Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1624 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Configuration d'un netasq F200

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

Configuration d'un netasq F200

n°31759
ooterreuro​o
'You could drift this car while reading a book'
Posté le 28-01-2008 à 15:16:53  profilanswer
 

Bonjour, je doit reconfigurer un firewall netasq F200, et la je suis en train de devenir fou :fou:
 
J'ai fait un reset du firewall et redéfinit un mot de passe admin ( :fou: pour trouver cette fichue procédure)
 
J'ai établi une connexion avec le cable série et entré ifconfig fxp1 198.168.10.100 netmask 255.255.255.0 et ifconfig fxp1 up .
 
J'ai ensuite branché un cable RJ-45 sur le port N°1 du firewall vers une machine dont j'ai configuré l'adresse en 198.168.10.1.
 
Problème, impossible de pinguer cette connerie, impossible de s'y connecter via le programme fourni, bref mossieur fait le mort et ca m'irrite  :heink:  
 
Quelqu'un pourrait-il m'aider en me disant si j'ai oublié quelque chose ou en me donnant une procédure pour accéder a l'interface admin de cette formidable boite a 5000€, merci :d


---------------
204 - No Content
mood
Publicité
Posté le 28-01-2008 à 15:16:53  profilanswer
 

n°31761
bluesboy
AOC4EVER
Posté le 28-01-2008 à 15:28:21  profilanswer
 

quel est le résultat de la commande slotfilter ?

n°31763
ooterreuro​o
'You could drift this car while reading a book'
Posté le 28-01-2008 à 15:32:08  profilanswer
 

command not found :??:


---------------
204 - No Content
n°31764
Silvermage
Posté le 28-01-2008 à 15:32:52  profilanswer
 

Après le reset usine, pourquoi ne pas utiliser Netasq Administration Suite pour configurer la bête?

n°31765
bluesboy
AOC4EVER
Posté le 28-01-2008 à 15:34:47  profilanswer
 

slotinfo je voulais dire

n°31766
ooterreuro​o
'You could drift this car while reading a book'
Posté le 28-01-2008 à 15:35:28  profilanswer
 

parce qu'il n'a pas l'air de le détecter, j'entre son nom, je fais résoudre et rien, j'entre son ip, je fais actualiser, rien non plus (timeout)


---------------
204 - No Content
n°31767
bluesboy
AOC4EVER
Posté le 28-01-2008 à 15:36:47  profilanswer
 

Tu parles bien du "manager" ?
Pke normalement ca devrait marcher.
T'es en quelle version ?

n°31768
ooterreuro​o
'You could drift this car while reading a book'
Posté le 28-01-2008 à 15:38:18  profilanswer
 

global filter active=00 name=""""
filter active=01 name="Block All" sync=1
nat active=00 """" sync=1
vpn active=00 """" sync=1
url active=00 """" sync=1


 
le "block all" me dérange un peu je crois  [:barthaliastoxik]


---------------
204 - No Content
n°31769
ooterreuro​o
'You could drift this car while reading a book'
Posté le 28-01-2008 à 15:39:04  profilanswer
 

c'est bien le netasq global administration que tu me parle? il est en V1.4.0


---------------
204 - No Content
n°31770
Silvermage
Posté le 28-01-2008 à 15:39:45  profilanswer
 

Entrer le nom direct c'est un peu aventureux, mais entrer l'ip ça doit fonctionner sans problème. Après reset usine les règles de filtrage sont en pass all. Peut-être que tu cherches à accéder au Netasq sur une mauvaise ip.
 
Ne cherche pas à modifier l'ip à la paluche après le reset usine, connects-toi y directement avec l'ip après reset usine indiquée dans la doc (doc de x centaines de pages située sur le cd).

mood
Publicité
Posté le 28-01-2008 à 15:39:45  profilanswer
 

n°31771
bluesboy
AOC4EVER
Posté le 28-01-2008 à 15:39:50  profilanswer
 

Fais un "enfilter 10" qui te mettra en "pass all".

n°31772
Silvermage
Posté le 28-01-2008 à 15:41:18  profilanswer
 

ooterreuroo a écrit :

global filter active=00 name=""""
filter active=01 name="Block All" sync=1
nat active=00 """" sync=1
vpn active=00 """" sync=1
url active=00 """" sync=1


 
le "block all" me dérange un peu je crois  [:barthaliastoxik]


Ah ben vu sous cet angle forcément... Tu es sur que ton reset usine a fonctionné? Normalement il aurait du ressortir en Pass all!!!

n°31774
ooterreuro​o
'You could drift this car while reading a book'
Posté le 28-01-2008 à 15:50:13  profilanswer
 

pour le reset usine, 15 secondes sur le reset, petite mélodie -> ca reboot, ca doit être ok?
 
bon la commande enfilter 10 a fonctionnée, j'arrive maintenant a avoir une réponse de sa part.
 
problème, je vais dans firewall manager, j'entre le login (admin) et le pass, et il me dit que le pass doit être changé, j'en mets un autre et il me dit échec de connexion, je remets le même et c'est pareil :??:
 
a savoir le login/pass marche très bien pour l'hyperterminal :??:


---------------
204 - No Content
n°31775
bluesboy
AOC4EVER
Posté le 28-01-2008 à 15:51:47  profilanswer
 

j'ai deja vu des fois ou il demande 2 ou 3 fois de remettre le mot de passe (apres demande de changement puis echec). Reéssaye avec ton manager.

n°31776
bluesboy
AOC4EVER
Posté le 28-01-2008 à 15:52:43  profilanswer
 

resultat de :  
 
sysinfo | grep "software version"  
 
?

n°31779
ooterreuro​o
'You could drift this car while reading a book'
Posté le 28-01-2008 à 15:59:27  profilanswer
 

bon, reset (bouton du dessous 15 secondes)
boot -s
/usr/Firewall/sbin/chpwd
je mets un bon pass
ca reboot
go le manager
j'ajoute le firewall
il tente de récupérer les infos : annulé, le pass doit être changé :??:
 
idem via le firewall managerq


---------------
204 - No Content
n°31807
ooterreuro​o
'You could drift this car while reading a book'
Posté le 28-01-2008 à 21:51:16  profilanswer
 

bon la il est vraiment désagréable, pas moyen de se logger, j'ai fait ce que j'ai dit ci dessus, a savoir reset et remise d'un pass, et toujours pas moyen de se logger.
 
a chaque fois il m'ouvre une fenêtre me demandant de changer le mot de passe et quoi que je fasse il m'envoie chier après :/


---------------
204 - No Content
n°31814
bluesboy
AOC4EVER
Posté le 28-01-2008 à 22:04:30  profilanswer
 

Version du firmware ?

n°31855
ooterreuro​o
'You could drift this car while reading a book'
Posté le 29-01-2008 à 10:00:18  profilanswer
 

6.0.7 (désolé je n'avais pas fait attention a ton précédent post :jap: )


---------------
204 - No Content
n°31858
bluesboy
AOC4EVER
Posté le 29-01-2008 à 10:18:07  profilanswer
 

Tu as tenté un :
 
defaultconfig -f -p
 
qui est censé remettre en conf usine et resetter le mdp.

n°31861
ooterreuro​o
'You could drift this car while reading a book'
Posté le 29-01-2008 à 11:07:00  profilanswer
 

je le fais, ca me reset le firewall, et donc je doit faire un boot-s, puis /usr/Firewall/sbin/chpwd sinon je n'ai pas accèss au netasq et puis faire un enfilter 10 pour débloquer tout.
 
après j'arrive a le voir dans le manager mais il me dit toujours "le mot de passe doit être changé" :fou:


---------------
204 - No Content
n°31862
Aspect-Gee​k
Posté le 29-01-2008 à 11:08:44  profilanswer
 

Il me semble que par défaut il ne répond pas au ping.
Juste pour être sûr, t'as essayé de te connecter avec le firewall manager sur le 10.0.0.254 après le reset ??


---------------
Eos 5D MkIII - Eos 5D - Eos 1N - Canonet QL17 III - 24-70mm f/2.8 L USM - 70-200mm f/2.8 L IS USM - Fish Zenitar 16mm f/2.8 et un petit Rolleicord pour se faire la main au MF :d
n°31863
ooterreuro​o
'You could drift this car while reading a book'
Posté le 29-01-2008 à 11:18:26  profilanswer
 

oui, je renseigne 10.0.0.254, je mets admin en login et mon pass, que j'ai donc du mettre après le reset, il se connecte et me demande de le changer, je fais et après il me dit que la connexion prendra plus de temps a cause de la modif, et il me plante avec un echec de l'authentification (mauvais utilisateur/pass) :??:


---------------
204 - No Content
n°31864
bluesboy
AOC4EVER
Posté le 29-01-2008 à 11:35:23  profilanswer
 

Je pense que un defaultconfig -f -p -r (-r pour le reboot)
 
Ensuite se connecter direct avec le manager, il demande le changement de mot de passe, il dit que ca prendra + de tps, s'il met echec, retenter la connex avec le manager (il met tjrs cet echec en fait apres le changement).
 
Sinon contacter le support Netasq ?

n°31869
ooterreuro​o
'You could drift this car while reading a book'
Posté le 29-01-2008 à 13:27:30  profilanswer
 

je ne peux pas faire ca, lors du reset la connexion avec le manager est impossible vu qu'il passe en mode block all.
 
il faut fonc que je fasse boot -s et un chpwd, puis reboot et enfilter 10 pour que le manager le détecte :/


---------------
204 - No Content
n°31870
bluesboy
AOC4EVER
Posté le 29-01-2008 à 13:34:57  profilanswer
 

En block all je crois que la connexion avec le manager marche qd meme depuis une interface protégée car il y a une regle implicite... a confirmer.

n°31871
ooterreuro​o
'You could drift this car while reading a book'
Posté le 29-01-2008 à 13:42:56  profilanswer
 

le manager est relié sur un pc qui a été mis en ip fixe (10.0.0.1) via le port 1 du firewall, après un reset impossible d'établir une connexion, donc si cette connexion est possible il doit surement y avoir un truc pour qu'elle marche :??:


---------------
204 - No Content
n°31883
bluesboy
AOC4EVER
Posté le 29-01-2008 à 14:50:18  profilanswer
 

Bon pour le reset usine la manip selon Netasq : defaultconfig -f -p -r
Par contre l'interface "IN" c'est le port 2. Le port 1 c'est la "OUT".
A moins que par defaut aprés reset les interfaces soient toutes bridgées, mais je pense pas. Reessaye en mettant ton PC avec le manager sur le port 2.

n°31891
ooterreuro​o
'You could drift this car while reading a book'
Posté le 29-01-2008 à 15:33:09  profilanswer
 

après reset complet du firewall j'ai enfin réussi a accéder a l'interface d'administration :d
 
merci beaucoup, perso je n'aurais pas pensé a changer le câble sur le port 2 :jap:
 
concernant la doc n'ayant pas les cds elle est en train de se télécharger mais on devrais s'en sortir ^^


---------------
204 - No Content
n°32119
deej-pi
Posté le 31-01-2008 à 18:40:33  profilanswer
 

ooterreuroo a écrit :

après reset complet du firewall j'ai enfin réussi a accéder a l'interface d'administration :d
 
merci beaucoup, perso je n'aurais pas pensé a changer le câble sur le port 2 :jap:
 
concernant la doc n'ayant pas les cds elle est en train de se télécharger mais on devrais s'en sortir ^^


 
 
Bonjour,
 
La configuration par défaut des produits NETASQ est faite pour maximiser la sécurité à terme :
- accès aux outils d'administration uniquement depuis les interfaces internes
 
 La documentation devrait aider effectivement :-)
 

n°32120
Charly303
Quand on veut on peut !
Posté le 31-01-2008 à 18:47:40  profilanswer
 

Salut,
 
excuse-moi de revenir à ton premier message.  
-----------------------------------------------------------------------------------------------------------------
J'ai établi une connexion avec le cable série et entré ifconfig fxp1 198.168.10.100 netmask 255.255.255.0 et ifconfig fxp1 up .  
-------------------------------------------------------------------------------------------------------------------
 
Ne serait-ce pas plutôt:
 
# ifconfig fxp1 198.168.10.100 netmask 255.255.255.0 up
 
au lieu de  
 
# ifconfig fxp1 198.168.10.100 netmask 255.255.255.0
# ifconfig fxp1 up
 
Cela fonctionne quand même ?


---------------
Toi tu me prends vraiment pour un con ou bien tu te fous de ma gueule ?
n°32132
ooterreuro​o
'You could drift this car while reading a book'
Posté le 31-01-2008 à 22:59:58  profilanswer
 

oui, puisque dans un premier temps j'ai paramétré mon interface, puis je l'ai ensuite activée, mais on peut tout faire en une seule ligne de commande en effet (j'ai pris la sale habitude des cisco ou après la config je fait un no sh :d )


---------------
204 - No Content
n°32150
ooterreuro​o
'You could drift this car while reading a book'
Posté le 01-02-2008 à 11:46:57  profilanswer
 

bon j'ai encore quelques petits soucis dans la config de ce pare feu :/
 
le pare feu est connecté comme il suit :  
 
[Internet via un routeur FT] --------> Netasq [bridge] ----> Ipcop ----> ISA Server -----> Postes clients.
 
Mon problème est que des que le netasq est branché, le surf est ralenti et certains sites ne fonctionnent pas ou sont super longs a charger (le site de la fnac rame, gizmodo rame, hotmail impossible de se logger)...
 
et si je connecte l'ipcop directement sur le routeur sans passer par le netasq tout fonctionne nickel.
 
dans le netasq j'ai pour le moment mis la politique de filtrage en pass all, et je ne comprends donc pas ce qui peut se passer :/
 
le proxy me renvoie cette erreur :  
Code d'erreur 64 : hôte non disponible  
Contexte : la passerelle ou le serveur proxy a perdu la connexion avec le serveur Web.  
Date : 01/02/2008 10:27:47  
Serveur : srv03
Source : serveur distant  
 
quelqu'un est capable de me dire pourquoi le netasq adopte ce comportement :??:


---------------
204 - No Content
n°32157
bluesboy
AOC4EVER
Posté le 01-02-2008 à 12:55:09  profilanswer
 

va faire un tour ds l'ASQ et désactive le plugin HTTP (temporairement) voire si ca vient de la.
 
Il serait bien aussi de faire une MAJ du firmware en v7.0.2
 
Pkoi conserves-tu Ipcop ?

n°32187
ooterreuro​o
'You could drift this car while reading a book'
Posté le 01-02-2008 à 18:15:31  profilanswer
 

ok donc c'est bien le plugin http qui fait tout foirer, je l'ai désactivé, mais puis-je le laisser sans trop de soucis étant donné que le serveur isa (qui fait proxy pour la maison) se charge du filtrage d'url et tout la tralala avec websense?
 
concernant l'ipcop, ce n'est pas trop mon choix, on m'a demandé une config très sécurisée pour éviter une intrusion dans le lan, et j'ai fait avec le matos dispo et le chef est exigeant la dessus, si je lui dit que le netasq suffit je pense pas qu'il serait d'accord :d
 
Au début le réseau se composait d'un ISA server en tête et des pc clients derrière...


---------------
204 - No Content
n°32188
bluesboy
AOC4EVER
Posté le 01-02-2008 à 18:36:37  profilanswer
 

A défaut, si tu n'arrives pas a régler le plugin HTTP et l'ASQ, plutot que de désactiver le plugin globalement, tu px ne l'enlevé que pour ISA. Dans ta regle de filtrage qui permet a ISA de sortir, tu active le mode avancé, et sous la colonne ASQ, tu px desactiver les plugin auto par exemple.
 
Pour une sécurité optimale, met aussi a jour ton F200.

n°32190
ooterreuro​o
'You could drift this car while reading a book'
Posté le 01-02-2008 à 19:24:54  profilanswer
 

ok merci de tes conseils je vais de ce pas faire ca demain :)
 
sinon je suis arrivé a faire fonctionner le netasq + l'ipcop + l'isa server et websense, c'est déja pas mal, ils voulaient pas etre copains au début :d
 
sinon je vais faire une dmz sur l'ipcop, je pense que ca ne devrais pas poser de problème avec le netasq, je pense pouvoir faire une règle pour autoriser uniquement le http de sortir vers l'exterieur...


---------------
204 - No Content
n°32195
bluesboy
AOC4EVER
Posté le 01-02-2008 à 20:53:35  profilanswer
 

Y aura p-e "une petite astuce" a utiliser si tu vx desactiver le plugin HTTP au niveau du filtrage au niveau de la regle ISA, surtout si tu restes en v6.

n°32196
ooterreuro​o
'You could drift this car while reading a book'
Posté le 01-02-2008 à 21:13:45  profilanswer
 

tu peux m'en dire plus? actuellement ca tourne avec le plugin http/https désactivé, et l'isa s'occupe du filtrage url, ma config est-elle bonne ou pas?
 
je pense que oui mais je préfère être sur :)


---------------
204 - No Content
n°32197
bluesboy
AOC4EVER
Posté le 01-02-2008 à 21:29:23  profilanswer
 

J'avoue que j'ai tendance a penser que conserver ipcop + le F200 en bridge ca va pas mal alourdir la gestion du filtrage. Moi j'aurais enlevé l'ipcop, collé le proxy en DMZ sur le F200. Puisque seul ton proxy est autorisé a sortir sur le net, sur des sites qui ont été classé, avec des catégories bien choisies si tu es en liste blanche avec websense le risque doit etre assez faible de désactivé le plugin HTTP globalement mais bon ...
 
P-e qqs experts en sécu pourrons nous dire si c'est vraiment mieux de conserver les 2 (ipcop + F200).
 
Pour la désactivation au niveau du filtrage, si tu as utilisé le groupe "web" ou meme le service http (inclus ds web enfait), celui-ci a le plugin automatique. Meme en desactivant l'application auto des plugin, le plugin http sera activé. Il faut créer un autre objet service (http_np) par exemple) sur lequel tu choisis aucun plugin a la création de l'objet. Puis ds ta regle de filtrage tu utilises ce service au lieu de l'objet http ou encore tu modifie le http deja existant.
 
Je me relis pas, j'espere que c'est compréhensible.

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Configuration d'un netasq F200

 

Sujets relatifs
Switch : configuration fixe ? empilables face avant ?Portage configuration d'un PIX 515 vers ASA
comment réinitialiser un mot de passe Netasq F100Configuration NETASQ F200
configuration iptables pour DMZConfiguration Raid
Configuration des imprimantesAide pour configuration 3com 4500
Plus de sujets relatifs à : Configuration d'un netasq F200


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR