Architecture IPCOP + ReverseProxy (DMZ) + Serveur Mail (LAN)

[haDidi]

Bonjour à tous,

Je projette de faire évoluer le système de messagerie électronique de mon société, et j’ai quelques interrogations sur l'architecture réseau à mettre en oeuvre.

J'utilise IPCOP à toutes les sauces depuis 5 ans déjà, et j'avoue que je suis devenu accro

Dans ce cas precis, je souhaite pouvoir utiliser le webmail de mon seurveur de messagerie depuis Internet.

Actuellement j'utilise un IPCOP à 3 pates RED / ORANGE / GREEN.

Le serveur de méssagerie électronique est situé sur le green et j'aimerais qu'il y reste pour deux raisons.

- Le débit, le Green fonctionne en 1000BT, alors que mon IPCOP utilise des cartes 100BT, et la DMZ est en 100BT...

- La disponibilité, si IPCOP tombe en rade, alors le serveur de messagerie ne sera plus utilisable par les utilisateurs du LAN et d'Internet, ce qui est problématique


Une solution à base de reverse proxy semble se dessiner à l'horizon

Je pense partir comme ceci

INTERNET
|
|
IPCOP--------[DMZ]--------(Reverse Proxy)
|
|
LAN--------(serveur de messagerie)


- Le client se connecte via mon IP publique en https, il est redirigé par IPCOP sur le reverse proxy
- Le reverse proxy redirige la requête sur IPCOP qui redirige à nouveau sur le serveur de messagerie.

En somme : INTERNET -> IPCOP -> Reverse Proxy (DMZ) -> IPCOP -> Serveur de messagerie (LAN).

n'est t'il pas risqué d'autoriser le trafic d'une machine située en DMZ (le reverse proxy) vers une machine située sur le LAN (le serveur de messagerie) ?
J’ai l’impression que le concept de la DMZ va perdre un peu de son intérêt…

Toute information / critique sera la bienvenue.

Merci.

[ccnet]

Le serveur de méssagerie électronique est situé sur le green et j'aimerais qu'il y reste pour deux raisons.

- Le débit, le Green fonctionne en 1000BT, alors que mon IPCOP utilise des cartes 100BT, et la DMZ est en 100BT...

- La disponibilité, si IPCOP tombe en rade, alors le serveur de messagerie ne sera plus utilisable par les utilisateurs du LAN et d'Internet, ce qui est problématique

Les deux arguments sont recevables et matériellement indiscutables. Néanmoins j'aimerai vous faire part d'un point de vue un peu différent.

Je ne suis pas certain qu'il y ai une grande pénalité à travailler en 100 Mbits sur une application comme la messagerie. C'est assez fortement asynchrone et asymétrique. Je sais bien que l'on est toujours rebuté par l'idée de dégrader un facteur de performance. Et puis on peut toujours dans le futur mettre à niveau la dmz.

Sur le second point j'ai tendance à penser que le risque de panne est plus grand avec le serveur de messagerie qu'avec ipcop. Maintenant cela dépend aussi du type de machine utilisée pour ipcop. Je suis très favorable à l'usage d'un vrai serveur avec des disques en RAID matériel. Eventuellement double alim etc ...

En fonction des éléments vus je retiendrai votre schéma initial en y ajoutant une chose (sous réserve que votre FAI ne le fasse pas), c'est le placement en dmz d'un relais smtp avec AS-AV. Dans ces conditions je laisserai éventuellement le serveur de messagerie en Lan. Je dis éventuellement parce que je suis contre l'idée d'autoriser un quelconque traffic de l'extérieur vers le lan directement. Si il n'y a que le relai smtp de votre FAI, à vous de voir. Personnellement je ne le fais pas. Avec un proxy et un relais en dmz, je suis moins géné par le serveur de mail en lan, même si je le mettrai en dmz. Accessoirement il n'est pas inutile que les utilisateurs et les serveur ne soit pas dans la même zone. Il n'est pas sans intérêt de contrôler quel traffic utilisateur va vers les serveurs. Beaucoup de problèmes viennent de l'intérieur.