DMZ délimitée par 2 IPCOP - Serveur W2003 en DMZ inacessible

[ririgru2]

Bonjour,

Voilà mon problème : j'ai 2 IPCOP délimitant une DMZ. Dans la DMZ, j'ai un serveur Windows 2003.

Je veux pouvoir :
1/ Accèder au serveur de la DMZ via mon voisinage réseau depuis le LAN.
2/ Rendre possible l'accès à l'Active Directory du LAN depuis le serveur en DMZ.

Sur le firewall LAN<->DMZ, j'ai ouvert les ports suivants : 389, 53, 135, 88, 3268, 1026, 445.

1/ Dans le journal du firewall, je vois que les connexions en 137 et 138 UDP sont bloquées (j'ai installé BlockOutTraffic 2.3.2 - Build 3). Que dois-je faire pour les débloquer ?

2/ J'ai ajouté une route statique sur le serveur en DMZ pour pouvoir joindre mon réseau LAN. Du coup, j'arrive à voir le voisinage réseau du LAN depuis le serveur en DMZ mais je n'ai pas accès au système d'authentification via l'Active Directory. Il doit me manquer des ports à ouvrir.

Merci pour vos réponses,

Eric

[DWAM2]

Salut

il serait peut-être bon de commencer :

- par réfléchir au rôle de ce serveur et de la légitimité de sa présence dans une DMZ...

- par vérifier que le schéma indiqué (2 IPCops délimitant une DMZ !!!!) soit un minimum cohérent...

Guillaume

[ririgru2]

Son rôle est des plus simple :
- Il va héberger des sites Web et des Web Services, en relation pour la plupart avec un serveur de base de données situé dans le LAN (la connexion se fait correctement au serveur de base SQL Server).

- Il héberge également un Intranet, disponible uniquement pour le LAN.

C'est largement suffisant pour justifier le placement du serveur dans la DMZ, non ?

Au niveau du schéma, ca fait ça :

LAN ----- IPCOP 1 ----- DMZ ------ IPCOP 2 ------- Internet
| ****************** |
ActiveDirectory SERVEURWEB

(les étoiles, c'est pour les espaces que le forum me supprime quand je publie Cela ne symbolise en AUCUNE FACON une quelconque liaison physique entre les 2 serveurs)

Eric

[DWAM2]

et pourquoi ne pas simplement mettre un seul IPCop avec 3 cartes réseau pour RED, ORANGE et GREEN ?

Par ailleurs, avoir un serveur en DMZ qui passe son temps à causer avec GREEN (AD, Netbios, SQL, etc...), ça n'est pas très rationnel et je n'ai pas le sentiment que ton schéma (2 IPCops) apporte un quelconque avantage en terme de sécurité par rapport à 1 seul IPCop avec 3 interfaces... Sans même parler des problèmes que tu vas fatalement rencontrer : passerelle par défaut, double NAT, etc...

Récupère un des 2 IPCops, soit pour avoir un SQL dans la DMZ, soit pour avoir ton Intranet dans ton LAN...

Désolé de ne pas de donner les réponses que tu souhaites, mais à mon avis ton projet est bien mal embarqué...

[Franck78]

Salut,


Dans le principe, le schéma est tout à fait correct (je zappe les fonctions fournies par le serveur). Une VRAIE dmz délimitée par des firewalls. Rien à redire.

Dans la pratique, IPCop sera surement génant car il est incapable d'agir comme un simple routeur. Il doit absolument faire du NAT en son interface RED et ce qu'il a derrière (green/orange/blue).

C'est OK pour le premier, alors que pour le deuxième c'est inutile! J'avais sugerré il y a longtemps une utilisation suivante du deuxième IPCop: red non branchée, utilisation de ORANGE et GREEN.
Mais c'estentièrement à essayer....

Notez que la prochaine+1 version d'IPCop devrait larguer complètement cette notion d'interface fixe affectée à une seule tache. Tandis que la prochaine ne sera qu'un 1.4 sur kernel k2.6. Encore un peu de patience pour jouer pleinement avec les vraies DMZ


Bye