Vous êtes sur la page 1sur 3

FusionForge: Forum : help

https://adullact.net/forum/forum.php?thread_id=315696&forum_id=16...

S'identifier

Nouveau compte

Recherche avance

Accueil

Ma page

Projets

Boite outils

Demande d'aide

ALCASAR

Rsum

Activit

Forums

Documents

Annonces

Fichiers

Site WEB

Surveiller ce forum |

Commencer une nouvelle discussion

RE: alcasar-network [ rpondre ] Par : Grgory H on 2012-01-12 11:57 Ca fonctionne.... mais pas sur Windows.

[forum:477026]

Merci pour la solution car c'est pas mal d'explorer les possibilits de ssh. Par contre vu que j'ai 10 bornes c'est quand mme pas hyper pratique de monter chaque fois le tunnel ssh avant de se connecter dessus. 2 me point un peu gnant : c'est qu'on veut pouvoir grer les bornes depuis Linux ou Windows. Bon y a peut tre quelque chose faire de ce cot l.. 3me point : jesprai pouvoir superviser les bornes avec mon Nagios qui est dans le WAN par rapport Alcasar. S'il faut que celui monte un tunnel avec toute les bornes a commence complexifier l'archi. J'espre qu'on pourra avancer dans les rgles iptables mais en tout cas 'est dj pas mal comme solution. Et surtout a me resservira :D Merci

RE: alcasar-network [ rpondre ] Par : Grgory H on 2012-01-12 09:27 Oui eth1-tun0, le rseau de consultation et les bornes sont dans le mme rseau 192.168.10.0/24. J'accde donc la gestion de mes bornes uniquement depuis le rseau de consult qui est pour moi le rseau invit ou wifi.

[forum:477024]

RE: alcasar-network [ rpondre ] Par : Franck BOUIJOUX on 2012-01-11 17:19

[forum:477020]

Tout coup j'ai un doute et avant d'extrapoller : votre rseau interne ( celui de consultation des clients ct eth1(tun0) , est bien en 192.168.10.x identique votre rseau d'administration des bornes ???

RE: alcasar-network [ rpondre ] Par : serge arcadia on 2012-01-11 16:47 Tu peux tester dans un premier temps en te connectant l'interface d'administration d'alcasar via le wan. ssh -L 10000:@IPLANALCASAR:443 sysadmin@@IPPUBLIC Puis en effet : https://localhost:10000 Si cela marche, il suffit de remplacer l'@ LAN ALCASAR par celle de ta bornes. nota : - La conf alcasar d'iptable n'est pas modifier. "Conf usine :)" - Le service sshd doit tre activ dans l'interface. - Cela ne fonctionne que pour le https... (pas de http). - Je n'ai pas test sous windows...

[forum:477019]

RE: alcasar-network [ rpondre ] Par : Grgory H on 2012-01-11 16:03 Oui effectivement cette rponse plus complexe rpond mieux mon soucis. Merci :D J'ai donc effectu tout ce petit travail, relancer alcasar-iptables.sh et on progresse.

[forum:477018]

J'ai juste modifi -s <@IP_PC> par -s $Admin_from_IP car c'est le mme rseau qui a le droit de se connecter l'interface de gestion alcasar et aux bornes. Dans /var/log/firewall/ext-access.log j'ai Jan 11 15:28:07 alcasar RULE web-WAN-to-BOX -- ACCEPT IN=eth0 OUT=tun0 MAC=00 SRC=IP_CLIENT_PUBLIC DST=192.168.10.21 LEN=52 TOS=00 PREC=0x00 TTL=126 ID=27788 DF PROTO=TCP SPT=33805 DPT=80 SEQ=1406468392 ACK=0 WINDOW=8192 SYN URGP=0 Mais la page web ne s'affiche pas sur mon client. C'est donc sur le retour de connexion que a bloque. J'ai essay avec l'adresse ip en fixe de mon client mais le rsultat est le mme qu'avec $Admin_from_IP Voil ce que j'ai (pour voir si jamais y a une erreur dans ma syntaxe)

1 sur 3

29/01/2012 18:36

FusionForge: Forum : help

https://adullact.net/forum/forum.php?thread_id=315696&forum_id=16...

$IPTABLES -A FORWARD -i $EXTIF -p tcp -s $Admin_from_IP -d 192.168.10.21 --dport http -m state --state NEW --syn -j ULOG --ulog-nlgroup 3 --ulog-prefix "RULE web-WAN-to-BOX -- ACCEPT" $IPTABLES -A FORWARD -i $EXTIF -p tcp -s $Admin_from_IP -d 192.168.10.21 --dport http -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -o $EXTIF -p tcp -s 192.168.10.21 --sport http -d $Admin_from_IP http -m state --state ESTABLISHED -j ACCEPT Si je comprend bien : - la 1er ligne LOG - la 2me accepte les nouvelles connexions et les connexions tablit depuis $Admin_from_IP vers le port 80 de 192.168.10.21 - la 3me fait sortir les connexions tablit sur 192.168.10.21:80 depuis $Admin_from_IP par $EXTIF Question donc : est-ce que 192.168.10.21 connait $EXTIF ? Merci

RE: alcasar-network [ rpondre ] Par : Grgory H on 2012-01-11 15:42 Dans mon cas c'est l'interface de gestion de mes bornes wifi que je veux accder. Celles ci sont en 192.168.10.21, 22 et 23 J'ai jamais trop utilis ssh pour faire du dport de port mais a mintresse de voir comment a marche. Dans ton message je me demande si un partie de ta commande n'a pas t interprt par le forum Sur mon client qui est donc dans le rseau "public" j'ai donc fait ssh -L 10000:192.168.10.21:443 admin@IP_PUBLIC J'ai test le https://localhost:10000 sans succs... Ca marche sur Windows ou il faut forcment un client Unix ?

[forum:477017]

RE: alcasar-network [ rpondre ] Par : Yohan Dubanchet on 2012-01-11 13:35 Bonjour, Une autre solution, qui devrait fonctionner pour https ( pas http sur 80 en l'tat...) est possible. Vous devez activer le sshd dans l'interface de gestion. Depuis votre poste distant, vous montez le tunnel ssh avec un dport de port. ssh -L 10000:@IP_POINTACCES:443 sysadmin@@IP_PUBLIC Le port 10000 de votre machine locale va tre retransmis travers le tunnel sur le port 443 de votre lment actif administrer. Ensuite dans votre navigateur vous pouvez saisir https://localhost:10000 et vous devriez accder votre interface de gestion. Cordialement,

[forum:477010]

RE: alcasar-network [ rpondre ] Par : Franck BOUIJOUX on 2012-01-10 21:00 Bonsoir, attention !!!

[forum:477001]

Certes il y a un bug dans le script alcasar-iptables-bypass.sh concernant le fichier de configuration qui a chang de nom lors de la dernire version et trs bien relay dans le post prcdent. Mais le script alcasar-iptables-bypass.sh ne sert qu' court-circuiter le fonctionnement normal du portail en conservant uniquement un enregistrement des traces rseaux ... pas court-circuiter des rgles de parefeu avec un portail fonctionnel. Pour rpondre votre problmatique, le problme est plus 'grave' que ma rponse initiale ... En effet, il faut que depuis un PC situ dans le rseau du WAN, celui-ci puisse atteindre le rseau LAN de consultation ... C'est loin d'tre nativement le cas !... Dj il vous faudrait dire votre PC que pour joindre les Bornes WIFI qui se trouvent dans le rseau de Consult, il faut emprunter la patte WAN (eth0) du portail ; qu'ensuite on autorise les flux traverser le portail de eth0 vers eth1 et que si possible on limite tout de mme les accs et le tout sans que lors de mises jour cela mette le caillon ... Le problme est quand mme de gnrer des rgles qui ne vienne tpas troubler le fonctionnement du portail. En effet, les flux qui sortent du portail sont masquerader (c'est dire masque le rseau de consultation) ... Il faut donc gnrer des rgles spcifiques suffisamment prcises pour qu'elles soient prioritaires sur les rgles du portail. Il vous dj bien identifier les @IP des bornes et tant qu' faire la machine qui vous servira adominsitrer celles-ci. Avec ces lments, il y aura possibilit de fabriquer des rgles suffisantes pour accder vos bornes. du genre : $IPTABLES -A FORWARD -i $EXTIF -p tcp -s <@IP_PC> -d <@IP_borne1> --dport http -m state --state NEW --syn -j ULOG --ulog-nlgroup 3 --ulog-prefix "RULE web-WAN-to-BOX -- ACCEPT" $IPTABLES -A FORWARD -i $EXTIF -p tcp -s <@IP_PC> -d <@IP_borne1> --dport http -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -o $EXTIF -p tcp -s <@IP_borne1>--sport http -d <@IP_PC> -m state --state ESTABLISHED -j ACCEPT Ensuite mon problme est qu'il faudrait je pense toucher une des rgles fondamentale du script alcasar-iptables.sh ( script fondamental dans le fonctionnement) et qui en plus chaque mise jour ; en rsum, il faudrait modifier la rgle # Dynamic NAT on EXTIF $IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE

2 sur 3

29/01/2012 18:36

FusionForge: Forum : help

https://adullact.net/forum/forum.php?thread_id=315696&forum_id=16...

par $IPTABLES -A POSTROUTING -t nat ! -d <@IP_PC> -o $EXTIF -j MASQUERADE Notez le "!" qui permettra de ne masque que ce qui n'est pas destination de votre PC ( les trames retour des connections.) :-) Vous testez ? :-)

RE: alcasar-network [ rpondre ] Par : rd d2 on 2012-01-10 13:09 bonjour tu devrais avoir la reponce a ton probleme ici http://adullact.net/forum/forum.php?thread_id=315478&forum_id=1739&group_id=450 bonne journee

[forum:476986]

RE: alcasar-network [ rpondre ] Par : Franck BOUIJOUX on 2012-01-09 20:28 Bonsoir, l'accs se fait par le biais de l'interface externe ( eth0 ) --> EXTIF et il vous manque galement la rgle de retour du portail vers le LAN extrieur. Aussi, je mettrai plutt ceci :

[forum:476980]

$IPTABLES -A INPUT -i $EXTIF -p tcp --dport http -m state --state NEW --syn -j ULOG --ulog-nlgroup 3 --ulog-prefix "RULE web-WAN-to-BOX -- ACCEPT" $IPTABLES -A INPUT -i $EXTIF -p tcp --dport http -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTIF -p tcp --sport http -m state --state ESTABLISHED -j ACCEPT et pour le SSH : $IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -m state --state NEW --syn -j ULOG --ulog-nlgroup 3 --ulog-prefix "RULE ssh-WAN-to-BOX -- ACCEPT" $IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A OUTPUT -o $EXTIF -p tcp --sport ssh -m state --state ESTABLISHED -j ACCEPT Ensuite, il faut lancer le script : alcasar-iptables.sh Celui-ci appelera le script alcasar-iptables-local.sh au bon moment :-)

alcasar-network [ rpondre ] Par : Grgory H on 2012-01-09 10:45 Bonjour, Je cherche a accder mes bornes wifi (http, ssh) depuis mon rseau extrieur donc je me bat avec /usr/local/etc/alcasar-iptables-local.sh. J'ai donc mis

[forum:476978]

$IPTABLES -A INPUT -i $INTIF -p tcp --dport http -m state --state NEW --syn -j ULOG --ulog-nlgroup 3 --ulog-prefix "RULE web-WAN-to-BOX -- ACCEPT" $IPTABLES -A INPUT -i $INTIF -p tcp --dport http -m state --state NEW,ESTABLISHED -j ACCEPT Bon ca marche pas mais afin de pouvoir tester j'ai lanc /usr/local/bin/alcasar-iptables-bypass.sh et l plein d'erreurs : grep: /usr/local/etc/alcasar-network: Aucun fichier ou dossier de ce type ipcalc: ip address expected ....

Effectivement je n'ai pas le fichier /usr/local/etc/alcasar-network c'est un bug du script ou un problme de mon installe ? Merci.

Charte d'utilisation / Nous contacter / Mentions lgales

Haut de page

3 sur 3

29/01/2012 18:36