Rejoindre un domaine depuis une autre interface du Firewall - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 29-03-2013 à 22:06:59
Salut, as tu vérifié les logs sur IPCOP ? J'en ai installé mais je me souviens plus trop comment c'est foutu. Si tu peux filtrer par IP tu devrait pouvoir voir ce qui bloque une machine souhaitant rejoindre le domaine.
Marsh Posté le 29-03-2013 à 17:23:55
Si un modo peut me déplacement le topic en réseau pro, je lui en serais reconnaissant. Merci
Bonjour à tous, me voici de retour pour vous jouer un mauvais...
Alors voila, a priori le sujet que je vais traiter à déjà fait l'objet d'un topic datant de 2010/2011. Et ne répondant pas aux questions que je me pose, j'ai donc décider d'en ouvrir un nouveau.
Afin que tous le monde puissent comprendre je vais tenter de décrire au mieux mon architecture dans un premier temps, puis le(s) problème(s) que je rencontre.
Materiel:
- Des postes clients (win 7, vista, win8).
- Firewall IPCOP 2.0.6
- Serveur 2003 (oui encore lui ) avec AD, controleur de domaine (nom de domaine: ADtest.local)
Configuration du firewall:
Interface Rouge: coté Internet (donc vers mon routeur FAI)
Interface Verte: réseau local, @réseau: 10.101.0.0/16 @interface: 10.101.0.1
Interface Bleu: réseau local restreint (j'en reparle après), @réseau: 10.104.0.0/16, @interface: 10.104.0.1
Interface Orange: pas de rapport avec le(s) problème(s) donc osef.
Alors pour le réseau sur l'interface Bleu, c'est le réseau où les développeurs pourrons utiliser Internet. Mais ne pas avoir accès aux serveur qui son situer dans le réseau Vert SAUF l'active directory afin qu'il puisse se loggé.
Coté restrictions, sur toutes les interfaces sont en mode "fermée", donc rien n'est autorisé.
Les besoins sont les suivants:
- Réseau Vert doit avoir accès aux services suivants (http, https, imap, imaps, pop3, pop3s, smtp, dns)
Les utilisateurs sont loggés sur le domaine, et peuvent allez sur Internet, utiliser leur messagerie.
- Réseau Bleu doit avoir accès au services suivants (http, https, dns)
Donc allez sur Internet tranquille.
Mais ils doivent être loggué sur le domaine. Du coup j'ai ajouter les services suivants (ldap, ldaps, epmap, kerberos, microsoft-ds, msft-gc et msft-gc-ssl). Cette liste que j'ai pris sur le site de microsoft.
J'ai donc réalisé une matrice de flux entre les interfaces: désolé c'est pas super beau
Services utilisés IP Source Port Source IP Destination Port Destination Valeur
Ipcop https 10.101.0.10 (admin) * 10.101.0.1 (ipcop) TCP 8443 autoriser
Ipcop https * * 10.101.0.1 (ipcop) TCP 8443 refuser
Http 10.104.0.0/16 * * TCP 80 autoriser
Https 10.104.0.0/16 * * TCP 443 autoriser
DNS 10.104.0.0/16 * IP DNS TCP/UDP 53 autoriser
Http 10.101.0.0/16 * * TCP 80 autoriser
Https 10.101.0.0/16 * * TCP 443 autoriser
POP3 10.101.0.0/16 * 178.xxx.xxx.xxx TCP 110 autoriser
POP3 SSL 10.101.0.0/16 * 178.xxx.xxx.xxx TCP 995 autoriser
SMTP 10.101.0.0/16 * 178.xxx.xxx.xxx TCP 587 autoriser
IMap 10.101.0.0/16 * 178.xxx.xxx.xxx TCP/UDP 143 autoriser
IMap SSL 10.101.0.0/16 * 178.xxx.xxx.xxx TCP 993 autoriser
DNS 10.101.0.0/16 * IP DNS TCP/UDP 53 autoriser
LDAP 10.104.0.0/16 * 10.101.0.5 (serveur ldap)TCP/UDP 389 autoriser
LDAP SSL 10.104.0.0/16 * 10.101.0.5 TCP/UDP 636 autoriser
DNS 10.104.0.0/16 * 10.101.0.5 TCP/UDP 53 autoriser
EPMAP (RPC EMC)10.104.0.0/16 * 10.101.0.5 TCP/UDP 135 autoriser
Msft-GC 10.104.0.0/16 * 10.101.0.5 TCP/UDP 3268 autoriser
Msft-GC-SSL 10.104.0.0/16 * 10.101.0.5 TCP/UDP 3269 autoriser
Kerberos 10.104.0.0/16 * 10.101.0.5 TCP/UDP 88 autoriser
Microsoft-ds 10.104.0.0/16 * 10.101.0.5 TCP 445 autoriser
Service Miscrosoft-ds = SMB, DFS, LsaRPC,Nbtss, NetLogonR, SamR, SrvSrc
Voila ma matrice. Donc j'ai mis en place ces règles sur mon IPCOP.
Résultat:
Réseau Vert:
Toutes les entités présentes dans ce réseau on bien accès seulement aux services autoriser a passer le parfeu. Pas de ftp, pas de icmp.
Les utilisateurs peuvent accéder au domaine.
Réseau Bleu:
L'accès restreint à Internet est bien en place.
Par contre ils ne peuvent pas joindre le Domaine...
Aurais-je oublier des ports à ouvrir ? Ou une fausse manip quelque part ?
Question: Comment faire pour que mes machines coter Réseau Bleu puissent rejoindre le Domaine ?
En esperant avoir été assez clair, je suis dispo si vous voulez des précisions et vous remercie d'avant pour les réponses que ce soit des critiques ou des propositions
Cordialement,
Nckd.
Message édité par nckd le 29-03-2013 à 17:54:00
---------------
#80 WR, FS aux CFA Servals