Bonjour,
je viens de mettre un serveur Web sous RED HAT connecté derrière un routeur ( le tout en IP FIXE).
Je voulais faire les mise a jour via des cds.
Mais voila mon boss me demande que l'on puisse acceder a ce serveur via le réseau interne et que donc on puisse mettre a jour le serveur Web via l'intranet (par FTP par exemple)
Sachant que tous les utilisateurs de mon entreprise ne doivent pas acceder a internet, je me demandais :
En installant une 2° carte réseau qui serait elle connectée derriere le fire Wall de la connexion internet donc directement dans le réseau cela m'apporterai la solution.
donc en fait 2 cartes réseau une pour communiquer avec l'exterieur pour communiquer à l'intranet, je pense cela possible.
Merci de me dire ce que vous en pensez, et surtout si cela ne risque pas de creer un gros trou de sécurité (sachant que seul mon port 80) sur la carte pour Internet sera ouvert.
Merci
[RESOLU]internet et intranet sur le même serveur
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
[RESOLU]internet et intranet sur le même serveur
par info-dour » 16 Mai 2006 15:01
Dernière édition par info-dour le 19 Mai 2006 14:26, édité 1 fois au total.
- info-dour
- Matelot
- Messages: 5
- Inscrit le: 16 Mai 2006 14:51
par micjack » 17 Mai 2006 22:30
Salut,
Tu as visiblement ton serveur en frontal sur le net, puis un réseau local deriere.
Ton soucis est de lancer deux services, mais que seule http soit accessible depuis le net et le Ftp Lan depuis l'interieur.
En fait, dans tes régles Iptables il ne faut pas que tu autorise le INPUT le OUTPUT sur l'interface ethx ou pppoe ainsi que sur l'interface du Lan. Donc bloquer par avance toutes connexions Net -> serveur et Lan -> serveur
Puis, n'autoriser juste le http (comme cela ton service ftp est innaccessible depuis le net)
iptables -A INPUT -i INET -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o INET -p tcp --sport 80 -j ACCEPT
INET à remplacer par pppoe ou par l'interface de la carte réseau.
Pour que le Lan ne puisse acceder qu'au ftp du serveur, il faut faire pareil
iptables -A INPUT -i ILAN -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o ILAN -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -i ILAN -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -o ILAN -p tcp --sport 20 -j ACCEPT
ILAN à remplacer par l'ethx de ton reseau Lan.
Perso, puisque il n'y a aucun autre service que le http et ftp, par simplicité, j'autoriserait tout depuis le Lan
iptables -A INPUT -i ethx -j ACCEPT
iptables -A OUTPUT -o ethx -j ACCEPT
Et si tu n'active pas sur ton firewall le FORWARD/MASQUERADE , il ne pouront pas utiliser le Net.
Bon, j'ai tapé cela à la va vite, mais ca doit etre bon. Tu peux aussi utiliser une SME, elle convient parfaitement à ton cas.
Tu as visiblement ton serveur en frontal sur le net, puis un réseau local deriere.
Ton soucis est de lancer deux services, mais que seule http soit accessible depuis le net et le Ftp Lan depuis l'interieur.
En fait, dans tes régles Iptables il ne faut pas que tu autorise le INPUT le OUTPUT sur l'interface ethx ou pppoe ainsi que sur l'interface du Lan. Donc bloquer par avance toutes connexions Net -> serveur et Lan -> serveur
Puis, n'autoriser juste le http (comme cela ton service ftp est innaccessible depuis le net)
iptables -A INPUT -i INET -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o INET -p tcp --sport 80 -j ACCEPT
INET à remplacer par pppoe ou par l'interface de la carte réseau.
Pour que le Lan ne puisse acceder qu'au ftp du serveur, il faut faire pareil
iptables -A INPUT -i ILAN -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o ILAN -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -i ILAN -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -o ILAN -p tcp --sport 20 -j ACCEPT
ILAN à remplacer par l'ethx de ton reseau Lan.
Perso, puisque il n'y a aucun autre service que le http et ftp, par simplicité, j'autoriserait tout depuis le Lan
iptables -A INPUT -i ethx -j ACCEPT
iptables -A OUTPUT -o ethx -j ACCEPT
Et si tu n'active pas sur ton firewall le FORWARD/MASQUERADE , il ne pouront pas utiliser le Net.
Bon, j'ai tapé cela à la va vite, mais ca doit etre bon. Tu peux aussi utiliser une SME, elle convient parfaitement à ton cas.
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
[RESOLU]internet et intranet sur le même serveur
par info-dour » 19 Mai 2006 14:23
Merci,
ça fonctionne
En fait j'ai donc mis une 2° carte réseau et laissé ouvert que le port 80 pour si la connexion arrive de l'exterieur et tou ouvert si connexion via la carte en interne
Merci
ça fonctionne
En fait j'ai donc mis une 2° carte réseau et laissé ouvert que le port 80 pour si la connexion arrive de l'exterieur et tou ouvert si connexion via la carte en interne
Merci
- info-dour
- Matelot
- Messages: 5
- Inscrit le: 16 Mai 2006 14:51
4 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)