LAN et DMZ derière un switch ???

[Vinzstyle]

Voilà, j'ai un pC qui fait office de firewall (sous MNF pour le moment, mais je ne vais pas tarder à changer...). Il n'y a que deux ports PCI, donc je ne peut y brancher que deux cartes réseaux. <BR> <BR>Je voudrais savoir s'il était possible de faire la chose suivante : <BR> <BR>INTERNET <BR> | <BR> | <BR> Firewall <BR> | <BR> | <BR>Switch Ethernet <BR> | | <BR> | | <BR>LAN DMZ <BR> <BR>En français, ça donne, connecter mon firewall à ma LAN ainsi qu'à ma DMZ. <BR>Biensur, je voudrais que le firewall fasse bien la différence entre la LAN et la DMZ (pour les règles d'Iptables). <BR>Je veux savoir si ça pose un problème que les deux zones soient connectées à la même interface ou alors si le firewall se réfère uniquement aux IPs. <BR> <BR>Voilà, si j'ai pas été assez clair, faite-le moi savoir <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Et merci d'avance.

[Vinzstyle]

Ah, heu, je viens de m'appercevoir que le dessin n'a pas donné exactement ce que je voulais, j'espère que malgré ça vous avez quand même compris.

[Yvan]

Bonjour, <BR>

[Yvan]

zut j'ai pas appuyé sur la bonne touche il a deja enregistré <BR> <BR>je n'ai pas bien suivie ton plan de cablage , ce que j'ai compris c'est ton reseau ressemble à: <BR> <BR> <BR> Internet <BR> | <BR> Firewall <BR> | <BR> switch <BR> --------------| | <BR> | | <BR> DMZ reseau Privé <BR> <BR>cette configuration n'est pas bonne la DMZ et le reseau privé sont sur le meme reseau physique et passe par la meme carte reseau sur le firewall (meme si ça marche c'est pas le but de la DMZ) <BR> <BR>ce qui est possible de faire avec un firewall avec 2 cartes reseaux et un hub ou un switch supplementaire c'est: <BR> <BR> <BR> Internet <BR> | <BR> hub ou switch <BR> | | <BR> ------------| | <BR> | | <BR> DMZ firewall <BR> | <BR> hub ou switch <BR> | <BR> reseau privé <BR> <BR>sur ce shema on obitent bien une DMZ et un reseau Privé sur des reseaux differents grace au 2 hub ou switch et le firewall avec 2 cartes reseaux à bien 3 liaisons reseaux distinctes qui sont: <BR> <BR>pppoe (par exemple avec un modem ADSL ethernet) <BR>eth0 <BR>eth1 <BR> <BR>on peut donc configurer correctement le firewall <BR> <BR>par contre attention la liason du modem adsl ethernet avec un hub et switch se fait de façon particuliere, soit sur une prise de liaison corisé sur l'appareil (celle qui permet de relier les hubs ensemble) soit avec un cable croisé dont le cablage est : <BR> <BR>1 => 3 <BR>2 => 6 <BR>3 => 1 <BR>4 => 4 <BR>5 => 5 <BR>6 => 2 <BR>7 => 7 <BR>8 => 8 <BR> <BR> <BR> voila J'espere que ça peut d'aider, si j'ai pas compris ton pb car j'ai pas trouvé ta question claire <IMG SRC="images/smiles/icon_confused.gif"> donne moi plus d'info <BR> <BR>à plus

[Yvan]

c'est $%#&! pour faire un shema mais en text ça donne internet relié sur un hub et switch avec le cablage particulier, la dmz et une carte reseau du firewall relié sur ce hub egalement. Ensuite la seconde carte reseau du firewall relié sur un autre hub avec le reseau privé.

[Gesp]

>Yvan <BR>Si j'ai bien compris, avec le schéma que tu proposes, ta DMZ n'est pas protégée par le firewall et c'est un peu ouvert plein vent (gare aux courants d'air)

[Vinzstyle]

Nan, ce n'est pas ça que je faire. <BR> <BR>En fait, mon firewall n'est pourvu que de deux Ports PCI (donc, deux cartes réseaux), il y a une carte qui est connectée à mon modem Ethernet (eth0), et la deuxième est connectée à ma LAN (eth1). <BR>Je veux rajouter une DMZ, donc je voudrais savoir si placer un Switch derière eth1 et ainsi relier ma DMZ et ma LAN sur la meme interface (car c'est la seule qu'il me reste) posera un problème, tant au niveau sécurité que compatibilité avec IPCop.

[Vinzstyle]

Sinon, au pire, je rachète une carte mère mais bon, si je peux éviter .... <BR> <BR>Ca existe pas des cartes réseaux avec plusieurs interfaces ???

[Yvan]

Oui Gesp, effectivement la DMZ est devant le firewall, mais c'est une solution qui marche avec 2 cartes reseaux (et donc 2 slot PCI) mais bien 3 reseaux vu du Firewall. Les serveurs sur la DMZ sont configuré pour utiliser quand meme le firewall, de toute façon il est le seul poste à posseder les pilotes du modem ADSL ethernet et la connexion internet, ils sont incapable de se connecté à internet sans passer par lui. <BR> <BR>Cette solution n'est pas la plus efficace à cause des trames de la DMZ et de la connexion internet qui circule sur le meme reseau mais ça fonctionne avec 2 cartes reseaux et le reseau privé (celui qui doit etre le plus protegé) est quand à lui bien protégé. <BR> <BR>En fonction de l'importance des donnees sur les serveurs de la DMZ, ça peut etre une solution tout à fait acceptable, surtout qu'une configuration non standart est une tres bonne protection, avoir un reseau banal et des outils banal est dangereux suffit de voir tous les pbs avec les produits microsoft. <BR> <BR>A Bientot <IMG SRC="images/smiles/icon_smile.gif"> Yvan

[grosbedos]

je croi voir ce que tu voulai fair vinz, <BR>en fait tu peu meme donné deux adress a une carte reseau <BR>ce qui appriori regleré ton prob...mais bon te rejui pa tro.. <BR>cert1 dise qu'il faut meme attribuer les deux adresses dans le meme reseau.. <BR>mai tu peu le faire qd mem, chai pa ce ke ca donne <BR>c pas tre secure que ce soi sur le meme reseau physik.. <BR>et en plus dans ipchains tu ne poura pa utiliser le nom de l'interface virtuelle pour faire T regles..

[Vinzstyle]

Bon, bah j'ai plus qu'à racheter une carte mère... <IMG SRC="images/smiles/icon_cry.gif"> <BR>Je vais prendre la moins cher possible, tant qu'elle a 3 slots PCI, le reste j'm'en fous.

[Mad_Man]

Si tu a des ports ISA tu peut utiliser une carte reseau 10 et brancher ton modem dessus <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Tu gardes tes deux pci pour le LAN et la DMZ <BR> <BR>++

[Vinzstyle]

Nan, j'ai pas de port ISA <IMG SRC="images/smiles/icon_frown.gif">

[antolien]

Je sais pas où tu as réussi à dégoter une CM celeron avec juste 2 ports PCI ! <BR> <BR>fin, sinon, il y a des switchs pour faire du VLAN, mais ça te couterai bcp plus cher qu'une CMère (puis MNF ne doit pas gérer ça).

[Vinzstyle]

En plus, la carte c'est une MSI, avec son integré. Mais le PC est un Packard Bell (je tiens à précisé que je n'ai pas acheté ce PC moi-même, car les PC de "marque", j'aime pas, y'a toujurs pleins de contrainte....(je suis quand même content de l'avoir)), alors peut-être que cette série de carte mère n'a été faite que pour cette série de Packard Bell...