DMZ & LAN sur la même carte réseau

[Rik_Dangerous]

Bonjour à toute la communauté

Ayant lut la documentation de la mnf et ne pouvant pas installer une 3° carte réseau sur mon pare feu
(P200 32 Mo RAM) car il n'arrive pas à la démarrer lors du démarrage (device busy ou un truc dans ce genre) j'en conclusion qu'il ne peut plus gérer d'autre périphérique.

voici ma configuration :

WAN
|
ADSL ethernet
|
( eth1 : 172.16.71.10/255.255.255.0 )
------
|MNF|
------
( eth0 : 168.192.10.100/255.255.255.0 )
|
------
|HUB|
-------
|
PC(s) perso----- 192.168.10.30/255.255.255.0
SERVEUR FTP--- 192.168.10.120/255.255.255.0
SERVEUR WEB-- 192.168.130/255.255.255.0


Pour le moment mes machines sont tous dans la zone LAN

J'aimerais dissocier les serveurs et les mettre dans une DMZ

J'ai vu dans la doc que l'on pouvait attribué à une interface réseau la zone spécial -(multi), ici ce serait eth0, qui me permettrait par la suite dans la zone host de configurer les machines faisant partie de la DMZ et du LAN.

C'est assez délicat du fait que je configure le pare feu à partir du LAN donc dès que je fais une fausse manipulation.........GROS PROBLEME

Pourriez vous me dire pas à pas les démarches qu'il faut effectuées ainsi qu'une suggestion d'adressages pour les différentes machines

La doc n'a pas d'exemple de configuration donc si quelqu'un c'est déjà retrouvé en face d'une telle situation, faites moi en part.

Pour le moment, mon réseau tourne bien, tout est configurer, mais toutes mes machines sont dans le LAN ce qui n'est pas très bien à mon goût, toutes mes machines sont dans le même sous réseau, donc je suis obligé de mettre en place des pare feu avec des règles très restrictives sur les machines.

Merci d'avance.

[fabzz007]

Salut

Il n'est pas conseillé de mettre ta dmz dans ton lan... en effet d'un point de vu de la sécurité ce n'est pas du tout conseillé... Le propre d'une dmz est justement de permettre des acces privilégiés de l'exterieur vers ton réseaux et ces acces priviligiés ne doivent en aucun cas ouvrir les porte de ton lan.

Mais si tu n'as pas le choix avec les regles shorwall tu pourra aisément faire des redirection en fonction des services demander vers tes adresse ip de ton lan mais comme je te le dis plus ce n'est vraiment pas conseillé surtout si tu te trouve sur un réseau d'entreprise.

Code: Tout sélectionner

DNAT wan lan:@ip-serveur num_port protocol

Si j'étais toi j'essayerai de trouver une solution pour ajouter une carte réseau...

Bonne chance @+

[Rik_Dangerous]

En fait ce n'est pas dans une société, c'est chez moi.

Tout d'abord je tiens à corriger ce n'est pas un hub mais un switch

La chose c'est que dans la documentation, il est spécifier que pour une carte réseau, on pouvait associé cette carte réseau à 2 zones LAN et DMZ (dans la partie définition des zone / host dans l'interface de configuration graphique)
les zones sont distinctes c'est à dire que le lan va etre dans un sous réseau autre que celui de la dmz comme sa si mon lan a besoin d'accéder à la dmz et vice versa, il passe obligatoirement par la MNF --> donc malgrés que ces 2 zones se trouvent sur la même interface ici eth0 de la mnf, et qu'elle sont physiquement relié grace au switch, il n'y a pas de possibilité qu'elle rentre en communication sans passé par la mnf

Le problème c'est qu'elle ip et masque sous réseau dois je rentré et au niveau de l'interface eth0 que dois je lui spécifier.

La doc fait référence à ce type de configuration sans pour autant qu'il y ai un exemple.

elle parle d'affecté la zone spécial multi à la carte réseau (eth0) puis de configurer les clients et serveur mais ma question c'est qu'elle ip dois je donner à eth0 et qu'elle sous réseau!

débutant réellement dans le domaine de l'adressage j'aimerais savoir si :
est ce que le les machine se trouvant dans le sous réseau 255.255.255.0 peuvent communiquer avec celle du 255.255.0.0


Ta remarque est vrai, il est préférable de mettre 2 carte réseau 1 pour le lan 1 autre pour la dmz mais bon là je suis bloqué, la machine n'accepte plus aucune carte réseau (au démarrage elle n'en démarre que 2 au lieu de 3) c'est à cause je pense de la machine qui n'est pas assez puissance (c un dinosaure de 1995 pousser à fond)

Pour le moment je fonctionne en DNAT vers les serveurs web et ftp qui sont dans la zones lan mais si un jour ma "sécurité"(un grand mot) est malmené mes autres machines personnelles sont tout de suite menacé.


Merci pour ta réponse.

[jamel_partou]

bonsoir,
j espere que c pas trop tard !
d apres ce que je sais, on peut donner 2 adresses ip avec 2 masque different à la meme carte reseeau, me trompes-je ?

[jamel_partou]

re bonsoir,
je viens de voir un poste de janvier 2003, qqun qui l a fait!

[jdh]

L'essentiel de ce fil date de ... Mai 2005.

Si une solution n'avait pas été trouvée, il y aurait eu d'autres messages entre temps.

Il est donc tout à fait inutile de reprendre ce fil !

Même si, on peut en effet mettre 2 (ou +) adresses ip sur la même interface, et que c'est tout à fait possible de paramétrer Shorewall (qui équipe MNF) en tenant compte d'un réglage comme celui-ci. Néanmoins, cette organisation n'apporte pas plus la sécurité d'une DMZ.