Discussion :

[badr]

Bonsoir,
Je ne sais pas si je suis dans le bon endroit pour poster mon problème.

Besoin et données actuelles :

Données :
Firewall Cyberoam.
Une machine où est installé un serveur web.
Un serveur de base de donnée.

Besoin :
Un accès depuis le WEB au serveur web qui doit être dans une DMZ, et ce serveur web accède au serveur de base de donnée qui est sur le LAN pour extraire des infos.

Puisque je suis nul dans tout ça j'ai cherché sur le net et le kb de Cyberoam.

Voici ce que j'ai fais :

Port A : LAN 192.168.1.0/24
Port B : WAN 41.xx.xx.xx
Port F : DMZ 172.16.16.0/24
Le SRV_WEB : 172.16.16.2/24 passerelle 172.16.16.1

Après avoir suivis le kb de cyberoam je me retrouve avec 3 règles au niveau FIREWALL :

DMZ - DMZ
LAN - DMZ
WAN - DMZ
et j'ai ajouté une autre : DMZ - LAN (je ne sais pas pourquoi !!!)

Pour le moment je peux juste pinger sur le port F (172.16.16.1), mais pas sur le SRV_WEB (172.16.16.2), est-ce normal??
Le SRV_WEB n'a pas accès au net, est-ce normal?
Quand j'écris l'adresse WAN du port B : 41.xx.xx.xx:num de port j'accède à une page web même s'il y a un problème puisque je reçois :

Erreur de serveur
500 - Erreur interne au serveur.
La ressource que vous recherchez présente un problème, elle ne peut donc pas être affichée.

mais puisque je reçois cette page ça veux dire que j'accède à mon SRV_WEB depuis le WAN, n'est ce pas?

Si quelqu'un peut me répondre à mes questions et me guider un peu, merci.

[patrice084]

Pour le moment je peux juste pinger sur le port F (172.16.16.1), mais pas sur le SRV_WEB (172.16.16.2), est-ce normal??
Le SRV_WEB n'a pas accès au net, est-ce normal?
Quand j'écris l'adresse WAN du port B : 41.xx.xx.xx:num de port j'accède à une page web même s'il y a un problème puisque je reçois :

mais puisque je reçois cette page ça veux dire que j'accède à mon SRV_WEB depuis le WAN, n'est ce pas?

Par expérience, le ping lors des configurations des parefeux n'est plus une valeur sûre Il faut voir sur le parefeu si le protocole, ou la règle, autorisant le ping est correctement paramétré. Ensuite, lorsque vous dites je pingue sur le port F c'est à partir d'où ? Du serveur Web, du LAN ?

Dresser déjà un état des lieux de qui contacte qui puis travailler d'abord sur la reseau internet, c'est à dire la relation entre votre LAN et votre DMZ.

Si vous pouviez donner aussi la référence du parefeu, cela permettrait de rechercher la doc technique. Il y a bien celle-ci
http://docs.cyberoam.com/redirfile.asp?id=1722&SID=
avec en page 87 une explication pour paramétrer le ping et le reste.

Il te faudra beaucoup de courage. J'ai travaillé sur un cisco ASA et la tentation de le balancer par la fenêtre m'a parfois traversé l'esprit

[Cybher]

salut,

il faudrait un peu plus de détails sur les règles de firewall.
je ne pense pas que tu ais tout autorisé entre les zones , si?

[badr]

Désolé de ne pas répondre plus tôt que ça.

patrice084 :
Ensuite, lorsque vous dites je pingue sur le port F c'est à partir d'où ? Du serveur Web, du LAN ?

Depuis le LAN je ping sur l'interface DMZ, mais pas sur la machine qui est sur cette zone.

Cybher :

salut,

il faudrait un peu plus de détails sur les règles de firewall.
je ne pense pas que tu ais tout autorisé entre les zones , si?

Il y a 4 règles au niveau du firewall :
* DMZ-DMZ (crée lors de l'ajout du host virtuel comme illustré du KB que j'ai poster)
tout ip de la zone DMZ vers tout autre ip de la même zone en utilisant le service srvweb (port 80)

* WAN-DMZ (crée lors de l'ajout du host virtuel comme illustré du KB que j'ai poster)
Tout @IP vers la zone DMZ utilisant le service srvweb (port 80).

* LAN-DMZ
Tout @IP de la zone LAN vers le SRV WEB qui est dans la zone DMZ, et j'ai autorisé tout les services.

* DMZ-LAN
Mon SRV WEB vers tout @IP de mon LAN, et j'ai autorisé tout les services.