je touche le fond..... ma dmz ne fonctionne pas

[loubard]

bonjour,


je suis en train de mettre en place une dmz sous monowall.
ma config réseau :
patte lan (192.168.XXX.XXX)
sortie ver le net ok
patte dmz(62.4.85.XXX)
adresse sur ma dmz (deux machines) 62.4.85.XXX
règle de firewall authorisant les ports 25 53 21 110 80 à etre interrogé
mon adresse wan 62.4.18.XXX (fixe)

sa marche pas

de l'exterieur rien n'est visible..... besoins d 'un coup de main là

[jdh]

Généralement, on configure l'adressage de la DMZ comme une range d'adresses privées (au sens de la RFC1918).

C'est à dire au choix : 10.x.x.x, 172.16-31.x.x et 192.168.x.x avec le choix du masque de sous-réseau.

Utiliser des adresses publiques dans une DMZ, C'EST MAL. Et puis, puisque le firewall en est à filtrer les paquets, ça ne va pas lui demander beaucoup de boulot supplémentaire de changer les adresses !

Cela dit, la question n'est peut-être pas là ! Sauf évidemment si tu ne connais pas les règles de filtrages à fond. Moi, je vois bien une petite règle : pas d'adresses publiques dans un réseau Green ou Orange. Parce que inversement, la règle "pas d'adresses privées dans le réseau Red" est tellement évidente !

[loubard]

sa je sais... mais je n'ai pas le choix...... je dois router deux ports 80 sur des adresses différentes ???? là sa va coincer non ??

[micjack]

Salut,

T'a une IP fixe? y'a pas confusion qu'elle doit ce retrouver sur ta passerelle et non pas sur ta DMZ ?

Oui, je sais, c'est une question bete, mais...

[jdh]

2 ports 80 vers 2 serveurs Web dans une DMZ. Quel est le pb ?
Il faut bien sur disposer de 2 adresses ip. Les 2 adresses sont sur l'interface Red : l'une est un alias noté par exemple eth0:1. Il n'y a aucune difficulté à ensuite rediriger le traffic de l'une ou l'autre vers un puis 2 machines.

[loubard]

bon de toute façon la rfc n'interdit absolument pas le trafic en dmz sur des ip public.... sans vouloir etres 'désagréable', les adreses publiques ne sont pas un risque sur une dmz..... ne gêne personne... et puis mon pb je ne veux pas le transformer, je veux le résoudre dans la configuration actuelle. marre des freepost...

si tu ne sais pas, je te remercie quand même pour tes remarques que je prend en compte, et que je vais étudier. (quand sa marche on ne touche pas, et sur l'ancien firewall sa marchait comme sa)

mic sur ma patte dmz g une adresse fixe publique, mes deux serveurs ont des adresses fixes publique
... ma patte wan a une adresse fixe publique

a l'exeption de la patte dmz et wan toutes sont liées à un nom de domaine (pas utile comme précision pou mon pb mais sait on jamais)



merci quand même pour vos remarques

cdlt,

[jdh]

Imaginons que ton FAI te fournit, avec la ligne Internet, une range d'adresses ip publiques.
Cette range d'adresses sera, forcément, présente sur la patte réseau du routeur fourni lui-même utilisant une de ces adresses (comme gateway).
Face à ce routeur, tu places ton firewall via un câble croisé. Il y a alors 2 choix :

- soit le firewall présente plusieurs adresses (publiques) à l'aide d'alias, puis renvoie le traffic vers un serveur en dmz,
- soit la dmz utilise une partie de ces adresses : il faut couper en 2 la range fournie (= perte de 2 adresses ip !) ET que le routeur soit redéfini avec range 1 entre routeur et firewall, et range 2 dmz (accès via l'ip du firewall).

Il est tout à fait évident que la solution 1 est préférable !

Je sais j'ai expérimenté la deuxième et c'est pas simple !

Avant de me répondre, si tu as bien compris, merci d'expliquer pourquoi on perd 2 adresses ip (car c'est obligatoirement le cas).

[loubard]

oui , j'ai bien compris. seulement je reprend une config qui fonctionnais comme celà. je dois en faire de même avec cette distrib ou une autre. sur un netasq f100 sa marche sans pb.
maintenant je pense qu'il n'y a pas grand chose à expliquer lol..... je doit faire un routage et il faut qu'il marche.mes deux autres adresses ip (perdues selon toi) ne me servent qu'à cela, enfin..... elles sont tout de même exploitées par d'autres choses dont je ne peux pas débattre ici, mais qui n'interfère pas dans mes pb
donc (si vous le voulez bien) j'aimerais revenir au pb qui me préocupe, tt en nottant tes remarques (je précise)
comment dois-je faire? j'ai déjà eu un début de réponse, mais il me manque la suite, donc je considère que je n'en sais toujours pas plus

merci a toi

EDIT: " la perte de deux adresses me semble normale (suite a l'adresse réseaux et broadcast si c sa que tu voulais entendre)

[loubard]

ps mes adresses sont pingable de l'exterieur, mais le routage ne se fait pas de l'exterieur vers la dmz. en revanche le routage se fait très bien de l'interieur vers la dmz.
petite précision mes règles de fw sont bonnes, verifié etc etc .
je ne sais pas ce que j'ai oublié de faire là.

[jdh]

Premier point : 2 adresses perdues : Ok

- 1 segment /28 = 16 adresses - 2 (network + broadcast) = 14 - 2 (routeur + firewall) = 12 adr dispo.
- 1 segment /28 divisé en 2 = 1 segment routeur-firewall = 4 adresses dispo = 6-2 (rtr +fw)
+ 1 segment dmz = 5 adresses dispo = 6-1 (fw: adr dmz = gateway pour la dmz)
(Sans compter le routage ip qui doit être défini dans le routeur FAI.)
Mais comme je l'ai déjà dit c'est sans doute pas ça.

Deuxième point : quand la DMZ utilise un segment public, le firewall doit faire du routage ip (simple).

Un firewall (tel IPCOP) fait plutôt du NAT depuis Orange ou Green. A noter que IPCOP fait ce routage simple entre Green et Orange (ou Blue).

Là, la piste est de regarder si une règle iptables bloque certains traffics. Ce qui porrait être le cas notamment à cause de la RFC 1918. Fais donc un "iptables -vn -L".

Par ailleurs, si tu pingues de l'extérieur vers les hosts dans la DMZ c'est qu'un certain traffic est routé. Ce qui confirme plutôt la piste iptables.

Bon courage