eden91 a écrit:J'ai donc fait un DNAT wan vers DMZ en spécifiant l'IP du serv Exchange sur le port 25.
Ensuite j'ai fait un accept du LAN vers DMZ sur tous les ports et un accept du DMZ vers le LAN sur tous les ports.
Ma question est donc la suivante:
Quels sont les ports à autoriser (car la je fais un accept de tous les ports ce qui n'est pas top).?
(je pense personnellement qu'il faut accepter des ports utiliser par l'active directory et autre).
Merci pour votre aide
Bonjour,
Actuellement, si tout est ouvert entre les deux zones, la dmz ne sert à rien du tout. Surtout ouvrir de la dmz vers le lan.
Remarque, cela revient presque au même car avec la foule de ports qu'il y a à ouvrir entre la dmz et le lan, la dmz est déjà un gruyère. Il faut ouvrir des tonnes de ports, enfin ceux que j'ai en tête, ldap, kerberos, 3268, dns, et tous les highports pour le rpc , sans compter le netbios...
Bref la dmz n'est plus une dmz car si ton serveur est compromis, la machine aura du full access vers le contrôleur de domaine et les services sensibles (sans oublier tous les trojan qui sont en port >1024).
Il y a donc d'autres solutions, plus où moins chères,
Microsoft fait fort en nous proposant une licence supplémentaire d'exchange avec le serveur qui va avec pour avoir un serveur frontal (il aura juste le role de faire communiquer, et ne stoque pas les bases ni les mails) c'est mieux mais il faut les moyens.
Il est possible aussi de faire du rpc sur http avec exch2003 (où de fixer le port rpc sous 2000), cela limite le nombre de port à ouvrir.Cela engendre pas mal de connaissances, et de maintenance surtout en cas de problème, c'est l'admin qui l'a mis en place qui devra être là.
La petite chose marrante, si vous voulez un OWA en accès depuis le net, Microsoft conseille donc cette architecture frontend/backend. Et si l'on regarde ce qui se passe, on voit que le serveur sert juste de reverse proxy. ça fait chère la licence exchange pour avoir un IIS en frontal qui renvoies les requettes sur le backend...
C'est un peu du blabla, comme je passe des certifs microsoft, je peux vous donner la solution ms.
Comme je travaille essentiellement en environnement gnu/linux; je peux vous dire lors d'un passage de certif c'est super dur de dire "faut faire ça" alors que tu ne le feras jamais.
Parlons de choses serieuses,
Le mieux c'est de laisser le serveur exchange dans le LAN.
De mettre un petit postfix(où autre) dans la dmz, éventuellement un antivirus puis antispam.
De relayer les mails vers le lan
Resultat = 1 port à ouvrir de la dmz vers le lan, le smtp.
de forwarder le port 25 du wan vers la dmz.
La sécurité est quand même meilleure, si la machine en dmz est compromise, on peut faire du mailbombing vers ton exchange, mais pas te voler des fichiers importants, exploser ta base AD, et j'en passe.
Cette solution est nettement plus simple, plus sécurisée, moins chère, et performante.
Sinon, une capture de trames sur le firewall te permettra de connaître les ports à ouvrir, sachant que le rpc est un port aléatoire > 1024 par défaut.
