intégration d'une DMZ

[zack_dez]

Bonsoir!!
Mon blème est que j'ai un réseau dont le chéma est ci-dessous:
Internet--------routeur(MRV Optiswitch Master 105)---------firewall(boitier SGS 320 de symantec)------LAN
J'aimerais pouvoir intégrer une DMZ afin de sécuriser une application web.
les caractéristiques du parefeu:
- commutation LAN 4 ports 10/100
- 1 port WAN

caractéristiques du routeur:
- 4 ports
- DMZ (basé sur VLAN)
- 1 port WAN
- fait du NAT
Où dois-je intégrer ma DMZ?
aider-moi SVP

[nico45]

Salut

Il faut que tu mette ta DMZ à partir de ton routeur mais par contre ton serveur ne sera pas protéger par ton Firewall, c'est là le Hic....

Nico

[ppasto]

Salut, sauf erreur, ce firewall permet sur le lan interne de rendre une de tes machines visible depuis l'extérieur.
Tu dois avoir un menu qui te permet de le faire.
Je vais chercher la doc sur internet et je te tiens au jus.

@+

[Gandalf]

Placer une DMZ en aval du FW n'est pas judicieux ! De plus ton routeur crée une DMZ par VLAN, ce n'est pas une vraie DMZ ! Ceci dit je ne connais pas toutes les fonctions de ce matériel !

Je suis étonné que sur ton FW qui comprend 4 ports il n'y ait pas de fonction DMZ ... car c'est à ce niveau là qu'elle se place généralement ! Si il n'y a vraiment pas cette fonctionnalité, rien ne t'empêche de chaîner un autre FW genre IPCOP avec une patte sur ton 1er FW symantec et l'autre dans un autre ss-réseau qui correspondra à ta DMZ !

Routeur
.
.
.
firewall Symantec ---- LAN
.
.
IPCOP
.
.
DMZ

A creuser, et certainement à améliorer mais c'est un début de piste !

[vanvan]

La version MNF le fait très bien aussi même si depuis dans mon cas je suis passé à Firewall Builder

[Gandalf]

La version MNF le fait très bien aussi

Ah ben vi, à 500% d'accord !

même si depuis dans mon cas je suis passé à Firewall Builder

Jamais essayé, c'est bien ?

[vanvan]

En fait j'ai mes iptables sur mon firewall et depuis un client linux j'ai Fwbuilder, je colle dans l'interface graphique mes règles input / output sur tel host, tel groupe avec telle interface et sur tel service.

Au final, même si au départ c'est pas forcément évident de s'y retrouver, ça donne avec un minimum de réflexion un très bon produit qui upload les règles sur le firewall via ssh et exécute les règles modifiées.

L'avantage, il n'y a que le strict minimum installé sur le firewall, et pas de service web qui fonctionne, pas de fonctionnalité IDS en plus, ...

C'est vraiment très bien et je regrette pas d'y être passé même si graphiquement je trouvais la MNF bien pratique et intuitive, Firewall Builder est à essayer.

Maintenant dans le cadre d'une première intégration d'une DMZ je conseillerai MNF car avec firewall Builder faut vraiment savoir où l'on va.