5 zones sont necessaires ou 3 suffisent ???

[fabzz007]

salut à tous...

dans un post précédent j'ai expliquer ma config matériel
ici: viewtopic.php?t=18125

maintenant j'ai une autre question qui concerne l'administration de la mnf...

voici la configuration de mon lan :

eth0 --> 172.30.0.0/16 (lan)
eth1 --> 192.168.1.0/24 (lan)
eth2 --> 172.20.0.0/24 (lan)
eth3 --> 10.0.0.0/24 (dmz)
eth4 --> 192.168.50.0/24 (wan)

par defaut je dispose donc de 3 zones et des regle par defaut corespondantes:
- lan
- wan
- dmz

mes questions sont les suivantes :

sachant que :
- je ne veut absolument pas que mes differents lan puissent communiquer entre eux (données confidencielles sur un des lan)
- je veux pouvoir attribuer des droit d'acces au net différent pour chaque lan (ftp interdit sur un des lan par exemple)

es ce que je peux rester qu'avec ces trois zones ou pas ? (ça m'étonnerais mais je demande qd meme au cas ou )

ensuite si ce n'est pas le cas... je dois donc créer des zones supplementaire...
mais j'ai remarqué que lors de la création de mes zones ça ne genere pas de regles par defaut supplémentaire... es ce que je suis obligé de le faire à la main ? es ce qu'il y a une astuce un autre moyen ???

En esperant que ce post est assez claire...

merci d'avance pour vos reponse

[Methos_Hi]

Si tu ne différencies pas les trois lan, tu ne pourras pas faire de règles spécifiques entre les lan.

Par contre, en regroupant les 3 lans dans LAN, tu as quand même une marge de manoeuvre vers les autres zones.
Par exemple, si tu ne masque pas pas l'un des réseaux lan, il ne pourra aller sur internet. Dans les règles tu peux faire des règles du style:
ACCEPT LAN:!172.30.0.0/16 WAN tcp ftp
qui autorise la zone LAN à faire du FTP sauf le réseau précédé du '!'.

En fait, c'est jouable d'une façon ou d'une autre en fonction de ce que tu veux faire.

En revanche, tu ne pourras rien restreindre entre les lan via le firewall. Tu pourras à la limite jouer sur le routage, mais bon ...

Il ne peut y avoir de règles par défaut supplémentaires car la MNF ne connait par avance le type de zone que tu vas creer. Elle ne pas quand même pas l'extrapoler à partir du nom que tu vas lui donner.
Tu seras donc obligé de faire les règles à la main mais c'est pas si dur surtout que tu auras celles par défaut en exemple.

Mon conseil : Crée une Zone pour chaque lan.


PS : Pourquoi l'interface WAN se voie attribuer un réseau privé?

[fabzz007]

merci pour ta réponse. Alors aujourd'hui je me lance dans l'install de la mnf a 5 pattes

En ce qui concerne mon interface wan elle dispose d'une adresse ip car elle est rellier a un routeur qui lui est relié au modem... j'ai été obliger de faire cela car si je me connect directement au modem ça marche pas j'ai tester avec un autre modem et là pas de soucis... je pense que les parametres du modem ont du etre changer... et comme je n'arrive pas à me connecter au modem via http://10.0.0.138 (modem alcatel speed touch home) j'ai laissé tomber...

ça change quelque chose d'avoir le routeur ou pas ? la securité est elle moindre ??

[Jacques-]

Pour le modem STH, c'est pas plutôt 10.0.0.38 l'adresse de configuration ?
Ne pas oublier que la MNF peut te bloquer l'accès à la config vers cette interface, fais un essai en direct sur le modem.

Jacques

[fabzz007]

en fait ça vien pas de mon modem...

c'est mon abo wanadoo qui est special... je suis obliger de passer par le routeur pour pour m'authentifier correctement... bref j'ai pas envie de rentrer dans les details mais je suis donc obligé de passer par mon routeur...

du coup je repose ma question :
es ce que ça pose un risque au niveau de la securité ? quelles problemes es ce que je risque de rencontrer ?

merci encore