Docs sur DMZ...
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
par herve06 » 20 Avr 2003 13:49
Bonjour,
<BR>
<BR>je n'ai pas trouvé la solution dans les "Kinder surprise" <IMG SRC="images/smiles/icon_lol.gif"> , je cherche donc un site que pourrait m'informer sur le paramétrage d'une DMZ sur MNF !?.
<BR>
<BR>Apparement tout le monde parle d'une doc mais si c'est celle livrée en PDF sur le site : tout ce qu'ils disent c'est comment cliquer sur l'option <IMG SRC="images/smiles/icon_confused.gif">
<BR>
<BR>Merci par avance...
<BR>
<BR>RV.
<BR>
<BR> <IMG SRC="images/smiles/icon_help.gif">
-
herve06 - Premier-Maître
- Messages: 48
- Inscrit le: 11 Avr 2003 00:00
- Localisation: Albi - 81
par antolien » 20 Avr 2003 14:15
je n'ai pas de docs à te proposer mais bon, je vais t'expliquer.
<BR>
<BR>pour paramétrer une DMZ sur MNF, il faut d'abord créer ta zone (comme LAN par exemple) en l'associant à ta carte ethernet.
<BR>tu peux la nommer comme tu veux et lui assigner une adresse ip appartenant à un autre sous-réseau.
<BR>
<BR> le but d'une DMZ, c'est d'offrir un ou des accès de l'exterieur sans compromettre la sécurité de ton LAN.
<BR>Donc le plus important est de bien paramétrer les règles.
<BR>par exemple, si tu veux faire comme sur ipcop avec un serveur web en DMZ :
<BR>-LAN to DMZ accept
<BR> -DMZ to LAN reject
<BR>- all to dmz:80 accept (faire une regle d'exeption avancée et un forward du 80 sur le serveur cf. doc)
<BR>
<BR>ne pas oublier de créer une règle de masquerade DMZ to WAN comme pour ton LAN.
<BR>
<BR>ps: comme j'utilises pas MNF (j'ai juste testé), je ne vais pas dans les détails exacts de la config mais jaques- saura le faire <IMG SRC="images/smiles/icon_lol.gif">
<BR>
<BR>en éspérant t'avoir aidé
-
antolien - Amiral
- Messages: 3134
- Inscrit le: 31 Août 2002 00:00
par Jacques- » 20 Avr 2003 16:48
C'est fortement conseillé, il s'agit d'un autre réseau.
<BR>En bricolant pas mal, on peut arriver à créer un réseau logique sur une même carte en lui affectant 2 adresses différentes et en les déclarant dans 2 zones, mais ce n'est pas très sécurisé cela, puisqu'il est ainsi possible de sniffer tout ce qui passe sur le réseau physique depuis une machine compromise, et donc de voir le trafic de tout le réseau réel (la DMZ et le LAN).
<BR>Donc, 3 cartes réseaux ou 2 cartes plus un modem USB sont fortement conseillées.
<BR>
<BR>Jacques
-
Jacques- - Vice-Amiral
- Messages: 952
- Inscrit le: 23 Jan 2003 01:00
par herve06 » 20 Avr 2003 17:40
Bonjour Jacques,
<BR>
<BR>je te donne ma config car je ne vois pas pourquoi les infos ne passent pas :
<BR>
<BR>peux-tu m'aider !?? :
<BR>
<BR>eth0 lan 192.168.1.1 255.255.255.0 yes static
<BR>eth1 lan yes static (pppoe)
<BR>eth2 dmz 192.168.2.0 255.255.255.0 yes static
<BR>
<BR>
<BR>* Masquage classique:
<BR>
<BR>Interface Masque SNAT
<BR>1 ppp+:0.0.0.0/0 eth2
<BR>2 ppp+:0.0.0.0/0 eth0
<BR>
<BR>* Définition des zones:
<BR>
<BR>1 lan eth0 detect
<BR>2 lan eth1 detect
<BR>3 wan ppp+ detect dhcp
<BR>4 dmz eth2 detect
<BR>
<BR>* Règles
<BR>1 lan all REJECT info
<BR>2 dmz all REJECT info
<BR>3 fw all REJECT info
<BR>4 wan all DROP info
<BR>5 all all REJECT info
<BR>
<BR>** Exceptions :
<BR>1 ACCEPT fw wan tcp+udp 53
<BR>2 ACCEPT dmz wan udp 53
<BR>3 ACCEPT lan wan udp 53
<BR>4 REJECT wan fw tcp 113
<BR>5 ACCEPT lan fw tcp 22
<BR>6 ACCEPT lan fw tcp 8443
<BR>7 ACCEPT fw lan icmp 8
<BR>8 ACCEPT lan fw icmp 8
<BR>9 ACCEPT lan dmz icmp 8
<BR>10 ACCEPT dmz lan icmp 8
<BR>11 ACCEPT dmz fw icmp 8
<BR>12 ACCEPT fw dmz icmp 8
<BR>13 ACCEPT lan wan tcp pop3
<BR>14 ACCEPT lan wan tcp smtp
<BR>15 ACCEPT lan wan tcp http
<BR>16 ACCEPT lan wan tcp https
<BR>17 ACCEPT lan wan tcp ssh
<BR>18 ACCEPT lan wan tcp ftp
<BR>19 ACCEPT lan wan tcp nntp
<BR>20 ACCEPT fw wan udp ntp
<BR>21 ACCEPT lan wan tcp imap
<BR>22 ACCEPT fw wan:20022 tcp ftp
<BR>23 ACCEPT lan fw::3328 tcp www all
<BR>24 ACCEPT fw wan tcp www
<BR>25 ACCEPT dmz wan tcp 80
<BR>
<BR>Mon PC ( Web ) : 192.168.2.1 / 255.255.255.0
<BR>
<BR>Normalement, si la DMZ fonctionne je peux me connecter à partir du même poste ???
<BR>
<BR>Merci par avance et dis- moi combien je te dois....
<BR>
<BR>RV.
<BR>
<BR>
<BR>
-
herve06 - Premier-Maître
- Messages: 48
- Inscrit le: 11 Avr 2003 00:00
- Localisation: Albi - 81
par Jacques- » 20 Avr 2003 18:32
Pour moi, dans les règles ci-dessus, tu as juste autorisé ta DMZ à faire du DNS et du Web vers internet.
<BR>Il n'y a aucune règle ouvrant le passage entre ton lan et ta DMZ, et aucune pour rendre la machine sur la DMZ accessible de l'extérieur (Wan vers DMZ).
<BR>Tu as un exemple de configuration pour comprendre les principes de shorewall (traduit en français en plus) à cette adresse, cela devrait te donner la config type à mettre en oeuvre dans les règles iptables. Ensuite, il suffit de les saisir dans l'interface de la MNF :
<BR><!-- BBCode auto-link start --><a href="http://www.shorewall.net/three-interface_fr.html" target="_blank">http://www.shorewall.net/three-interface_fr.html</a><!-- BBCode auto-link end -->
<BR>
<BR>A priori, le réseau est OK, ce sont juste les règles qui doivent bloquer (il suffit de lire les logs dans /var/log (fichier message ou syslog de mémoire).
<BR>
<BR>Jacques
-
Jacques- - Vice-Amiral
- Messages: 952
- Inscrit le: 23 Jan 2003 01:00
7 messages
• Page 1 sur 1
Retour vers Mandriva MNF & SNF
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité