[Tuto][Débutant] IPCOP

[rjcab]

sALUT!

Par ex:

Date: 01/26 23:23:52 Nom: (http_inspect) DOUBLE DECODING ATTACK

Priorité: n/a Type: n/a

Informations sur l'adresse IP: MON_IP:33645 -> 213.91.8.214:80

Références: aucune entrée trouvée SID: n/a

concrètement ca veut dire quoi??

Merci

[Noursounet]

Tout d'abord bravo et merci pour ton très efficace tutoriel. J'ai malheureusement un petit soucis: Une fois l'installation terminée (après le redemmarage), ya une invite de commande qui me demande un login et la: si je met root en login et le mot de passe que j'ai configuré, ca me met "No mail. root@ipcop:". Mais si je met "admin" en login et le mot de passe que j'ai configuré, ce me dit "login incorrect". je comprends pas. Pendant l'installation quand il faut configurer les cartes et les IP voila ce que j'ai mis (sachant que j'ai une freebox avec la fonctionnalité NAT activée):

Au niveau de ma freebox:

- Passerelle par defaut: 192.168.0.254

- DHCP activé (ip allant de 192.168.0.1 à 192.168.0.50)

eth0: carte realtek 8139 fast ethernet (interface verte donc)

- Adresse IP: 192.168.1.1 (j'ai attribué la plage 192.168.1.50 à 192.168.1.60 pour le DHCP d'ipcop)

- Masque: 255.255.255.0

eth1: nVidia nForce (interface rouge donc)

-Adresse IP: 192.168.0.1

-DNS Primaire: celui de free (212.27.32.5)

-DNS Secondaire: celui de free(212.27.32.176)

-Passerelle par defaut: 192.168.0.254 (normal quoi *sniff*)

Si ca se trouve ca ne vient pas de la configuration IP de mes cartes mais c'est juste au cas ou.

Je précise que je n'ai pas dérapé quand il a fallu que je rentre les mots de passe root et admin.

Alors je me pose plein de questions du genre "Doit-je désactiver les fonctions NAT de la freebox" ou alors "dois-sauter du 10ème étage de mon immeuble".

Sur ce je vais me coucher avec une frustration extrèmement pesante lol.

Je vous remercie d'avance pour vos réponses. A bientot

[ano_635029097433538758]

Quel est ta question ?

Le mot de passe admin est juste pour l'interface web , root pour la ligne de commande .

[Noursounet]

désolé j'avais pas compris que l'interface web était accessible depuis une machine cliente. Cependant je profite de ce message pour poser une question digne d'un noob: Quel type de cable dois-je mettre entre l'interface verte du pc IPCop et le Hub? Droit ou croisé? Et est ce qu'un routeur (ou un switch) fonctionnerai à la place d'un hub ? Parce que si je branche un pc sous winXP directement (avec un cable croisé) sur l'interface verte du PC IPCOp ca ne fonctionne pas. J'ai egalement essayé avec un cable droit et ca ne fonctionne pas non plus... Merci pour vos réponses.

Cordialement..

[ano_635029097433538758]

Pour ça je te renvois directement sur la doc :

http://www.ipcop.org/1.4.0/fr/install/html...orange-computer

http://www.ipcop.org/1.4.0/fr/install/html

[fereac]

Bonjour,

J'ai installé IPCop sur une vieille machine (Cyrix166+). Tout s'est parfaitement bien passé. Mon seul souci est que je n'arrive pas à joindre l'interface de gestion.

Ma configuration est la suivante:

Internet --FREEBOX-----IPCOP(Cyrix166+)---ROUTEUR NETGEAR FA311--Réseau

L'adresse sur le reseau rouge d'IPCOP en 192.168.0.101

L'adresse sur le réseau vert d'IPCOP est 192.168.1.1

L'adresse du routeur NETGEAR coté IPCOP est 192.168.1.200

L'adresse du routeur NETGEAR coté LAN est 192.168.3.1 et les adresses des machines sur le LAN sont 192.168.3.xx

J'arrive bien à accéder à l'interface de gestion du routeur NETGEAR mais pas moyen d'ateindre IPCOP.

Quelqu'un peut-il me donner un conseil ?

Merci

[uranus49]

Bonjour,

J'ai installé IPCop sur une vieille machine (Cyrix166+). Tout s'est parfaitement bien passé. Mon seul souci est que je n'arrive pas à joindre l'interface de gestion.

Ma configuration est la suivante:

Internet --FREEBOX-----IPCOP(Cyrix166+)---ROUTEUR NETGEAR FA311--Réseau

L'adresse sur le reseau rouge d'IPCOP en 192.168.0.101

L'adresse sur le réseau vert d'IPCOP est 192.168.1.1

L'adresse du routeur NETGEAR coté IPCOP est 192.168.1.200

L'adresse du routeur NETGEAR coté LAN est 192.168.3.1 et les adresses des machines sur le LAN sont 192.168.3.xx

J'arrive bien à accéder à l'interface de gestion du routeur NETGEAR mais pas moyen d'ateindre IPCOP.

Quelqu'un peut-il me donner un conseil ?

Merci

Ce que je ne comprend pas, c'est que tu mettes un routeur en plus. Pour ta configuration, il vaudrait mieux que ton routeur soit passé en mode switch ou hub (n'importe).

Tu peux peut etre configurer plus en profondeur le routeur netgear. Test si tu peux pinger IPCop et/ou la Freebox.

Je ne connait pas les routeurs netgear, mais regarde un peu la configuration, il est possible que tu te bloque l'acces.

[fereac]

Ce que je ne comprend pas, c'est que tu mettes un routeur en plus. Pour ta configuration, il vaudrait mieux que ton routeur soit passé en mode switch ou hub (n'importe).

Tu peux peut etre configurer plus en profondeur le routeur netgear. Test si tu peux pinger IPCop et/ou la Freebox.

Je ne connait pas les routeurs netgear, mais regarde un peu la configuration, il est possible que tu te bloque l'acces.

Merci du conseil, je vais me pencher sur la config du netgear et sans doute la laisser en mode switch

[jeidai62]

Bon j ai bien avancé mais j'ai quelques petites questions.

1- Quel est le but qu'IPCOP sache gérer plusieurs interfaces RED?

2- Comment connaitre l'adresse IP de l'interface RED lorsque je suis en DHCP ?

ps: C'est pour l'intall de NMAP. Au fait de quel NMAP s'agit il ?? car sur Sourceforge ya 79 resultats

3- Pourquoi le DHCP d'IPCOP gérer t'il un bail minimum et maximum?

J'ai aussi un petit problème , car lorsque je configure BOT je n'arrive pas a accerder à INTERNET depuis ma machine qui est sur GREEN.

J'ai ouvert les ports 53 80 .

Merci les gars

[uranus49]

1- Ipcop peut gerer plusieurs interfaces VERTES pour faciliter l'administration. Il n'ya pas d'interet a a voir deux interfaces rouges je pense. Peut etre que je comprends mal la question ;p

2- La commande "ifconfig" directement sur IPCop permet de connaitre les adresses IP des interfaces verte et rouge.

tu peux aussi utiliser Putty (voir tuto)

nmap est un sniffer de reseau, un analyseur de trames. Il faut telecharger le plugin a l'adresse indiquée dans le tuto

3- Tu peux virer la gestion des baux. maximum etminimum servent si plusieurs machines demandent des baux en meme temps.

Pour ta derniere question, tout est mis aussi dans le tuto. C'est sur Ipcop qu'il faut ouvrir les ports, dans la configuration du BOT. verfie aussi que BOT est activé.

Si tu as d'autres questions n'hesite pas a ecrire. bonne journée.

[little.minx]

Bonjour ;

je me fais la main depuis peu sur Ipcop.

Il est installé avec ces paramétres:

Green

Ip : 10.121.28.7

Red

Ip : 184.2.127.173

passerelle : 184.2.127.174 (=mon modem Belkin tous ports ouvert)

Dns ceux de mon FAI

Voila mon but est de maintenant pouvoir prendre la main sur mes serveurs 2003 (via le bureau à distance , bien évidemment en interne la manip fonctionne parfaitement) qui sont sur l'interface Green.

Par exemple sur celui qui porte l'ip 10.121.28.1

J'ai fais le transfert de port sur l'ipcop comme ceci :

Proto -> TCP

Source -> DEFAULT IP : 3389

Destination -> 10.121.28.1 : 3389

Remarque -> Bureau a distance

Accès autorisé depuis : L'ip de chez moi

Bilan:

Rien à faire la connexion ne passe pas.....

Voici ce que j'obtiens quand je tape cette commande: /sbin/iptables -L -v -n -t nat

pkts bytes target prot opt in out source destination

0 0 DNAT tcp -- * * 0.0.0.0/0 184.2.127.173 tcpdpt:3389 to:10.121.28.1:3389

Donc cela veut bien dire que ceux qui tape à l'adresse 184.2.127.173 sur le port 3389 sont redirigés vers le 10.121.28.1:3389 qui est l'adresse d'un me mes serveurs 2003 sur l'interface Green.

De plus lorsque je tape : /sbin/iptables -L -v -n

Chain XTACCESS (1 references)

pkts bytes target prot opt in out source destination

0 0 ACCEPT tcp -- eth1 * mon Ip Chez moi 184.2.127.173 tcp dpt:3389

donc mon Ip chez moi est bien autorisée à taper sur le port 3389. Ipcop devrait donc me rediriger vers le serveur interne sur ce même port ......et pourtant non.

J'ai vraiment l'impression d'être bête. Tout le monde arrive à le faire marcher sauf moi

Quelqu'un peut me conseiller SVP ? Je deviens fou

[uranus49]

Essai de changer le port du bureau a distance ici : http://www.generation-nt.com/astuces/lire/...eau-a-distance/

Donc tu pourras mapper depuis un autre port.

Il faut aussi que tu penses dans les propriétés systemes de windows 2003, onglet "utilisation a distance", que ton utilisateur est bien autorisé a prendre la main a distance sur le serveur.

Pour moi, tu n'as pas les droits d'utiliser le bureau a distance en l'etat actuel des choses.

Redis nous si ca marche ou pas.

bonne journée

edit : excuse pour le retard de la reponse

reedit : que se passe-t-il lorsque tu te connecte? quel est le message d'erreur? essai aussi de te logguer de la sorte "nom_de_domaine_NETBios\ton_user". essai aussi avec un simple slash ou lieu de l'antislash

[little.minx]

En interne tout marche trés bien , quand je suis dans mon réseau local je gére mes serveurs 2003 qu'avec le bureau à distance. -> Donc pas de problème de droits.

Par contre quand je veux me connecter via le bureau à distance depuis chez moi rien à faire cela ne marche pas .

J'ai plusieurs 2003 , certains sont sur le port 3389 et tous les autres sur des ports différents . Mais pour autant je n'arrive pas à me connecter.

[uranus49]

Y a t il un message d'erreur lorsque tu souhaites te connecter?

Arrive tu a pinger correctement le firewall et/ou le routeur de ce reseau?

As tu essayez de publier un site web ou ftp pour y acceder? est ce que cela fonctionne?

Je te conseils sinon d'utiliser VNC. c'est un logiciel de prise en main distante (tu dois forcement le connaitre http://www.google.fr/search?hl=fr&q=vnc&meta= ) Tu pourras changer le port d'ecoute en fonction des machines que tu souhaite prendre en main. Tu peux aussi prendre Prorat pour faire style que t un vrai c0wb0ys

Si cela ne fonctionne pas avec VNC, redis le nous. Par contre si cela fonctionne, c'est qu'il y a un probleme sur la configuration de l'acces distant sur le server 2003

[little.minx]

Oui il y a le message d'erreur par défaut de microsoft. Celui que tu as quand sur l'ordi cible tu n'as pas coché la prise en main à distance.

Oui je pingue l'adresse Ip de la carte red de mon Ipcop.

Vnc ne fonctionne pas depuis l'extérieur.

Les deux prises en main à distance ( bureau à distance ; VNC ) marchent en interne.

Je pense que mon probléme est :

La redirection des ports sur l'Ipcop.

Cela est-il correct :

Régles de redirection

1,0,tcp,3389,10.211.38.5,3389,on,0.0.0.0,0,

1,1,tcp,0,10.211.38.5,3389,on,0,87.90.33.93,

2,0,tcp,5900,10.211.38.5,5900,on,0.0.0.0,0,

2,1,tcp,0,10.211.38.5,5900,on,0,87.90.33.93,

Régle accés externes:

tcp,0.0.0.0/0,113,on,0.0.0.0

tcp,87.90.33.93,445,on,0.0.0.0,

tcp,87.90.33.93,81,on,0.0.0.0,

tcp,87.90.33.93,222,on,0.0.0.0,

tcp,87.90.33.93,44123,on,0.0.0.0,

tcp,87.90.33.93,3389,on,0.0.0.0,

tcp,87.90.33.93,5900,on,0.0.0.0,

[uranus49]

Ce que tu appelles "regles de redirection", c'est le routage des ports? ... et les regles d'acces externe sont la configuration du BOT?

Je serai toi, je supprimerai l'acces bureau a distance dans les regles du BOT car lorsque tu créer une regle pour entrer sur un port, Ipcop prevoit qu'il y aura du traffic sortant et l'autorise alors a sortir. "ce qui est autorisé a entrer est autorisé a sortir" lorsque la connexion est effectué depuis l'exterieur. Re lis la configuration du BOT (lu dans la partie 4 du tuto)

J'imagine aussi que tu ne sors pas le port 3389 depuis le reseau en question.

Essai donc cela.

[little.minx]

Ce que tu appelles "regles de redirection", c'est le routage des ports?

Oui , dans l'onglet pare-feu -> transferts de ports.

... et les regles d'acces externe sont la configuration du BOT?

je sais pas. Se sont les régles qui se trouvent dans l'onglet pare-feu -> accés externes

Je serai toi, je supprimerai l'acces bureau a distance dans les regles du BOT car lorsque tu créer une regle pour entrer sur un port, Ipcop prevoit qu'il y aura du traffic sortant et l'autorise alors a sortir. "ce qui est autorisé a entrer est autorisé a sortir" lorsque la connexion est effectué depuis l'exterieur.

J'ai donc supprimé les régles d'accés externes , mais toujours pas d'accés avec vnc ou le bureau à distance.

Re lis la configuration du BOT (lu dans la partie 4 du tuto)

Tu peux me trasmettre l'url de la partie 4 du tuto STP

[uranus49]

d'accord, l'acces externe ne sert donc que pour l'interface d'administration de IPCop a distance. Il vaut mieux laisser les reglages d'origine.

La partie 4 du tuto est ici : http://www.pcinpact.com/forum/index.php?showtopic=78177 soit la page 1

Le BOT (block out traffic) permet de restreindre l'acces des machines protegée en sortie.

Note que certaines regles de strategie de groupes peuvent empecher le dialogue bureau a distance mais la ca deviendrai un probleme microsoft.

As tu essayer avec un windows XP pro? avec xp pro, cela foctionne, testé et approuvé..

est ce que la redirection des ports marche pour un autre service que le 3389 (acces distant) ?

essai aussi en reinstallant Ipcop et en suivant le tuto pas a pas. En tout cas si il y ' a quelqu'un qui a le meme probleme, merci d'en faire part

[uranus49]

Les images de ce tuto ont disparue !

Des que j'aurai un peu de temps je les remettrai. en attendant, pour tous ceux qui souhaitent avoir les images, envoyez moi un MP avec votre email afin que je vous envoie le tuto en PDF.

Merci de votre compréhension.

[ra.larronde]

Bonjour.

J'aurais besoin d'une petite aide.

J'ai installé ipcop en version red-orange-green, dans le but de protéger un réseau (sur la patte verte) et de laisser l'accès total sur la patte DMZ (firewall et routeur)

EN green : reseau en 192.168.0.x

En DMZ : serveur sous linux en 192.168.2.x gérant un réseau (salle informatique).

J'aimerais pouvoir rediriger totalement l'entrée entre la patte red et la patte dmz afin de pouvoir accèder de l'extérieur au serveur sous linux.

Cela est-il possible ?

Si oui comment ?

Merci d'avance

[little.minx]

Perso j'ai une Ipcop avec Pattes verte , rouge et bleu.... Pour pouvoir prendre la main sur mes serveurs dans le green j'ai installé OpenVpn sur Ipcop Telechargeable Ici !

Cela marche du feu....Cela fait 6 mois que notre Ipcop est en production et c'est que du BONHEUR...Aussi bien pour les utilisateurs qui peuvent accéder à leurs espaces personnels que pour l'Administrateur. (qui peut travailler depuis la maison comme s'il était sur son lieu de travail. )

Bien évidemment si tu veux prendre la main à distance sur tes machines il faut quelles aient l'IpCop comme passerelle par défaut.

Bon courage !

[Fatcaps]

Bonjour,

je viens d'installer un IPCOP et j'essai de le configurer totalement avant de le mettre en place sur réseau.

Mon schéma (simplifié) pour l'instant :

Freebox (DHCP actif)> switch

| |

| |

| |

| XP PRO

|

|

IPCOP

A terme je voudrais faire : Freebox > IPCOP (DHCP actif) > switch > PC

Je rencontre de grosses difficultés après pls minutes d'utilisation du serveur pour accéder à l'interface graphique, il me met :

"Délai d'attente dépassé

Le serveur à l'adresse 192.168.0.252 met trop de temps à répondre"

Pourtant je ping bien dans les 2 sens

Quelqu'un aurait une idée de ce problème ?

[Fatcaps]

Petit up ^^ le post à l'air d'être mort ...

[little.minx]

Peux-tu me donner plus de détail sur ta config :

- Quel schema as-tu choisi ?

- Quels sont les différents paramétres de tes cartes réseaux ?

[Fatcaps]

Le schéma décris plus haut a été faussé lors de la mise en ligne du post :

Pour l'instant la situation est telle que : Freebox > switch > IPCOP + Pc 1+ Pc 2

Je voudrais mettre à terme IPCOP en tant que routeur, firewall, DHCP et NTP entre ma freebox et mon switch.

La machine hébergeant IPCOP est un PII 450 avec 3 cartes réseau 3COM, la 1ere gère le Green avec en IP 192.168.0.252, la 2de gere le Red avec 192.168.0.253.

Le switch possède lui l'adresse 192.168.0.1, la freebox 192.168.0.254, mes ordi 192.168.0.2 et .3 avec une plage DHCP pouvant accueillir 7 autres PC, pour l'instant géré par la freebox, tant que mon IPCOP ne sera pas totalement finalisé.

Mon souci est donc le fait que le PII doit se mettre en veille, apparement et implique donc que je lance un ping du firewall vers une machine de mon réseau pour que celle-ci se "réveille".

Ce qui est assez génant car j'interviens sur elle en ssh via putty, et je ne peux me connecter sur elle qd elle est en veille ... Il faut que je débranche clavier et ecran de mon PC principal pour les mettre sur le PII et que je lance le ping pur pouvoir me reconnecter via putty et WinSCP.

Je suis entrain de tester un programme de Wol sous XP, je vais voir si ça peut marcher.

Mon souci sera par la suite de devoir réveiller ma machine via un VPN... et là je suis pas sûr qu'un magic paquet puisse traverser la toile comme ca ...

Je serais à nouveau sur le forum demain dans la journée, dès que mon boulot m'offre une pause et le soir même devant mes machines où de là je pourrais te donner ttes les précisions que tu voudras ^^

Je te remercie de ta réponse. Bonne fin de weekend !