conseils sur installation serveur sme

[tstatus74]

Bonsoir,
Je souhaite faire un petit server sous sme linux avec ftp et serveur https qui seraient accessible de l'extérieur.
j'ai vu qu'il y a 2 modes : server ou server/gateway.

je dispose d'un routeur netgear avec fonctions dyndns et reroutage de ports.

est ce conseillé ? il me semblait que la version server seul n'était pas forcément très sécurisé.

merci d'avance pour votre aide

ts

[jdh]

La doc de base est http://wiki.contribs.org/SME_Server:Doc ... l:Chapter2 (en anglais).

Le texte en anglais est

In "server-only" mode, your server provides your network with services, but not the routing and security functions associated with the role of "gateway". The server-only mode is typically used for networks already behind a firewall. In that configuration, the firewall fulfills the role of gateway, providing routing and network security

De mon point de vue, il manque un mot dans la première phrase (d'ailleurs présent dans la troisième) :

In "server-only" mode, your server provides your network with services, but not the routing and network security functions associated with the role of "gateway"

Comme la différence matérielle ne consiste qu'en une carte réseau alors que la différence logique est entre autres le script firewall (iptables), je recommande d'ajouter une carte réseau et de choisir la version server+gateway.

De plus, cela évite d'insérer un firewall IPCOP retombant dans le famous troll "IPCOP+SME server versus SME server+gateway" cher à Jibe qui a très justement souligné les dangers pour les débutants inexpérimentés et la trompeuse et fausse amélioration en terme de sécurité.

L'intérêt est de pouvoir filtrer en sortie (du réseau vers Internet) ce qu'un routeur ou une box ne fait pas !


Donc une carte réseau supplémentaire (10€ ?) et serveur+gateway, ça roule.


Par ailleurs, l'absence de script firewall de SME serveur n'est absolument pas la démonstration d'une sécurité inférieure : ne pas véhiculer cet affirmation fausse !



NB : le routeur doit garder la gestion du dyndns car c'est le mieux placé pour cela. Mais attention à configurer le nom du serveur en fonction ...

[jibe]

Salut,

Tu devrais trouver réponse à tes questions dans ce document (in french ).

Pour dyndns, il y a deux cas de figure :

• Soit ton routeur peut être paramétré en bridge, dans ce cas il faut le faire et laisser la gestion de dyndns à la SME,
• Soit il ne peut pas être passé en bridge, et à ce moment là deux solutions s'offrent à toi :
  
  • Celle préconisée par jdh. Avantage : rien à ajouter sur SME - Inconvénient : Attention aux noms d'hôte et de domaine,
  • Celle que je préconise et qui consiste à installer ddclient sur la SME, ce qui lui permet de gérer elle-même dyndns. Avantage : config plus simple - Inconvénient : nécessité d'installer ddclient sur la SME
  Honnêtement, je ne sais pas quelle est la meilleure ! Cela dépend aussi des connaissances de celui qui fait l'installation...

[jdh]

Tu as de la chance tstatus74 pour ton 1er fil : jibe himself répond (et complète ma réponse) : peut-être la proximité géographique (74) ? Salut jibe

On est d'accord sur SME en mode server+gateway : cela ne coute qu'une carte réseau supplémentaire et on obtient un schéma logique, simple et sûr. (Cela évite de se disperser dans l'apprentissage d'une autre distribution.)

Le document du site de jibe est en français et bien plus large sur le sujet : ne pas hésiter à le lire, relire et re-relire ...

Je complète ce que j'écris sur la sécurité de SME : en "server only", ce n'est pas parce qu'il n'y a pas de script iptables qu'il n'y a pas de sécurité car ce sont les outils installés (qmail, samba, ...) qui sont, à la base, correctement configurés pour être sûrs.


Concernant le routeur,
- soit il peut passer en bridge (souvent noté RFC1483) : SME établira alors la connexion à Internet, aura l'adresse ip publique et gèrera dyndns : ce sera plus simple.
- soit il ne peut pas passer en bridge (comme beaucoup de box) : perso, je trouve plus logique de laisser la gestion dyndns au routeur puisque c'est lui qui établit la connexion et qu'au changement d'ip, il peut mettre à jour dyndns instantanément (mode direct et non daemon, sans compter la requête dns inutile dans ce cas). Dans ce cas, il faut, me semble-t-il, assigner le nom dyndns choisi à SME (à vérifier).

Dans les 2 cas, je préconise d'oublier la partie wifi du routeur. Dans le cas bridge, il est difficile de voir quelles adresses ip pourraient avoir les clients wifi. Dans le cas routeur, les ip des clients wifi serait situés côté Wan de SME ce qui n'est pas idéal notamment pour les ibays ! Je préconise donc d'installer un autre routeur wifi, et utilisé en point d'accès, dans le réseau interne s'il y a besoin de wifi (attention à la config wifi : wpa en aes avec clé longue et assez aléatoire 20 car. mini) ?


NB : (à vérifier) : attention ddclient est nativement installé dans SME "server+gateway" (alors qu'il ne l'est pas dans SME "server only"). Il ne faut alors SURTOUT pas rajouter un rpm ddclient à SME "server+gateway" sous peine d'avoir des difficultés à la mise à jour dyndns !

[Titofe]

... De plus, cela évite d'insérer un firewall IPCOP retombant dans le famous troll "IPCOP+SME server versus SME server+gateway" ...

Il me semble que "tstatus74" en a jamais fait mention et comme tu est le premier à répondre je suis très étonner de ta part que tu en parle, car pour le moment c'est toi qui troll ...
Désoler jdh, mais faut arrêter de crier ou loup la ou y en a pas ...

Et comme je ne suis permis de prendre la parole autant le faire bien, donc je confirme les dires de jdh et de jibe, ainsi que ça doc qui devrais t'être très utile pour ce que tu recherche à faire.

Cdt,

[tstatus74]

bonsoir,
merci pour vos réponses. Je suis allé voir les liens que vous m'avez donné et j'ai encore des questions...

Pour Jdh, tu y es presque, en fait c'est mon année de naissance et mon département de naissance ... hihihihih.. Et oui je suis de la Yaute comme on dit mais expatrié à Grenoble à la suite d'une mutation pro...

Petite question. Mon but n'est pas de faire un serveur 24h/24 mais plus un truc qui permet à des amis de me déposer ou de télécharger des infos sur mon serveur....

Le souci c'est que j'ai un routeur numéricable avec fonction téléphone donc je ne peux m'en séparer. par contre j'ai vu qu'il gère le dyndns (mdp + user + ip de la machine à l'intérieur du réseau). Dans ce cas et étant donné que cette affirmation que le mode server only n'est pas dès plus sûr, est ce qu'en ouvrant uniquement le ports https + ftp, y a t'il un risque ? cf schéma 2 de ce lien donné par jdh http://wiki.contribs.org/SME_Server:Doc ... l:Chapter2

Par contre en plus d'avoir la fonction dyndns, j'ai vu que j'ai une fonction "Aide sur l'hôte DMZ", j'ai vu que je peux mettre une ip interne je pense... donc dans ce cas suis dans le cas du schéma qui est le mode bridge, je ne pense pas pouvoir l'activer.. c'est un routeur sauce numéricable....

donc si j'opte pour la version server + gateway, dois je abandonner mon routeur netgear ? ou dois je connecter la carte réseau 1 sur le switch et la 2 également ou la 2 peut elle ne pas être connectée ? cf http://www.bj-informatique.com/ReseauTPE.php#p6-4

SORRY, j'ai du mal à imaginer ce qui serait le mieux mais le plus simple à mettre en œuvre et surtout ne pas faire n'importe quoi.

Merci d'avance pour vos précieux conseils...

Ts

[Titofe]

Quand SME est en Serveur seulement, c'est qu'il confit sa sécurité ainsi que celle du réseau à un autre (Gateway/Firewal), ce qui explique pourquoi il n'ai pas sur ...

Maintenant le mettre en Serveur seulement dans ton réseau "Privée" n'ais pas du tout conseiller, mais plutôt le mettre dans une DMZ (Je laisse le soin à jdh ou jibe de l'expliquer, ils ont plus d'expérience que moi dans ce domaine).

... dois je connecter la carte réseau 1 sur le switch et la 2 également ...

OoH malheureux tu veux faire grincer les dents de jibe , si tu avait bien lu le lien que ta fourni jibe, tu n'aurai pas poser cette question ...

Le mieux que je vois c'est:

Web -> Routeur Numérique Cable -> SME Serveur et Passerelle -> Réseau Privée

Il est claire qu'il aurai etais plus facile pour toi de ne pas avoir le routeur numérique cable devant.

Cdt,

Ps: malheureusement jdh n'étais pas loin avec son IPCop ...

[jdh]

1er point : SME "server only" versus SME "server+gateway"

Les schémas indiqués dans la doc de contribs.org sont clairs en terme de positionnement.
Il faut ajouter la présence d'un script firewall (et d'un client dyndns) dans la version "server+gateway".

J'ajoute que les config des outils (mails, web, samba) sont à considérer comme "sûres" parce que la compétence des développeurs de SME est forte.

2me point :
Le schéma pour SME "server only" indique clairement la présence d'un routeur/firewall conseillé par contribs.org.

Beaucoup choisisse alors d'ajouter un Ipcop ... entrant dans le "troll" !

Jibe explique, et je soutiens, que cet Ipcop n'apporte pas plus de sécurité à une SME "server only" qu'une SME "server+gateway" correctement utilisé.

NB : une carte réseau ethernet supplémentaire suffit pour passer à une SME server+gateway soit 10€ ! Donc ce n'est absolument pas un frein !



Le cas pratique :

Internet <-> boitier Numericable + téléphonie <-> réseau interne

Ce type de boitier impose souvent le mode routeur.
Ce type de boitier propose une "dmz" : adresse ip d'une machine interne vers lequel TOUT le trafic est renvoyé.

Un bon schéma (sûr) :

Internet <-> routeur Numéricable <-> (wan) SME (lan) <-> réseau interne

La SME est en mode "server+gateway" avec une adresse wan fixe laquelle est indiquée comme "dmz" du routeur Numéricable. (Les pc internes sont connectés par un switch à l'interface lan.)

Reste 2 points : qui doit gérer le dyndns et le nom de SME.

Je préfère que le routeur la gère car il établit lui-même la relation vers Internet, mais d'autres peuvent avoir une autre opinion.
Pour le nom, je crois que le mieux est d'indiquer le nom dynamique mais je ne suis pas du tout sûr de cela.

[tstatus74]

ok merci pour vos précieux conseils, je vais potasser..
Ts