Plusieurs sme (ou autres) dans un même réseau : conseils?

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Plusieurs sme (ou autres) dans un même réseau : conseils?

Messagepar achel » 16 Mai 2008 23:22

Bonjour, je vais sans doute faire hérisser les poils de bras de certains avec ce que je vais poser comme questions ... en fait je fais ce post parcequeje n ai pas vraiment trouvé de solution à mon problème. Je demande ici qu'un conseil et on va certainement me répondre que je n'ai rien lu ou pas assez en profondeur (je répond directement que j ai lu les docs que j ai trouvé ... c'ets peut être pas les meilleures non plus, mais j'ai envie d'apprendre a bien configurer mon réseau et à lui faire prendre la forme que je désirerais).

Si ce n'est pas possible, autant directement le dire ... si c'est trop technique ou qu'il y a du matériel physique qui le fait (pas trop cher), ce serait aussi sympa de les noter ici.


Préambule :

Soit un réseau comportant plusieurs machines (une dizaine), derrière un routeur n'offrant qu'une seule démilitared zone et mettant à jour l'ip du domaine associé (disons domaine.org vu qu'il est enregistré auprès d'un registar).

Pour le moment, le shé ma est comme tel :

Internet ----- routeur ----- sme en DMZ (serveur et passerelle) ---- reseau interne ----- switch ----- Autres PC / Serveur via proxypass / AP wifi

C'est parfait du moment ou les autres serveurs n'ont besoin que d'afficher un site sur le port 80 ...


Exposition du cas posant problème :

Dans le cadre de mes études (pas informatiques, ... archéologique dont le titre des mémoires sont "portail archéologique en licence libre, exemple et applications" ), j'ai monté un portail internet avec divers services. Afin de délivrer un maximum de services via le portail j'ai, la première année, installé tout sur un serveur Free-eos (1.3.2 puis 1.3.3) et ensuite, pour être plus souvent mis à jour et profiter de nouveautés et plus de contribs, Sme 7 (7.1/7.2/7.3).

Malheureusement, des applications webs ne sont soit pas compatible avec sme, soit requiert un autre environnement. Pour tester ces applications (générallement des systèmes d'informations géographiques tels que geoserver ou mappserver, des applications demandant php5, etc ...), j'ai donc remonté des machines pour les accueillir : Debian, Clarckconnect, Centos 5.1, ... et tout tourne sur les machines et dans le réseau.

Là où ca pose un problème c'est que, depuis la Sme, je ne peux faire que du portfowarding et du proxypass ... ce qui me limite grandement (pas de SSL, besoin de remapper des ports comme le ssh, le ftp, etc ...).


Ce qu'il faudrait :

En fait, il faudrait avoir une machine entre le routeur et le réseau qui redirige les requêtes en fonction de la machine ... une sorte d'ordinateur en zone rouge qui redistribue les requêtes vers plusieurs DMZ ou une un ensemble d'ordinateurs en "vrais" DMZ (pas vraiment des pinholes).

Je précise que je sais que SME n'a pas besoin de plus de sécurité, je cherche seulement à ce que plusieurs machines déjà sécurisées puissent être accessible TOTALEMENT depuis internet sur une même ip et qu'un ordinateur intermédiaire joue le rôle de dispatching!

I. IPcop

A cette fin, j'ai essayé IPcop. J'ai refais tout mon réseau, mis les ordinateurs du réseau interne dans la zone verte (pas de problèmes), mis l'access point en zone bleue (pas de problèmes), mis les serveurs en zone orange (pleins de problèmes).

-> j'ai cru que ça me fait une vrais DMZ, mais en fait comme la plupart des firewall, ipcop est de type bastion.

Résultat : je n'ai su qu'afficher le portail et les pages web (plus d'accès SSH, SFTP, ...) malgré le mappage des ports ... j'ai suivi plusieurs tuto et regardé la doc officielle, rien ne m'a aidé (je n'ai même pas testé de mettre les autres serveurs dans la zone orange tellement il y avait des problèmes avec la SME).


II. Clarkconnect Enterprise

Je ne l'ai pas testée car elle coûte 85$ ... mais la doc précise qu'il y a un module DMZ. Je ne sais donc pas si c'est le même genre de DMZ que IPcop, mais ils semblent préciser que c'est une véritable démilitared zone pouvant permettre l'accès à d'autres serveurs placé derrières la clark (d'autres clark je suppose, pour étendre les capacités).


III. Mandrake MNF

Devenue payante, introuvable, ... mais semblait être ce que je voulais. A ce qu'il parrait, elle était très simple, robuste, peu gourmande en ressource et était faite pour ce travail. Beaucoup de personne ne l'on plus utilisé quand mandriva l'a passée en version2 payante (lu sur les forums d'IXUS).


Conclusion de la demande

- Quelqu'un a t'il le même souci ? l'a t'il résolu et si oui : comment ?
- Y'a t'il des routeurs permettant de faire plusieurs DMZ? si oui, lesquels sont bons ?
- Y'a t il des distributions linux dédiées à faire des DMZ, rapidement et de manière aisée ? si oui, lesquelles fonctionnent sans problèmes ?
- Je n'ai peut être pas trouvé les bons tutos sur internet, en avez-vous qui traitent de la mise en place de DMZ et de redirection totale dans un réseau à l'aide du nom de la machine dans le domaine ?


Merci d'avance, je sais que c'est quelque chose d'assez technique et j'espère ne pas m'être emmêlé dans l'explication de ma demande et être resté clair...
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar jdh » 17 Mai 2008 00:04

Moi, je suis désolé, je ne comprends pas quelle est la question posée !


Ce que je constate, c'est la multiplication des essais. Sme, Debian, ClarkConnect, Ipcop, Centos, cela fait déjà 5 distributions. Il faut CAPITALISER l'expérience. C'est le seul moyen de s'améliorer !

Sme est un distribution "tout en 1", tandis que Debian et Centos sont des distributions généralistes. (Pourquoi utiliser 2 distributions généralistes ?).

Clarckconnect et Ipcop sont des distributions firewall. (Pourquoi utiliser 2 distributions firewall ?)

Quel est le problème ? De multiples redirections ?

Il faudrait comprendre qu'un firewall c'est bien plus simple en fait que l'on peut croire. Et en plus cela ne sait pas faire pas mal de choses que l'on aurait envie de faire (parce que on ignore les limites des protocoles !).

Il est IMPOSSIBLE d'utiliser le même trafic (ou n° de port) et le dispatcher en fonction du nom de domaine utilisés (noms différents pointant vers la même adresse ip publique et destiné à plusieurs machines différentes). Seul le protocole http peut être, d'abord envoyé à une machine, puis redispatché selon le nom dns (par reverse-proxy). (D'ailleurs pourquoi le protocole http est-il capable de le faire ? Voila la bonne question à se poser !!!!).


Donc quand il y aura une question ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar achel » 17 Mai 2008 00:19

Pour ce qui est des tests des distributions je ne parle que des distributions firewall (et encore ... seulement ipcop) ...

Les autres distributions sont en place PARCEQUE sme (en fonction des librairies demandées, de la ressource machine ou de la compatibilité MYSQL5 et PHP5) n'est pas adaptées, il n'y a aucun problème avec ces machines ;-), il ya juste que le contenu web qu'elles doivent délivrer devrait être visibles sur internet et que leur accès via divers protocoles devraient être faisable ...

En fait, SME n'est adaptée qu'à une partie de mes besoins. Certains besoins spécifiques (et spéciaux) sont gérés par d'autres machines ...
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar jdh » 17 Mai 2008 00:28

QUELLE EST LA QUESTION ?


Quelle est la différence entre Ipcop, Clarkconnect et Mandrake Mnf (produit obsolète ?) ?
Et cette différence a-t-elle un impact sur le problème (qui n'est toujours pas posé) ?

Mon avant-dernier paragraphe n'est-il pas assez clair ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar fred-info » 17 Mai 2008 00:34

Salut,

Internet ----- routeur ----- sme en DMZ (serveur et passerelle) ---- reseau interne ----- switch ----- Autres PC / Serveur via proxypass / AP wifi


J'ai peut-être loupé un truc.
Mais en règle générale on ne place pas, à priori, son lan en dmz. Même derrière sme serveur/passerelle. C'est plus une dmz :wink:.

Sinon je ne vois pas trop l'intérêt de la dmz.

Il y a autre chose branché sur le routeur ?
Le routeur c'est la box adsl de ton fai ?

Ton problème est plus un gros problème d'archi que de produits.

Tu as annoncé clairement que c'était pas ton métier et tu as l'air d'avoir suffisement de tronche pour pouvoir faire un petit schéma (papier) où tu vas identifier les flux désirés.
Style des patates avec des flèches qui ont des noms.
Une fois les flux identifiés, tu fixes les règles d'accès sur ton schéma. NB : le wifi en bout je vois pas trop...

En gros, synthétise. Place toi (mentalement) au dessus, pas dedans.

c'ets peut être pas les meilleures non plus, mais j'ai envie d'apprendre a bien configurer mon réseau et à lui faire prendre la forme que je désirerais).


C'est pas la bonne démarche. Tu ne doit pas désirer arriver à une config tu dois adapter la config/archi pour répondre aux besoins.


Il y a plein de méthodes complexes/compliquées qui existent. Mais si tu fais déjà ça tu auras bien débroussaillé le terrain et après tu pourras commencer les fouilles, au pinceau.:wink:

Tu fais un métier méthodique, les informaticiens aussi. Sans méthode, sans connaissance de l'environnement, etc ... point de résultat.


Bon courage.
fred-info
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Oct 2006 14:57

Messagepar achel » 17 Mai 2008 01:16

jdh a écrit:QUELLE EST LA QUESTION ?


Quelle est la différence entre Ipcop, Clarkconnect et Mandrake Mnf (produit obsolète ?) ?
Et cette différence a-t-elle un impact sur le problème (qui n'est toujours pas posé) ?

Mon avant-dernier paragraphe n'est-il pas assez clair ?


La question est : y a t'il moyen que plussieurs machines, branchées derrières un routeur (si ya besoin de la ref c est un Linksys wag200g) qui ne possède qu'unDMZ, soient visibles depuis internet et qu'on sache s'y connecter de manière transparente comme si elles avaient toutes une connexion à part

Plus synthétique : comment faire un pool de serveurs totallement exploitable depuis le web.


Pour Fred : je vais essayer de retrouver mon plan de base fait sur visio.

En tout cas, je n'ai branché rien d'autre que la sme (pour le moment) sur le routeur (ip de la sme mise en DMZ dans la config du router). Ensuite l'eth0 de la sme gère le réseau interne auquel est relié mes pc de travail, la debian, la clark, une centos 5.1, une ubuntu pour des tests de gestion de thinclient (déportation X) et un AP dlink (filtrage MAC adress).

Les différents serveurs affichent sur internet leur contenu à l'aide d'un template proxypass et des règles de port forwarding pour les connexions à certains protocoles d'accès ...

En revanche, mes gros problèmes se font surtout sur certaines installations de webapi ... surtout wordpress MU (mais c'est pas trop grave, comme on bosse à deux sur notre mémoire, y a des serveurs dans un autre endroit sur une autre connexion et sur sme y foire complètement donc ilest sur une centos 5.1) => pour la petite histoire, je lai aussi installé sur une centos 5.1 mais derrière ma sme en proxypass ... l'installation a toujours posé problème car il demande le domaine de la machine. Après, lorsque l'on crée un nouveau wordpress délégué via l'administration de wordpress MU, il n'est pas visible depuis le net ... en gros, wordpress MU sert à rien dans ce shéma de configuration.

Pour le webmapping, c'est un peu plus difficile parceque j ai besoin de connexions en https ... et là le proxypass m'aide pas ... idem pour ce qu'il y a sur la clark
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar jdh » 17 Mai 2008 01:42

J'ai écrit quelque chose de clair ("mon avant dernier paragraphe") :

Code: Tout sélectionner
Il est IMPOSSIBLE d'utiliser le même trafic (ou n° de port) et le dispatcher en fonction du nom de domaine utilisés (noms différents pointant vers la même adresse ip publique et destiné à plusieurs machines différentes). Seul le protocole http peut être, d'abord envoyé à une machine, puis redispatché selon le nom dns (par reverse-proxy). (D'ailleurs pourquoi le protocole http est-il capable de le faire ? Voila la bonne question à se poser !!!!).


Mais bon, visiblement, je peux l'écrire plusieurs fois, et cela ne (te) sert à rien.

D'ailleurs qu'est ce qu'il y a derrière la contrib "proxypass" ? (Et je ne pratique ni SME ni Ipcop ...)

La référence du routeur n'a aucune importance ... puisqu'il suffit de connaître un peu les protocoles.

(Il faut donc ajouter une 6ème distribution, Ubuntu, dans la version Desktop).

idem pour ce qu'il y a sur la clark
Dois je traduire que Clarkconnect a, peu ou prou, une fonctionnalité identique à Ipcop ? Je suis surpris !


Allez, je vais l'écrire. Avec une seule adresse ip publique, il est possible de dispatcher le trafic à diverses machines selon le nom dns, mais seulement le traffic http (en utilisant un reverse proxy). Quand à TOUS les autres trafics, une seule machine pourra être accédé avec le n° standard du trafic, les autres machines devront utiliser (extérieurement) un autre n° de port, donc non standard.

C'est clair comme ça ?


Plutôt que croire que ce que j'écris n'est pas la réalité ou essayer de réaliser le contraire, il serait judicieux de chercher à comprendre pourquoi cela est la réalité.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar achel » 17 Mai 2008 02:10

jdh a écrit:Il est IMPOSSIBLE d'utiliser le même trafic (ou n° de port) et le dispatcher en fonction du nom de domaine utilisés (noms différents pointant vers la même adresse ip publique et destiné à plusieurs machines différentes). Seul le protocole http peut être, d'abord envoyé à une machine, puis redispatcher selon le nom dns (par reverse-proxy). (D'ailleurs pourquoi le protocole http est-il capable de le faire ? Voila la bonne question à se poser !!!!).


Ca je l'avais compris (a force de lire, de tester, etc.. ), en revanche ne connaissant pas toutes les distrib de firewall et voyant ce qu'elles géraient des DMZ, j'ai voulu tester (on est pas au courant de tout, surtout quand on est pas informaticien de métier ... et surtout quand on lit un peu partout que ce sont des distributions dont la configuration et la gestion sont à la portée de tous ... ). Et tu confirmes que c'est impossible aussi ;-) : je suis un peu comme saint Thomas.

Pour ce qui est du proxypass ... j'utilise même pas la contrib => j'ai même fait un post pour expliquer comment j avais réussit à le faire sur ma sme il y'a qq mois et je comprends comment ça fonctionne et je sais bien que le ssh passe pas :p


Comme j ai dit au début de mon post, je demande un conseil sur comment faire et pas ressasser ce que j'ai fait et qui est impossible (m'y suis cassé les dents donc je le sais).

=> tu me répond que c'est impossible ... ok dans l'état de ce que j'ai ... pourtant j'ai vu des tutos expliquant que lorsque le FAI délivre plusieurs IP fixe, par exemple, il y a moyen de rerouter chaque ip fixe vers une machine ... est ce une solution ??? (c'est ce genre de réponse que j'attends) : si oui à partir de quel type de matériel, de distribution (je demande pas qu'on le fasse à ma place, je demande juste les infos pour savoir aller chercher de la doc)... Je vois aussi dans ma Centos, avec webmin, qui y'a une gestion de cluster ...

Pour ce qui est de Clarkconnect version entreprise, voici la page en question traitant de sa fonction de firewall / DMZ / 1-to-1 NAT : http://www.clarkconnect.com/docs/Firewall_-_DMZ

Voilà ce qui disent, c'est un peu en contradiction avec ce que tu disais (et moi aussi j'en suis surpris ... permettent de joindre, dans leur exemple, depuis internet, deux machines sur tous les ports ... j'invente rien ...)

Code: Tout sélectionner
By default, all inbound connections from the Internet to systems on the DMZ are blocked (with the exception of the ping protocol). You can permit connections to systems on the DMZ by allowing:

    * all ports and protocols to a single public IP
    * all ports and protocols to the whole network of public IPs
    * a specific port and protocol to a single public IP

In the screenshot below, both 216.138.245.27 and 216.138.245.28 are not firewalled at all, while 216.138.245.26 can only be accessed via TCP port 2000.


En fait, je demande qu'on me donne toutes les possibilités possibles, des plus simples aux plus techniques, des gratuites aux payantes, à partir de matériel de récup ou de matériel pro, d'une ligne (si possible) à plusieurs lignes (bon là c'est simple à ce moment là, mais c'est pour exagérer intentionnellement).
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar jdh » 17 Mai 2008 02:33

Il est parfaitement évident que ce j'écris est valable pour UNE SEULE adresse ip publique (puisque j'ai écrit "la même adresse ip publique").

Evidemment avec plusieurs adresses ip publiques (autant que de serveurs), il est facile de dépasser cette contrainte. Et effectivement avec un seul firewall, cela s'appelle du 1:1-nat (pour pfSense par exemple).

J'ai lu sur ce forum qu'Ipcop n'est pas vraiment prévu pour réaliser cela (même si une modification manuelle du script firewall est possible).

Maintenant, question pratique, comment avoir plusieurs ip publiques. On peut, par exemple, louer une ligne SDSL chez un fournisseur et lui demander une range /29 soit 5 adresses dispo. A noter que cela coûte de 5 à 10 fois une ligne ADSL ...


(Ce n'était pas dans les données du problèmes, ni le contexte perso ou pro. Nulle "exagération" dans mes propos : j'ai déjà expérimenté tout cela ! Dans une entreprise, j'avais même 2 lignes SDSL pro sur le même site, avec 2 fournisseurs différents d'où 2 ranges d'ip publiques très différentes ... permettant de faire 2 MX !).


(Pourquoi http permet de dispatcher le trafic selon le nom dns ? Et pas les autres protocoles, ssh, ftp, ... ?)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar achel » 17 Mai 2008 02:43

Réponse à ta question sur le pourquoi du http passe et pas les autre => RFC:1945 3.2.2 traitant des url et du trasport des requêtes ...

Pour ce qui est de ma demande, j ai bien précisé que je voulais connaitre toutes les possibilités ... je sais pas dire plus ou alors je dois le mettre en font 24 / gras et clignotant avec des néon rose avec le mot SEX pour attirer au mieu le regard ...
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar achel » 17 Mai 2008 02:59

Je vois que tu as posté en même temps que je rectifiais mon post précédent à ta réponse =>

Tu as la page html avec l'exemple pour clarkconnect entreprise ... donc, oui, y'a dequoi être surpris mais la version payante a bien un outil égal à la zone orange de IPcop ... pour ça que je posais la question. Il ne parlent pas de plusieurs IP dans le texte mais dans l exemple on voit bien "a single public IP" ... donc je me doute que c'est si on possède plusieurs IP ou alors si on se goure en traduction "tout les ports et protocole vers une adresse IP publique unique" ... fo voir ce qu on comprend par "Single" => "Dédiée" ou "la seule ip que vous ayez" ...
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar jdh » 17 Mai 2008 03:45

Oui la Rfc 1945 décrit le protocole HTTP (1.0) (et en plus elle n'est pas obsolète !).

Ce serait plutôt les chapitres 4 et 5 (5.1 ainsi que l'exemple donné en 5.1.2) qui apportent l'explication (qui fait toute la différence avec les protocoles tel FTP, SMTP, ...).

Quand j'écris qu'Ipcop n'est pas vraiment prévu pour le 1-1-nat, et que j'écris 1:1-nat comme pfSense, c'est parce qu'il n'y a pas que Clarkconnect ... Et si j'écris "je suis surpris", je suis désolé que mon humour n'est pas été compris : tant iptables (pour Linux) que pf (pour les xBSD) sont bien évidemment capables de faire du 1:1-nat. Ipcop, comme on peut le trouver en recherchant sur ce forum, n'est pas la meilleure solution ...

(Je ne pense pas être contradictoire : j'ai pratiqué, en entreprise, et pas seulement réfléchi ou testé, ces différents cas. Ou alors, je suis mal compris !).



A 1h10, la demande est, en effet, (enfin,) de connaître toutes les possibilités ... Plutôt qu'utiliser des artifices de présentation, la question des possibilités eut gagné à être posée au premier fil (au lieu d'un incompréhensible "la mise en place de DMZ et de redirection totale dans un réseau à l'aide du nom de la machine dans le domaine").
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar achel » 17 Mai 2008 04:17

Ok si ca a été mal compris dans le premier post (d'ailleur je demandais de m en faire part) mais pas sur un ton prenant un style majuscule que je trouve presque injurieux ... (on crie pas sur le gens quand on n'a pas compris une question) : c'est un peu l'habitude sur ce forum malheureusement, et je ne suis pas le seul à y avoir droit je le sais (d'autres personnes venant y poster et que je connais personnellement, trouvant souvant les posteurs ayant un grade élevé hautains et dédaigneux, mais bon, quand on le sait et qu'on a quelque chose à demander on l accepte dans certaines mesures)

Je parlais de DMZ parceque j'avais vu ces options dans diverses distributions (comme celle de clark et de ipcop, monowall le fait aussi et pf de même ... ) mais je demandais en fin de posts :

Code: Tout sélectionner
- Quelqu'un a t'il le même souci ? l'a t'il résolu et si oui : comment ?


Je pense sincèrement qu'en bon français (grammaticalement et au niveau du sens de la phrase), cette phrase explique que je demande une résolution et que si le truchement que j'emplois n'est pas le bon, de m'exposer comment y arriver ...

Redire en réponse que c'est impossible à partir d'une seule connexion aurait été simple et concis, puis énnoncer les différentes possibilités (oui c'est possible en possédant plusieurs IP publique et en utilisant tel ou tel distributions qui offre la possibilité du rerroutage de ces IP dans le réseau interne ... ou alors tu peux faire autrement en faisant ...).

J'admet que je ne suis pas informatitien ... mais je suis déjà à mon deuxième mémoire sur le sujet (ça ne fait pas de moi un pro, mais je consacre mon travail au diverses possibilités que m'offrent ces systèmes et en cas de résolutions impossibles, une réponse est la bienvenue car on peut me demander pourquoi celà est impossible lors de ma défense de projet ou de donner une manière de faire, même si elle est irréalisable au niveau du coût matériel) et bientôt la thèse ...

Me poser une question sur le protocole HTML ne sert pas à grand chose, en bon étudiant (pas si jeune que ça d'ailleur, car ce ne sont pas mes premières études ... ) j'ai évidement regardé attentivement les définitions des différents protocoles que je dois manipuler ... en partant des documents canoniques qui font évidement partie de la bibliographie de mon travail ... c'est la moindre des choses (et perso je trouve que le nota qui est à l'alinéa dont je te parlais est une réponse correcte).

Bon, passons sur ce laïus interminable sur la manière de discourir sur ce forum sans se crèper le chignon ... y'a t'il d'autres moyens pour pouvoir avoir accès à des serveurs se situant DANS un réseau local, de manière transparente, COMME si chacun de ces serveurs étaient mis en DMZ du routeur; de manière concise et précise de manière à trouver de la documentation qui s'y rapporte (pfiou).

Merci
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar jdh » 17 Mai 2008 10:56

- Quelqu'un a-t-il eu le même souci ?
Moi, en conditions pro, il y a déjà longtemps. Mais j'avais réfléchi, et je savais qu'il est impossible de faire un tel disptach par nom de domaine. A noter que j'ai initialement scripté moi-même en iptables, puis choisi Shorewall, base de MNF et d'une future Ipcop.

- Y a-t-il des routeurs permettant de faire plusieurs DMZ ?
Je ne pense pas que ce soit le pb du routeur mais celui d'un firewall. Mais est-il besoin de faire autant de DMZ que de serveurs ? Cela semble inutile (peut-être un autre adjectif).

- Y-a-t-il des distributions Linux dédiés à faire des DMZ ?
Tu en cites 3 (et tu oublies celle qui monte, y compris sur Ixus). C'est le propre d'un firewall !

- Tutos qui traitent de la mise en place de DMZ et de redirection totale dans un réseau à l'aide du nom de la machine dans le domaine ? (Qui a compris la fin de cette question ?)
Quand on a UNE SEULE adresse ip publique, il est EVIDENT qu'il n'est pas possible d'utiliser le n° de port standard de la plupart des protocoles pour chaque machine (sauf HTTP, et tu as montré que tu savais pourquoi).



La question principale est bien sur la 4ème. A laquelle je donne, dès mon 1er fil, une réponse dans un paragraphe clair, simple, concis (et dense) ... parce que c'est EVIDENT. Non ? Et puis ce n'est pas "quelque chose d'assez technique". C'est même un problème banal, déjà posé sur ce forum à plusieurs reprises (c'est d'ailleurs pour cela qu'on sait qu'Ipcop n'est pas vraiment prévu pour).


Par ailleurs, (et je peux comprendre que tu n'apprécies pas), AMHA tu utilises BEAUCOUP trop de distributions au lieu de capitaliser sur UNE, ce qui te rendrais plus efficace. On peut interpreter cela comme une attitude non de persévérance mais de prise d'une autre solution. Or, on met en place qu'UN seul firewall, donc il faut plutôt perséverer.

Le questionnement sur différents firewalls est particulièrement curieux puisque, par définition, le rôle d'un firewall est de "créer" des DMZ (avec plus ou moins de facilité due à la conception de la distribution).

Ensuite, poser la question de "pourquoi HTML y arrive", alors que la réponse est qu'il y dans le premier paquet (envoyé à une adresse ip) une requête indiquant le nom de domaine, mécanisme qui permet de dispatcher, et tandis que cela n'existe pas dans tous les autres protocoles. Cette particularité caractéristique de HTTP, bien connue, explique l'EVIDENCE que les autres protocoles ne peuvent être dispatchés selon le nom de domaine. AMHA la connaissance de ce détail entraîne la réflexion sur les autres protocoles.


Tout cela donne une impression de "je maîtrise plein de distribution" alors que la question "dispatch selon le nom de domaine" parait très évidente quand on connaît la différence HTTP <-> autres protocoles (ce qui est, en plus le cas).

Moi je peux imaginer qu'une Debian bien configurée est capable d'être LE serveur web supportant PLUSIEURS sites DIFFERENTS techniquement. (Beaucoup de services web sont décrits avec des tutos pour Debian).

AMHA la persévérance, comme la curiosité, est une qualité essentielle pour un informaticien.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jdh » 17 Mai 2008 11:07

- Quelqu'un a-t-il eu le même souci ?
Moi, en conditions pro, il y a déjà longtemps. Mais j'avais réfléchi, et je savais qu'il est impossible de faire un tel disptach par nom de domaine. A noter que j'ai initialement scripté moi-même en iptables, puis choisi Shorewall, base de MNF et d'une future Ipcop.

- Y a-t-il des routeurs permettant de faire plusieurs DMZ ?
Je ne pense pas que ce soit le pb du routeur mais celui d'un firewall. Mais est-il besoin de faire autant de DMZ que de serveurs ? Cela semble inutile (peut-être un autre adjectif).

- Y-a-t-il des distributions Linux dédiés à faire des DMZ ?
Tu en cites 3 (et tu oublies celle qui monte, y compris sur Ixus). Mais faire un/des DMZ ... c'est le propre d'un firewall !

- Tutos qui traitent de la mise en place de DMZ et de redirection totale dans un réseau à l'aide du nom de la machine dans le domaine ? (Qui a compris la fin de cette question ?)
Quand on a UNE SEULE adresse ip publique, il est EVIDENT qu'il n'est pas possible d'utiliser le n° de port standard de la plupart des protocoles pour chaque machine (sauf HTTP, et tu as montré que tu savais pourquoi).



La question principale est bien sur la 4ème. A laquelle je donne, dès mon 1er fil, une réponse dans un paragraphe clair, simple, concis (et dense) ... parce que c'est EVIDENT. Non ? Et puis ce n'est pas "quelque chose d'assez technique". C'est même un problème banal, déjà posé sur ce forum à plusieurs reprises (c'est d'ailleurs pour cela qu'on sait qu'Ipcop n'est pas vraiment prévu pour).


Par ailleurs, (et je peux comprendre que tu n'apprécies pas), AMHA tu utilises BEAUCOUP trop de distributions au lieu de capitaliser sur UNE, ce qui te rendrais plus efficace. On peut interpreter cela comme une attitude non de persévérance mais de prise d'une autre solution. Or, on met en place qu'UN seul firewall, donc il faut plutôt perséverer.

Le questionnement sur différents firewalls est particulièrement curieux puisque, par définition, le rôle d'un firewall est de "créer" des DMZ (avec plus ou moins de facilité due à la conception de la distribution).

Ensuite, poser la question de "pourquoi HTML y arrive", alors que la réponse est qu'il y dans le premier paquet (envoyé à une adresse ip) une requête indiquant le nom de domaine, mécanisme qui permet de dispatcher, et tandis que cela n'existe pas dans tous les autres protocoles. Cette particularité caractéristique de HTTP, bien connue, explique l'EVIDENCE que les autres protocoles ne peuvent être dispatchés selon le nom de domaine. AMHA la connaissance de ce détail entraîne la réflexion sur les autres protocoles.


Tout cela donne une impression de "je maîtrise plein de distribution" alors que la question "dispatch selon le nom de domaine" parait très évidente quand on connaît la différence HTTP <-> autres protocoles (ce qui est, en plus le cas).

Moi je peux imaginer qu'une Debian bien configurée est capable d'être LE serveur web supportant PLUSIEURS sites DIFFERENTS techniquement. (Beaucoup de services web sont décrits avec des tutos pour Debian).

AMHA la persévérance, comme la curiosité, est une qualité essentielle (et indispensable) pour un informaticien.


Pour revenir à la dernière question "y'a t'il d'autres moyens pour pouvoir avoir accès à des serveurs se situant DANS un réseau local, de manière transparente, COMME si chacun de ces serveurs étaient mis en DMZ du routeur;", je ne trouve pas cela CLAIR du tout (je ne dois pas être le seul !).

Les routeurs offrent souvent une fonction "DMZ". Cela consiste à envoyer TOUT le trafic entrant vers UNE adresse ip interne. Il y a 2 mots importants : TOUT et UNE.

AMHA, le fait que ce soit TOUT montre que le UNE doit être un firewall ... qui d'ailleurs transféra seulement quelques trafics aux serveurs en DMZ.

Une bonne conception de DMZ c'est de créer un réseau pour lequel on filtrant tant les flux venant d'internet que ceux venant du réseau interne (dit Green).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 0 invité(s)

cron