Rejoindre un domaine depuis une autre interface du Firewall

Rejoindre un domaine depuis une autre interface du Firewall - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 29-03-2013 à 17:23:55    

Si un modo peut  me déplacement le topic en réseau pro, je lui en serais reconnaissant. Merci

 

Bonjour à tous, me voici de retour pour vous jouer un mauvais... [:crapulax:4]

 

Alors voila, a priori le sujet que je vais traiter à déjà fait l'objet d'un topic datant de 2010/2011. Et ne répondant pas aux questions que je me pose, j'ai donc décider d'en ouvrir un nouveau.

 

Afin que tous le monde puissent comprendre je vais tenter de décrire au mieux mon architecture dans un premier temps, puis le(s) problème(s) que je rencontre.

 

Materiel:
- Des postes clients (win 7, vista, win8).
- Firewall IPCOP 2.0.6
- Serveur 2003 (oui encore lui :lol: ) avec AD, controleur de domaine (nom de domaine: ADtest.local)

 

Configuration du firewall:

 

Interface Rouge: coté Internet (donc vers mon routeur FAI)
Interface Verte: réseau local, @réseau: 10.101.0.0/16 @interface: 10.101.0.1
Interface Bleu: réseau local restreint (j'en reparle après), @réseau: 10.104.0.0/16, @interface: 10.104.0.1
Interface Orange: pas de rapport avec le(s) problème(s) donc osef.

 


Alors pour le réseau sur l'interface Bleu, c'est le réseau où les développeurs pourrons utiliser Internet. Mais ne pas avoir accès aux serveur qui son situer dans le réseau Vert SAUF l'active directory afin qu'il puisse se loggé.

 

Coté restrictions, sur toutes les interfaces sont en mode "fermée", donc rien n'est autorisé.

 


Les besoins sont les suivants:

 

- Réseau Vert doit avoir accès aux services suivants (http, https, imap, imaps, pop3, pop3s, smtp, dns)
Les utilisateurs sont loggés sur le domaine, et peuvent allez sur Internet, utiliser leur messagerie.

 

- Réseau Bleu doit avoir accès au services suivants (http, https, dns)
Donc allez sur Internet tranquille.
Mais ils doivent être loggué sur le domaine. Du coup j'ai ajouter les services suivants (ldap, ldaps, epmap, kerberos, microsoft-ds, msft-gc et msft-gc-ssl). Cette liste que j'ai pris sur le site de microsoft.

 


J'ai donc réalisé une matrice de flux entre les interfaces: désolé c'est pas super beau  :(

 


Services utilisés  IP Source          Port Source IP Destination  Port Destination     Valeur

 

Ipcop https        10.101.0.10 (admin)      *       10.101.0.1 (ipcop)     TCP 8443      autoriser
Ipcop https         *                              *       10.101.0.1 (ipcop)     TCP 8443      refuser

 

Http                 10.104.0.0/16              *                *              TCP 80             autoriser
Https                10.104.0.0/16              *                *              TCP 443     autoriser
DNS                 10.104.0.0/16              *            IP DNS                 TCP/UDP 53     autoriser

 

Http                  10.101.0.0/16              *                *              TCP 80             autoriser
Https         10.101.0.0/16              *                     *              TCP 443           autoriser
POP3                10.101.0.0/16              *     178.xxx.xxx.xxx      TCP 110    autoriser
POP3 SSL        10.101.0.0/16              *     178.xxx.xxx.xxx      TCP 995    autoriser
SMTP                10.101.0.0/16              *     178.xxx.xxx.xxx      TCP 587    autoriser
IMap                 10.101.0.0/16              *     178.xxx.xxx.xxx      TCP/UDP 143    autoriser
IMap SSL        10.101.0.0/16              *     178.xxx.xxx.xxx      TCP 993    autoriser
DNS                 10.101.0.0/16              *             IP DNS              TCP/UDP 53     autoriser

 

LDAP                10.104.0.0/16         *     10.101.0.5 (serveur ldap)TCP/UDP 389    autoriser
LDAP SSL        10.104.0.0/16         *     10.101.0.5                TCP/UDP 636    autoriser
DNS                 10.104.0.0/16         *      10.101.0.5                TCP/UDP 53     autoriser
EPMAP (RPC EMC)10.104.0.0/16         *     10.101.0.5                TCP/UDP 135    autoriser
Msft-GC        10.104.0.0/16         *     10.101.0.5                TCP/UDP 3268  autoriser
Msft-GC-SSL      10.104.0.0/16         *     10.101.0.5                TCP/UDP 3269  autoriser
Kerberos        10.104.0.0/16         *     10.101.0.5                TCP/UDP 88     autoriser
Microsoft-ds      10.104.0.0/16         *      10.101.0.5                TCP 445     autoriser
     

 

Service Miscrosoft-ds = SMB, DFS, LsaRPC,Nbtss, NetLogonR, SamR, SrvSrc

 

Voila ma matrice. Donc j'ai mis en place ces règles sur mon IPCOP.

 

Résultat:

 

Réseau Vert:
Toutes les entités présentes dans ce réseau on bien accès seulement aux services autoriser a passer le parfeu. Pas de ftp, pas de icmp.
Les utilisateurs peuvent accéder au domaine.

 

Réseau Bleu:
L'accès restreint à Internet est bien en place.
Par contre ils ne peuvent pas joindre le Domaine...

 

Aurais-je oublier des ports à ouvrir ? Ou une fausse manip quelque part ?

 

Question: Comment faire pour que mes machines coter Réseau Bleu puissent rejoindre le Domaine ?

 


En esperant avoir été assez clair, je suis dispo si vous voulez des précisions et vous remercie d'avant pour les réponses que ce soit des critiques ou des propositions ;)

 

Cordialement,

 


Nckd.


Message édité par nckd le 29-03-2013 à 17:54:00

---------------
#80 WR, FS aux CFA Servals
Reply

Marsh Posté le 29-03-2013 à 17:23:55   

Reply

Marsh Posté le 29-03-2013 à 22:06:59    

Salut, as tu vérifié les logs sur IPCOP ? J'en ai installé mais je me souviens plus trop comment c'est foutu. Si tu peux filtrer par IP tu devrait pouvoir voir ce qui bloque une machine souhaitant rejoindre le domaine.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed