Salut,
marioysme a écrit:Quand vous dite une SME en serveur+Gateway sa veux tu dire carte réseaux rouge et vert et quand vous dite SME serveur seul sa veux tu dite carte réseaux orange et vert
Non, c'est la configuration de la SME : lors de l'installation, la question est posée : serveur seul (server only), serveur-passerelle (server/gateway)...
En serveur seul, il n'y a qu'une interface ethernet. En serveur-passerelle (ou server/gateway), il y en a deux, qui correspondent au rouge et au vert en terminologie IPcop.
C'est d'ailleurs pour cela que le rebouclage sur le LAN que vous faites, Titofe et toi, n'est pas bon du tout : le serveur, s'il reçoit une requête du LAN pour un accès qu'il va considérer comme n'étant pas local, il va le rediriger sur sa deuxième interface, et donc la retransmettre dans la DMZ... De même, si une quelconque requête arrive dans la DMZ et qu'elle semble destinée à un poste du LAN, elle sera transmise. Le tout tout à fait normalement, avec NATing, mais tu imagines : par où vont passer les requêtes LAN <=> internet ?
Elles vont, selon les ports ouverts, avoir le choix entre :
rouge Ipcop <=> vert Ipcop <=> LAN
(rouge ipcop <=>) orange ipcop <=> DMZ <=> LAN via SME (et s'il y a plusieurs SME, autant de chemins possibles
)
Bien sûr, de bonnes rêgles de firewalling pourront probablement limiter les dégats, mais c'est quand même bien problématique ! Ca revient un peu à ce que jdh a démontré avec le ping...
Non, je ne l'aurais jamais fait, mais plus j'y pense, plus je trouve ce montage aberrant !
Pour accéder à une SME en DMZ, il y a des moyens plus rationnels, à commencer par un écran-clavier sur le serveur (matériel de récup => gratuit), un KVM, du tunnelling...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)