Serveurs sur la DMZ

[ko08nz]

Bonjour,

Si on a un serveur dans la DMZ, est-il conseillé de le permettre de communiquer ( par filtrage sur le parefeu ) à certains services du LAN, tel que le port du LDAP ou du iSCSI, etc... ?
Voyez-vous un trou de sécurité ?

Sachant que le parfeu filtre sur l'IP du serveur source, du serveur destinataire et sur le port utilisé entre la DMZ et le LAN ?

Merci d'avance de vos retours.

++

[jdh]

De plus en plus de termes techniques ont une bonne définition dans Wikipedia.

Ici, cela donne http://fr.wikipedia.org/wiki/Zone_d%C3% ... ris%C3%A9e


La nature même de DMZ est de rassembler les serveurs qui accèdent (ou sont accédés) à Internet et au LAN. Par opposition au LAN qui ne devrait JAMAIS accéder à Internet SAUF par l'intermédiaire d'un serveur en DMZ ! (chaque mot de ces définitions compte !)




NB : Il est préférable de ne pas placer de machine de type Windows en DMZ ou ayant accès à des ressources Windows du LAN, du fait de la complexité des protocoles et ports nécessaires. Enfin j'essaie d'éviter personnellement.

NB : Accéder à iSCSI : certainement non, car le firewall aura énormément de boulot (je pense même qu'il y aurait lieu d'avoir un réseau=switch dédié pour machine serveurs/clients iSCSI). Accéder à LDAP : pourquoi pas.