçoit sont des initialisations de connexion, ou des
réponses à une connexion existante (en gros).
En langage courant, il faut écrire les règles suivantes :
Tout le trafic de Net1 doit pouvoir aller vers Net2
Tout le trafic de Net2, dont les connexions ont été établies (donc pas
les nouvelles) doit pouvoir aller vers Net1.
Enfin, comme tu veux que les deux réseaux puissent accéder sans
problème à la passerelle, il faut en effet placer les règles au niveau
des entrées sorties de l'interface du routeur sur Net1 pour ne pas
bloquer les demandes de connexions de Net2 qui s'arrêteraient à la
passerelle.
Kerio semble être stateful.
(Soit dit en passant, sous Linux, ce serait un jeu d'enfant avec IPTables
et netfilter)
Je ne connais pas Kerio mais ta problématique correspond en gros à
protéger un réseau local (Net1) d'Internet (Net2) tout en laissant un
serveur accessible (ta passerelle) dans une DMZ.
J'espère que ces quelques éléments pourront t'être utiles.
Le Mon, 12 Sep 2005 15:24:35 +0000, Andrea a écrit :
J'ai un ordinateur passerelle qui possède 2 cartes réseaux , une à 10.50.x.193 reliée au réseau 10.50.x.x et l'autre en 192.168.x.23 reliée au réseau 192.168.x.x. Ce poste fait le routage entre les 2 réseaux.
Pour l'instant, le reseau 10.50.x.x communique bien avec le 192.168.x.x et vice versa. ---
Ok. Pour résumer : Net1 (192.168.x.x) - Routeur - Net2 (10.50.x.x) Pour le moment, Net1 communique avec Net2 et inversement. Tu voudrais que Net1 puisse aller vers Net2 mais que Net2 ne puisse pas aller vers Net1 (en lui laissant la possibilité d'accéder au routeur). Il faut donc en effet ajouter un firewall qui empèchera Net2 d'aller vers Net1 tout en laissant Net2 répondre aux requêtes de Net1, car si on bloque le retour des paquets, les deux réseaux ne communiquent plus du tout (c'est l'expérience que tu as faite). Il faut donc que le routeur soit "stateful", c'est-à-dire qu'il soit capable de détecter si les paquets qu'ils reçoit sont des initialisations de connexion, ou des réponses à une connexion existante (en gros). En langage courant, il faut écrire les règles suivantes : Tout le trafic de Net1 doit pouvoir aller vers Net2 Tout le trafic de Net2, dont les connexions ont été établies (donc pas les nouvelles) doit pouvoir aller vers Net1. Enfin, comme tu veux que les deux réseaux puissent accéder sans problème à la passerelle, il faut en effet placer les règles au niveau des entrées sorties de l'interface du routeur sur Net1 pour ne pas bloquer les demandes de connexions de Net2 qui s'arrêteraient à la passerelle.
Kerio semble être stateful. (Soit dit en passant, sous Linux, ce serait un jeu d'enfant avec IPTables et netfilter) Je ne connais pas Kerio mais ta problématique correspond en gros à protéger un réseau local (Net1) d'Internet (Net2) tout en laissant un serveur accessible (ta passerelle) dans une DMZ.
J'espère que ces quelques éléments pourront t'être utiles.
-- NSZ
Kevin Denis
Le 12-09-2005, Andrea a écrit :
J'ai un ordinateur passerelle qui possède 2 cartes réseaux , une à 10.50.x.193 reliée au réseau 10.50.x.x et l'autre en 192.168.x.23 reliée au réseau 192.168.x.x. Ce poste fait le routage entre les 2 réseaux.
Pour l'instant, le reseau 10.50.x.x communique bien avec le 192.168.x.x et vice versa.
Mon problème est que je voudrais que les postes du reseau 10.50.x.x puisse accéder au poste passerelle, mais pas au réseau 192.168.x.x.
Par contre , il faudrait que les poste de 192.168.x.x puissent communiquer avec les 10.50.x.x. et avec le poste passerelle .
J'ai donc tester avec un firewall, Looknstop ou kerio , et ça ne fonctionne pas . J'ai mis le firewall sur la carte 192.168.x.x de l'ordinateur passerelle et j'ai créer un filtre qui empêche les 10.50.x.x en entrée sur la carte 192.168.x.x . mia quand je fais ça , plus rienne fonctionne. Le routage ne se fait plus et donc les 192.168.x.x n'ont plus acces au 10.50.x.x .
C'est normal. Une communication reseau est generalement une suite de
transferts dans les deux sens (question, puis reponse), si tu bloques tous les retours, bing -> plus de reseau.
Que faire?
Utiliser un firewall plus evolue. Les firewall statefull sont capables
de savoir qui initie une connection, et quels retours proviennent d'une connection initee par un autre. [ Je ne connais pas le monde des firewall sous windows, donc je ne pourrais pas te dire s'il existe un firewall de ce genre. ] -- Kevin
Le 12-09-2005, Andrea <andrea.amorim@free.fr> a écrit :
J'ai un ordinateur passerelle qui possède 2 cartes réseaux , une à
10.50.x.193 reliée au réseau 10.50.x.x et l'autre en 192.168.x.23 reliée au
réseau 192.168.x.x. Ce poste fait le routage entre les 2 réseaux.
Pour l'instant, le reseau 10.50.x.x communique bien avec le 192.168.x.x et
vice versa.
Mon problème est que je voudrais que les postes du reseau 10.50.x.x puisse
accéder au poste passerelle, mais pas au réseau 192.168.x.x.
Par contre , il faudrait que les poste de 192.168.x.x puissent communiquer
avec les 10.50.x.x. et avec le poste passerelle .
J'ai donc tester avec un firewall, Looknstop ou kerio , et ça ne fonctionne
pas .
J'ai mis le firewall sur la carte 192.168.x.x de l'ordinateur passerelle et
j'ai créer un filtre qui empêche les 10.50.x.x en entrée sur la carte
192.168.x.x . mia quand je fais ça , plus rienne fonctionne. Le routage ne
se fait plus et donc les 192.168.x.x n'ont plus acces au 10.50.x.x .
C'est normal. Une communication reseau est generalement une suite de
transferts dans les deux sens (question, puis reponse), si tu bloques
tous les retours, bing -> plus de reseau.
Que faire?
Utiliser un firewall plus evolue. Les firewall statefull sont capables
de savoir qui initie une connection, et quels retours proviennent
d'une connection initee par un autre.
[ Je ne connais pas le monde des firewall sous windows, donc je ne pourrais
pas te dire s'il existe un firewall de ce genre. ]
--
Kevin
J'ai un ordinateur passerelle qui possède 2 cartes réseaux , une à 10.50.x.193 reliée au réseau 10.50.x.x et l'autre en 192.168.x.23 reliée au réseau 192.168.x.x. Ce poste fait le routage entre les 2 réseaux.
Pour l'instant, le reseau 10.50.x.x communique bien avec le 192.168.x.x et vice versa.
Mon problème est que je voudrais que les postes du reseau 10.50.x.x puisse accéder au poste passerelle, mais pas au réseau 192.168.x.x.
Par contre , il faudrait que les poste de 192.168.x.x puissent communiquer avec les 10.50.x.x. et avec le poste passerelle .
J'ai donc tester avec un firewall, Looknstop ou kerio , et ça ne fonctionne pas . J'ai mis le firewall sur la carte 192.168.x.x de l'ordinateur passerelle et j'ai créer un filtre qui empêche les 10.50.x.x en entrée sur la carte 192.168.x.x . mia quand je fais ça , plus rienne fonctionne. Le routage ne se fait plus et donc les 192.168.x.x n'ont plus acces au 10.50.x.x .
C'est normal. Une communication reseau est generalement une suite de
transferts dans les deux sens (question, puis reponse), si tu bloques tous les retours, bing -> plus de reseau.
Que faire?
Utiliser un firewall plus evolue. Les firewall statefull sont capables
de savoir qui initie une connection, et quels retours proviennent d'une connection initee par un autre. [ Je ne connais pas le monde des firewall sous windows, donc je ne pourrais pas te dire s'il existe un firewall de ce genre. ] -- Kevin
