Complément d'information Green,Orange,Red

[seith]

Bonjour, <BR> <BR>Je viens d'installer IpCop sur mon réseau. Je souhaite faire une installation standard : un réseau local protégé et une zone publique (serveur web,ftp,connexion base de donnée). <BR>Dans un premier temps j'ai configuré la passerelle avec une zone verte (local) et une zone rouge (internet) ou je pensais mettre mes serveurs publiques. <BR>J'ai recherché dans le forum les messages concernant les zones et je me suis apercu que ce n'était pas la bonne config. Bref je vais mettre en place une zone orange pour faire une dmz. <BR>Par contre il y a quelque chose que je ne comprend pas bien. En koi la zone orange est vraiment différente de la zone rouge ? <BR>Si j'ai bien compris la zone rouge correspond à la connexion internet. Par concéquent si une connexion se fait depuis l'extérieur elle va traverser la zone rouge pour aller en zone orange. <BR>Je suppose que de la même manière que pour la zone orange toutes les connexion de rouge vers vert sont interdite (par défaut ). <BR>Enfin comme vous pouvez le constater je fais une petite confusion entre ces deux zones... <BR>Pourriez vous m'expliquer les différences ? et si possible les règles de routage pas défaut. <BR> <BR>pour l'instant je suppose que les règles par défaut sont les suivantes : <BR> <BR>Vert autorise les connexion vers rouge et orange. <BR>Rouge autorise les connexions vers orange et les interdit vers vert. <BR>Orange autorise les connexions vers rouge et les interdit vers vert. <BR> <BR>Merci ! <IMG SRC="images/smiles/icon_smile.gif">

[carbone]

oui les regles sont bonnes, mais ta zone orange est rpincipalement différente de la rouge par le fait que les machines de la zone orange sont chez toi mais pas celle internet! <BR>De plus les machines oranges peuvent avoir une plage d adresses non routables et tu peux créer des liens entre orange et verte. La zone orange sert principalement a heberger des serveurs web, mail, ... qui doivent etre consultables de l exterieur sans pour autant creer une faille dans ton réseau vert

[seith]

merci, <BR>cependant il y a toujours quelque chose que je ne comprend pas bien. <BR>Perso j'ai un routeur derrière la carte red, c'est lui qui a l'adresse ip publique (dynamic pour le moment). Qu'est ce qui m'empeche de mettre un switch entre la carte red du serveur et le routeur afin de connecter d'autre serveur et de constituer ainsi un réseau publique ? <BR>peut etre qu'on ne pas faire de forward de port de red vers green ? <BR> <BR>Note: <BR>je vais bientot changer de type de connexion pour une TDSL Oleane, j'aurai toujours un routeur fournis. La configuration restera a peu pres similaire je pense (routeur avec adresse ip publique fixe). <BR>Dans ma configuration toutes les cartes ont des adresses non routable. Seul l'interface Wan du routeur possède une adresse publique. <BR>Je peut faire un foward du routeur vers le rouge mais ca va etre plus compliquer d'atteindre le orange. <BR> <BR>Je pense qu'il y a quelque chose que je ne comprend pas bien. <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <BR> <BR>Dsl pour la longueur du post j'ai du mal a m'expliquer <IMG SRC="images/smiles/icon_biggrin.gif">

[antolien]

en réponse à : <BR>Qu'est ce qui m'empeche de mettre un switch entre la carte red du serveur et le routeur afin de connecter d'autre serveur et de constituer ainsi un réseau publique ? <BR> <BR>rien ne t'en empêche, mais la zone rouge est directement liée à internet ce qui fait que tu ne bénéficie d'aucune protection par ipcop. <BR>d'autant plus que tu ne pourras pas joindre tes machines a moins d'avoir plusieurs addresses publiques... <BR>La zone orange est faite pour ça. <BR> <BR>jsuis pas sûr d'avoir tout compris ce que tu dis <BR> <IMG SRC="images/smiles/icon_eek.gif">

[carbone]

Bon alors, tu as 3 zones red - green - orange <BR>Le but du firewall est de bloquer l acces a ton réseau vert pour l exterieur, cad red. <BR>Mais il est parfois util de pouvoir acceder a son réseau interne, par exemple si on heberge un site web, ... <BR>Donc on peut faire un forward de port u red vert green. <BR>Mais si tu fais cela, ca peut permettre a un pirate de se servir d une faille de ton serveur web et alors d acceder a ton réseau interne. <BR>Pour éviter cela, on a créer la DMZ(zone orange) qui elle est accessible de l exterieur mais qui en théorie n accede pas au reseau vert ainsi si un pirate s introduit sur ton serveur les degats sont limités et il n accede pas a ton réseau vert. <BR>Voila, le but d ipcop est d etre un routeur oui mais aussi un firewall!

[seith]

j'avais compris pour le firewall. (du moins pour le green) <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR>Par contre c'est vrai que je n'ai pas pris en compte le faite qu'en zone orange mon réseau "publique" bénéfici aussi de la protection IpCop. Merci d'avoir éclairé ma lanterne!! <BR>Une dernière petite question, pour le forward de port. (ce qui ne devait pas etre très clair ds le dernier post) <BR> <BR>prenons un exemple : <BR>j'ai un serveur SQL dans ma dmz. Pour le rendre accessible sur internet, est-ce que la configuration suivante peux fonctionner : <BR> <BR>Red 192.168.1.1 <BR>Orange 192.168.100.254 <BR>Serveur SQL 192.168.100.1 <BR> <BR>je dois faire un forward sur le routeur <BR>De Wan(adresse publique) port 61000 vers Serveur SQL (192.168.100.1) port 1433. <BR>Et je dois donc configurer une route du réseau 192.168.1.0 vers 192.168.100.0 pour que le routeur puisse atteindre le serveur . est-ce bien ca ? Ou je risque de crée une faille de sécurité ? <BR> <BR>Est il possible de faire un forward de port du routeur vers le red, puis du red vers le orange ?? (sans configurer de routes) <BR> <BR>Merci en tout k cas pour vos réponses. <BR> <BR>

[carbone]

bon alors pour commencer, la plage d dresse de ton reseau vert doit etre differente de celle du reseau orange. <BR>ensuite, tton adresse de carte red est bizarre car non routable or c est souvent une adresse vers l exterieur (mais ca faut voir avec ton reseau) <BR>Et enfin, tu fais sur ipcop un forward de tout ce qui arrive sur le port 60000 vers le port 1433 de ta machine sql. <BR>Pour le routeur ca il faut voir celui que tu as, mais si tu peux faire des NAT(port forwarding) tu fais un forward de tout ce qui arrive sur le port 60000 vers le port 60000 de ton ipcop et voila <IMG SRC="images/smiles/icon_biggrin.gif">

[seith]

Oui j'ai le netid du réseau vers différent du orange. <BR> <BR>L'adresse de ma carte red est non routable car elle est connecté à l'interface LAN du routeur. Et c'est l'interface Wan du routeur qui possède une adresse publique. <BR> <BR>Pour le NAT si je comprend bien : <BR> * j'ouvre un port 60000 sur le routeur qui correspond au port 60000 de IpCop (adresse de la carte red). <BR>* Puis , grace au menu <!-- BBCode Start --><I>portforwarding</I><!-- BBCode End --> j'ouvre le port 60000 de IpCop sur le port 1433 de mon serveur dans la dmz. Et Ipcop se débrouille pour les route entre Red et Orange. <BR>C'est ca ? <BR> <BR> <BR>Non ne me <IMG SRC="images/smiles/icon_boxe2.gif"> pas. <BR> <IMG SRC="images/smiles/icon_biggrin.gif">