Configuration d'un netasq F200

Configuration d'un netasq F200 - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 28-01-2008 à 15:16:53    

Bonjour, je doit reconfigurer un firewall netasq F200, et la je suis en train de devenir fou :fou:
 
J'ai fait un reset du firewall et redéfinit un mot de passe admin ( :fou: pour trouver cette fichue procédure)
 
J'ai établi une connexion avec le cable série et entré ifconfig fxp1 198.168.10.100 netmask 255.255.255.0 et ifconfig fxp1 up .
 
J'ai ensuite branché un cable RJ-45 sur le port N°1 du firewall vers une machine dont j'ai configuré l'adresse en 198.168.10.1.
 
Problème, impossible de pinguer cette connerie, impossible de s'y connecter via le programme fourni, bref mossieur fait le mort et ca m'irrite  :heink:  
 
Quelqu'un pourrait-il m'aider en me disant si j'ai oublié quelque chose ou en me donnant une procédure pour accéder a l'interface admin de cette formidable boite a 5000€, merci :d


---------------
204 - No Content
Reply

Marsh Posté le 28-01-2008 à 15:16:53   

Reply

Marsh Posté le 28-01-2008 à 15:28:21    

quel est le résultat de la commande slotfilter ?

Reply

Marsh Posté le 28-01-2008 à 15:32:08    

command not found :??:


---------------
204 - No Content
Reply

Marsh Posté le 28-01-2008 à 15:32:52    

Après le reset usine, pourquoi ne pas utiliser Netasq Administration Suite pour configurer la bête?

Reply

Marsh Posté le 28-01-2008 à 15:34:47    

slotinfo je voulais dire

Reply

Marsh Posté le 28-01-2008 à 15:35:28    

parce qu'il n'a pas l'air de le détecter, j'entre son nom, je fais résoudre et rien, j'entre son ip, je fais actualiser, rien non plus (timeout)


---------------
204 - No Content
Reply

Marsh Posté le 28-01-2008 à 15:36:47    

Tu parles bien du "manager" ?
Pke normalement ca devrait marcher.
T'es en quelle version ?

Reply

Marsh Posté le 28-01-2008 à 15:38:18    

global filter active=00 name=""""
filter active=01 name="Block All" sync=1
nat active=00 """" sync=1
vpn active=00 """" sync=1
url active=00 """" sync=1


 
le "block all" me dérange un peu je crois  [:barthaliastoxik]


---------------
204 - No Content
Reply

Marsh Posté le 28-01-2008 à 15:39:04    

c'est bien le netasq global administration que tu me parle? il est en V1.4.0


---------------
204 - No Content
Reply

Marsh Posté le 28-01-2008 à 15:39:45    

Entrer le nom direct c'est un peu aventureux, mais entrer l'ip ça doit fonctionner sans problème. Après reset usine les règles de filtrage sont en pass all. Peut-être que tu cherches à accéder au Netasq sur une mauvaise ip.
 
Ne cherche pas à modifier l'ip à la paluche après le reset usine, connects-toi y directement avec l'ip après reset usine indiquée dans la doc (doc de x centaines de pages située sur le cd).

Reply

Marsh Posté le 28-01-2008 à 15:39:45   

Reply

Marsh Posté le 28-01-2008 à 15:39:50    

Fais un "enfilter 10" qui te mettra en "pass all".

Reply

Marsh Posté le 28-01-2008 à 15:41:18    

ooterreuroo a écrit :

global filter active=00 name=""""
filter active=01 name="Block All" sync=1
nat active=00 """" sync=1
vpn active=00 """" sync=1
url active=00 """" sync=1


 
le "block all" me dérange un peu je crois  [:barthaliastoxik]


Ah ben vu sous cet angle forcément... Tu es sur que ton reset usine a fonctionné? Normalement il aurait du ressortir en Pass all!!!

Reply

Marsh Posté le 28-01-2008 à 15:50:13    

pour le reset usine, 15 secondes sur le reset, petite mélodie -> ca reboot, ca doit être ok?
 
bon la commande enfilter 10 a fonctionnée, j'arrive maintenant a avoir une réponse de sa part.
 
problème, je vais dans firewall manager, j'entre le login (admin) et le pass, et il me dit que le pass doit être changé, j'en mets un autre et il me dit échec de connexion, je remets le même et c'est pareil :??:
 
a savoir le login/pass marche très bien pour l'hyperterminal :??:


---------------
204 - No Content
Reply

Marsh Posté le 28-01-2008 à 15:51:47    

j'ai deja vu des fois ou il demande 2 ou 3 fois de remettre le mot de passe (apres demande de changement puis echec). Reéssaye avec ton manager.

Reply

Marsh Posté le 28-01-2008 à 15:52:43    

resultat de :  
 
sysinfo | grep "software version"  
 
?

Reply

Marsh Posté le 28-01-2008 à 15:59:27    

bon, reset (bouton du dessous 15 secondes)
boot -s
/usr/Firewall/sbin/chpwd
je mets un bon pass
ca reboot
go le manager
j'ajoute le firewall
il tente de récupérer les infos : annulé, le pass doit être changé :??:
 
idem via le firewall managerq


---------------
204 - No Content
Reply

Marsh Posté le 28-01-2008 à 21:51:16    

bon la il est vraiment désagréable, pas moyen de se logger, j'ai fait ce que j'ai dit ci dessus, a savoir reset et remise d'un pass, et toujours pas moyen de se logger.
 
a chaque fois il m'ouvre une fenêtre me demandant de changer le mot de passe et quoi que je fasse il m'envoie chier après :/


---------------
204 - No Content
Reply

Marsh Posté le 28-01-2008 à 22:04:30    

Version du firmware ?

Reply

Marsh Posté le 29-01-2008 à 10:00:18    

6.0.7 (désolé je n'avais pas fait attention a ton précédent post :jap: )


---------------
204 - No Content
Reply

Marsh Posté le 29-01-2008 à 10:18:07    

Tu as tenté un :
 
defaultconfig -f -p
 
qui est censé remettre en conf usine et resetter le mdp.

Reply

Marsh Posté le 29-01-2008 à 11:07:00    

je le fais, ca me reset le firewall, et donc je doit faire un boot-s, puis /usr/Firewall/sbin/chpwd sinon je n'ai pas accèss au netasq et puis faire un enfilter 10 pour débloquer tout.
 
après j'arrive a le voir dans le manager mais il me dit toujours "le mot de passe doit être changé" :fou:


---------------
204 - No Content
Reply

Marsh Posté le 29-01-2008 à 11:08:44    

Il me semble que par défaut il ne répond pas au ping.
Juste pour être sûr, t'as essayé de te connecter avec le firewall manager sur le 10.0.0.254 après le reset ??


---------------
Eos 5D MkIII - Eos 5D - Eos 1N - Canonet QL17 III - 24-70mm f/2.8 L USM - 70-200mm f/2.8 L IS USM - Fish Zenitar 16mm f/2.8 et un petit Rolleicord pour se faire la main au MF :d
Reply

Marsh Posté le 29-01-2008 à 11:18:26    

oui, je renseigne 10.0.0.254, je mets admin en login et mon pass, que j'ai donc du mettre après le reset, il se connecte et me demande de le changer, je fais et après il me dit que la connexion prendra plus de temps a cause de la modif, et il me plante avec un echec de l'authentification (mauvais utilisateur/pass) :??:


---------------
204 - No Content
Reply

Marsh Posté le 29-01-2008 à 11:35:23    

Je pense que un defaultconfig -f -p -r (-r pour le reboot)
 
Ensuite se connecter direct avec le manager, il demande le changement de mot de passe, il dit que ca prendra + de tps, s'il met echec, retenter la connex avec le manager (il met tjrs cet echec en fait apres le changement).
 
Sinon contacter le support Netasq ?

Reply

Marsh Posté le 29-01-2008 à 13:27:30    

je ne peux pas faire ca, lors du reset la connexion avec le manager est impossible vu qu'il passe en mode block all.
 
il faut fonc que je fasse boot -s et un chpwd, puis reboot et enfilter 10 pour que le manager le détecte :/


---------------
204 - No Content
Reply

Marsh Posté le 29-01-2008 à 13:34:57    

En block all je crois que la connexion avec le manager marche qd meme depuis une interface protégée car il y a une regle implicite... a confirmer.

Reply

Marsh Posté le 29-01-2008 à 13:42:56    

le manager est relié sur un pc qui a été mis en ip fixe (10.0.0.1) via le port 1 du firewall, après un reset impossible d'établir une connexion, donc si cette connexion est possible il doit surement y avoir un truc pour qu'elle marche :??:


---------------
204 - No Content
Reply

Marsh Posté le 29-01-2008 à 14:50:18    

Bon pour le reset usine la manip selon Netasq : defaultconfig -f -p -r
Par contre l'interface "IN" c'est le port 2. Le port 1 c'est la "OUT".
A moins que par defaut aprés reset les interfaces soient toutes bridgées, mais je pense pas. Reessaye en mettant ton PC avec le manager sur le port 2.

Reply

Marsh Posté le 29-01-2008 à 15:33:09    

après reset complet du firewall j'ai enfin réussi a accéder a l'interface d'administration :d
 
merci beaucoup, perso je n'aurais pas pensé a changer le câble sur le port 2 :jap:
 
concernant la doc n'ayant pas les cds elle est en train de se télécharger mais on devrais s'en sortir ^^


---------------
204 - No Content
Reply

Marsh Posté le 31-01-2008 à 18:40:33    

ooterreuroo a écrit :

après reset complet du firewall j'ai enfin réussi a accéder a l'interface d'administration :d
 
merci beaucoup, perso je n'aurais pas pensé a changer le câble sur le port 2 :jap:
 
concernant la doc n'ayant pas les cds elle est en train de se télécharger mais on devrais s'en sortir ^^


 
 
Bonjour,
 
La configuration par défaut des produits NETASQ est faite pour maximiser la sécurité à terme :
- accès aux outils d'administration uniquement depuis les interfaces internes
 
 La documentation devrait aider effectivement :-)
 

Reply

Marsh Posté le 31-01-2008 à 18:47:40    

Salut,
 
excuse-moi de revenir à ton premier message.  
-----------------------------------------------------------------------------------------------------------------
J'ai établi une connexion avec le cable série et entré ifconfig fxp1 198.168.10.100 netmask 255.255.255.0 et ifconfig fxp1 up .  
-------------------------------------------------------------------------------------------------------------------
 
Ne serait-ce pas plutôt:
 
# ifconfig fxp1 198.168.10.100 netmask 255.255.255.0 up
 
au lieu de  
 
# ifconfig fxp1 198.168.10.100 netmask 255.255.255.0
# ifconfig fxp1 up
 
Cela fonctionne quand même ?


---------------
Toi tu me prends vraiment pour un con ou bien tu te fous de ma gueule ?
Reply

Marsh Posté le 31-01-2008 à 22:59:58    

oui, puisque dans un premier temps j'ai paramétré mon interface, puis je l'ai ensuite activée, mais on peut tout faire en une seule ligne de commande en effet (j'ai pris la sale habitude des cisco ou après la config je fait un no sh :d )


---------------
204 - No Content
Reply

Marsh Posté le 01-02-2008 à 11:46:57    

bon j'ai encore quelques petits soucis dans la config de ce pare feu :/
 
le pare feu est connecté comme il suit :  
 
[Internet via un routeur FT] --------> Netasq [bridge] ----> Ipcop ----> ISA Server -----> Postes clients.
 
Mon problème est que des que le netasq est branché, le surf est ralenti et certains sites ne fonctionnent pas ou sont super longs a charger (le site de la fnac rame, gizmodo rame, hotmail impossible de se logger)...
 
et si je connecte l'ipcop directement sur le routeur sans passer par le netasq tout fonctionne nickel.
 
dans le netasq j'ai pour le moment mis la politique de filtrage en pass all, et je ne comprends donc pas ce qui peut se passer :/
 
le proxy me renvoie cette erreur :  
Code d'erreur 64 : hôte non disponible  
Contexte : la passerelle ou le serveur proxy a perdu la connexion avec le serveur Web.  
Date : 01/02/2008 10:27:47  
Serveur : srv03
Source : serveur distant  
 
quelqu'un est capable de me dire pourquoi le netasq adopte ce comportement :??:


---------------
204 - No Content
Reply

Marsh Posté le 01-02-2008 à 12:55:09    

va faire un tour ds l'ASQ et désactive le plugin HTTP (temporairement) voire si ca vient de la.
 
Il serait bien aussi de faire une MAJ du firmware en v7.0.2
 
Pkoi conserves-tu Ipcop ?

Reply

Marsh Posté le 01-02-2008 à 18:15:31    

ok donc c'est bien le plugin http qui fait tout foirer, je l'ai désactivé, mais puis-je le laisser sans trop de soucis étant donné que le serveur isa (qui fait proxy pour la maison) se charge du filtrage d'url et tout la tralala avec websense?
 
concernant l'ipcop, ce n'est pas trop mon choix, on m'a demandé une config très sécurisée pour éviter une intrusion dans le lan, et j'ai fait avec le matos dispo et le chef est exigeant la dessus, si je lui dit que le netasq suffit je pense pas qu'il serait d'accord :d
 
Au début le réseau se composait d'un ISA server en tête et des pc clients derrière...


---------------
204 - No Content
Reply

Marsh Posté le 01-02-2008 à 18:36:37    

A défaut, si tu n'arrives pas a régler le plugin HTTP et l'ASQ, plutot que de désactiver le plugin globalement, tu px ne l'enlevé que pour ISA. Dans ta regle de filtrage qui permet a ISA de sortir, tu active le mode avancé, et sous la colonne ASQ, tu px desactiver les plugin auto par exemple.
 
Pour une sécurité optimale, met aussi a jour ton F200.

Reply

Marsh Posté le 01-02-2008 à 19:24:54    

ok merci de tes conseils je vais de ce pas faire ca demain :)
 
sinon je suis arrivé a faire fonctionner le netasq + l'ipcop + l'isa server et websense, c'est déja pas mal, ils voulaient pas etre copains au début :d
 
sinon je vais faire une dmz sur l'ipcop, je pense que ca ne devrais pas poser de problème avec le netasq, je pense pouvoir faire une règle pour autoriser uniquement le http de sortir vers l'exterieur...


---------------
204 - No Content
Reply

Marsh Posté le 01-02-2008 à 20:53:35    

Y aura p-e "une petite astuce" a utiliser si tu vx desactiver le plugin HTTP au niveau du filtrage au niveau de la regle ISA, surtout si tu restes en v6.

Reply

Marsh Posté le 01-02-2008 à 21:13:45    

tu peux m'en dire plus? actuellement ca tourne avec le plugin http/https désactivé, et l'isa s'occupe du filtrage url, ma config est-elle bonne ou pas?
 
je pense que oui mais je préfère être sur :)


---------------
204 - No Content
Reply

Marsh Posté le 01-02-2008 à 21:29:23    

J'avoue que j'ai tendance a penser que conserver ipcop + le F200 en bridge ca va pas mal alourdir la gestion du filtrage. Moi j'aurais enlevé l'ipcop, collé le proxy en DMZ sur le F200. Puisque seul ton proxy est autorisé a sortir sur le net, sur des sites qui ont été classé, avec des catégories bien choisies si tu es en liste blanche avec websense le risque doit etre assez faible de désactivé le plugin HTTP globalement mais bon ...
 
P-e qqs experts en sécu pourrons nous dire si c'est vraiment mieux de conserver les 2 (ipcop + F200).
 
Pour la désactivation au niveau du filtrage, si tu as utilisé le groupe "web" ou meme le service http (inclus ds web enfait), celui-ci a le plugin automatique. Meme en desactivant l'application auto des plugin, le plugin http sera activé. Il faut créer un autre objet service (http_np) par exemple) sur lequel tu choisis aucun plugin a la création de l'objet. Puis ds ta regle de filtrage tu utilises ce service au lieu de l'objet http ou encore tu modifie le http deja existant.
 
Je me relis pas, j'espere que c'est compréhensible.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed