Règle Ip sur une DMZ

[sys]

Bonjour, <BR> <BR>J'aurais une question concernant l'élaboration d'un firewall. <BR>Je possède une adresse de classe C. <BR>Je souhaite monté un firewall avec 3 interfaces : <BR>- une qui serait connecté sur INTERNET <BR>- une autre sur un reseau prive (192.168.1....) par exemple <BR>- et la derniere sur une DMZ, avec 3 machines (un serveur web, un DNS, et un serveur de mail) <BR> <BR>Je voudrais savoir si cela est possible (sans danger !) de conserver les serveurs de la DMZ avec des adresses IP publics. <BR>Un grand merci à vous tous. <IMG SRC="images/smiles/icon_rolleyes.gif">

[jdh]

Quand on définit un réseau privé avec le réseau interne (green), une DMZ (orange)et un firewall comportant une liaison internet (red), la sécurité impose de choisir des adressages ip pour le réseau interne ET la DMZ conforme à la RFC 1918. <BR> <BR>Cette RFC définit les adressages à utiliser en "interne" (la DMZ est un réseau interne même s'il est accessible de l'extérieur) selon les règles suivantes : <BR> <BR>Classe A : 10.x.x.x /8 (=255.0.0.0) <BR>Classe B : 172.16-31.x.x /16 (=255.255.0.0) <BR>Classe C : 192.168.0-254.x /24 (=255.255.255.0) <BR> <BR>Le plus usuel est, par exemple, de choisir : <BR> <BR>réseau interne : 192.168.1.x <BR>réseau DMZ : 192.168.2.x <BR> <BR>Pour le firewall, on choisira, par exemple : <BR> <BR>côté green : 192.168.1.1 = passerelle par défault pour les PC du réseau interne <BR>côté orange : 192.168.2.1 = passrelle par défault pour la DMZ <BR> <BR>

[archi]

Salut, <BR> <BR>La DMZ est un espace entre internet et ton reseau privé. Cette portion de ton réseau est protégée par une premiere couche de ton firewall qui est chargée de translater un couple (adresse ip destination, port destination) venant d'internet vers (adresse ip dans dmz, port dest) dans la dmz <BR>Ex : <BR>(www.bidule.com,80) translaté sur ta dmz en 192.168.2.1,80 <BR>(mail.bidule.com,25) sur 192.168.2.2,25 <BR>(dns.bidule.com,53) sur 192.168.2.3,53 <BR> <BR>Tu laisse une porte d'entrée vers ta dmz(c le but d'un serveur web aussi...) Cette zone peut donc en théorie etre plus facilement compromise, en fonction de ce que tu installe sur ton serveur web,dns,mail ca peut aller vite. <BR> <BR>Qu'importe <IMG SRC="images/smiles/icon_smile.gif"> , pour passer de ta DMZ vers ton réseau interne il faudra que le méchant hacker passe une deuxieme couche qui en général ne laisse rien passer dans le sens DMZ->reseau interne. <BR> <BR>Donc pour repondre a ta question, tes serveurs dans la dmz auront chacun une adresse privée cachée. Si tu achetes 2 adresses ip par exemple tu pourra heberger deux site web physiquement séparés. <BR> <BR>Le DNS et le mail seront probablement qu'en sortie. et un dns interne cache n'est pas de trop en plus de ton dns "exposé". Tes stations ne doivent pas aller titiller le dns dans la dmz, c mieux <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>@+

[tomtom]

Je ne suis pas d'accord, tu peux eventuellement utiliser les ip publiques directement sur la DMZ. <BR> <BR>Tu perds 2 ip (une obligatoire pour le firewall vers l'exteieur, une vers la DMZ) mais sur une classe C ca peut être tolérable.... <BR> <BR>Un des interets peut etre si une appli ne supporte pas le nat..... <BR> <BR>T.

[bobyII]

Salut, <BR>a mon avis, ca ne pause aucun problème de faire ca .... c'est juste que tu n'utilises pas une fonction du firewall ... le NAT. C'est quand meme dommage de ne pas l'utiliser, d'autant qu'il te faudra des adresses publiques supplémentaires. <BR> <BR>jdh : j'ai pas bien compris ton histoire de classe d'adresse. Pour moi, en adresse locale tu fais ce que tu veux (pas besoin de respecter la notion de classe) et en adresse publique, tu mets ce qu'on te donne.<BR><BR><font size=-2></font>

[archi]

Exact, j'avais repondu dans le cas d'une dmz bateau mais on peut effectivement avoir une adresse ip publique dans la dmz. Comment ca je me contredit? <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Dans ce cas tu ne fait pas de NAT mais du routage IP. <BR>Effectivement pour transformer un protocole pour traverser le NAT ca peut etre une grosse grosse galère. Ipsec, Secure DNS,... <BR> <BR> <BR><!-- BBCode auto-link start --><a href="http://www.cs.utk.edu/~moore/what-nats-break.html" target="_blank">http://www.cs.utk.edu/~moore/what-nats-break.html</a><!-- BBCode auto-link end --> <BR> <BR>

[archi]

Ben en interne tu met une adresse IP valide et differente de ton adresse publique. <BR> <BR>Meme pas obligé de mettre du non routable.Je sens le retour de flamme <IMG SRC="images/smiles/icon_smile.gif"> <BR>Et tu mets les masques que tu veux en fonction de tes besoins. <BR>Le tout c'est de mettre reseau interne, dmz et internet dans 3 domaines d'adresses differents. <BR>@+