conseils

par **fanzy** » 29 Mai 2008 22:30

bonsoir,
je connais sme server mais je l'avais utiliser en tant que routeur à l'époque.
maintenant je passe par un routeur netgear. dans ce cadre dois je mettre mon serveur linux en mode server only. est il aussi bien protégé qu'en mode server passerelle ?

merci d'avance
JL

par **ccnet** » 30 Mai 2008 00:04

Le routeur Netgear fait il office de firewall ? Toute la question est là. Le fait il efficacement ?

par **fanzy** » 30 Mai 2008 07:01

bonjour,
je pense que oui il est déjà masquerading ...
c'est un routeur rp 614 v3
ca peu peut etre vous aider
merci
JL

par **philipp** » 30 Mai 2008 10:03

bonjour
masquerading ?

fanzy a écrit:je passe par un routeur netgear. dans ce cadre dois je mettre mon serveur linux en mode server only. est il aussi bien protégé qu'en mode server passerelle ?

Pour mémoire...
Quel est l'intérêt pour vous de procéder de cette manière ?

par **ccnet** » 30 Mai 2008 10:09

je pense que oui

Sur ce genre de chose il faut être certain. Vous ne pouvez pas prendre un tel risque.

par **jibe** » 30 Mai 2008 22:29

Salut,

La question est très incomplète : il faut s'inquiéter non seulement de ce qu'il va advenir de la SME et de ce qu'elle héberge, mais aussi de ce qu'il advient de tout l'ensemble...

Et s'inquiéter de ce qu'il va advenir de la SME, c'est se demander quelle va être sa place dans une nouvelle architecture à définir... Héberge-t-elle des services orientés Web, LAN ou les deux ? Cela change tout !

Tout cela, en supposant que le routeur Netgear soit un choix judicieux ! Que fait-il que SME ne fait pas ? Le choix n'est judicieux que si les avantages dépassent les inconvénients.

A propos des architectures envisageables, voir ici. Et ne pas oublier cela.

par **fanzy** » 31 Mai 2008 08:12

bonjour,
merci pour vos éclaircissement, et oui il faut bien réfléchir à quoi faire. pour ma part je suis en liaison numéricable, modem tout simple avec routeur rp614 v3

http://www.netgear.com/Products/Routers ... RP614.aspx

a votre avis pour faire un server ftp privé, server web avec accès via pass, messagerie lan (pas externe)
est ce que cela suffirait ?
j'utilise beaucoup skype et si j'abandonnais ce type de produit, il suffirait j'imagine d'ouvrir le port skype sur le sme qui serait en frontal sur le net.
merci
cdt

par **unnilennium** » 31 Mai 2008 19:47

tu peux jeter ton routeur netgear il ne fait aps grand chose que la SME ne fasse pas en mieux.

Euh si en étant honnete la SME et l'UPNP c'est pas ça... mais l'UPNP est une belle faille de sécurité.

En ce qui concerne skype ca marche très bien sans toucher à rien, le logiciel est suffisamment astucieux pour passer n'importe ou mais tu peux ouvrir un port vers la station utilisant skype en plus si tu le désires.

Donc en résumé tu mets ta sme (en mode serveur passerel) derrière le modem et ton lan derrriere la sme.

Tu peux recycler ton routeur en switch 4 ports en lui désactivant le dhcp.

Après le seul choix d epas mettre la sme en passerelle serait de ne pas vouloir l'allumer en permanence... mais un serveur pas up en permanence c'est leger inutile.

JP

par **jdh** » 31 Mai 2008 20:11

Je ne crois pas, unilennium, que tu ais bien lu la demande initiale : fanzy veut mettre SME en "serveur only" avec un routeur.

Ma réflexion sur ce sujet :

- Quand on choisit SME, on fait un choix d'un ensemble complet de fonctionnalités en un serveur.
- A partir de ce moment, il faut reconnaître que le fonctionnement en "serveur+passerelle" est un fonctionnement sûr et fiable. Ce mode permet d'éviter un routeur en tête de réseau, ce qui simplifie les choses.
- Si on veut, absolument, mettre son serveur SME en "serveur only" (avec une seule carte réseau), il faut avoir un routeur ou un firewall en tête de réseau. Le firewall est à priori plus configurable et potentiellement plus sûr : on peut reprocher notamment à un routeur de tout autoriser à sortir (ce qui est MAL).

par **unnilennium** » 31 Mai 2008 21:16

jdh a écrit:Je ne crois pas, unilennium, que tu ais bien lu la demande initiale : fanzy veut mettre SME en "serveur only" avec un routeur.

j'ai du mal à trouver dans ses propos une volonté absolu d'utiliser le mode "serveur simple", ou une quelconque limitation matériel l'en obligeant.

Sa question est plutôt sur la sécurité d'un tel montage.

Je lui pointe donc une alternative plus efficiente à sa première idée proposée, au regard de la "fonction" firewall du routeur netgear qui est en fait un simple routeur NAT.

La précision est que la vulnérabilité viendrait plus du routeur lui même que de la sme en elle même dans le montage auquel il pense.

Mais laissons le s'exprimer à ce sujet.

par **philipp** » 31 Mai 2008 21:18

Bonsoir

unnilennium a écrit:Euh si en étant honnete la SME et l'UPNP c'est pas ça... mais l'UPNP est une belle faille de sécurité.

Pourriez vous donnez quelques explications pour l'UPnP ?
Pour être plus précis vaut-il mieux désactiver cette fonction sur un modem/routeur?

Philippe

par **jdh** » 31 Mai 2008 22:06

Il est clair que SME en "serveur+passerelle" n'a besoin que d'un modem, ce qui simplifie tout ...

Comme je l'écris, un routeur est une machine simple, simple. Elle effectue une simple translation d'adresse dans le sens LAN vers Internet SANS aucun filtrage (ce qui est MAL). Ce type de machine sait généralement aussi faire une translation dans le sens Internet vers LAN pour un serveur interne, trafic défini par tcp/udp et n° de port.

Un firewall peut être défini comme un "routeur filtrant". Le firewall agira comme un routeur, cf paragraphe précédent. Mais, depuis iptables, est capable d'assurer un suivi des connexion (conntrack, appelé parfois SPI : Stateful Packet Inspection). Mais surtout, il est capable de faire un filtrage plus performant, à commencer par le filtrage en sortie (qui est indispensable AMHA).

On voit fleurir les config IPCOP + SME parce qu'on a bien compris la "supériorité" d'un firewall. Pourquoi pas (au risque de réveiller le troll) ! Pourquoi pas ... à condition que le réglage d'un IPCOP soit sérieux et solide.

Et là on se rappelle que SME existe en "serveur + passerelle" avec un filtrage prédéfini de qualité équivalent à ... un IPCOP de base. Et cette solution est la meilleure à conseiller à ceux qui démarrent ... car c'est une solution KISS (Keep It Simple and Stupid ... and Systematic).

par **jibe** » 02 Juin 2008 19:18

Salut,

jdh a écrit:c'est une solution KISS (Keep It Simple and Stupid ... and Systematic).

... and Secure :wink:

(ce qui nous donne KISSSS :lol:

)

jdh a écrit:On voit fleurir les config IPCOP + SME parce qu'on a bien compris la "supériorité" d'un firewall. Pourquoi pas (au risque de réveiller le troll) ! Pourquoi pas ... à condition que le réglage d'un IPCOP soit sérieux et solide.

Tout à fait d'accord. Surtout sur le dernier point : à condition que le réglage de l'IPCOP soit sérieux et solide. Et c'est bien (et seulement) sur ce dernier point que je me suis battu : il faut de sérieuses connaissances en matière de réseaux et particulièrement de firewalling pour qu'un assemblage IPCOP+SME soit avantageux par rapport à SME seul. Or, dans la grande majorité des cas, on voit des aberrations déjà au niveau de l'architecture quand ce n'est pas un firewall transformé en passoire pour que puissent arriver dans le LAN toutes les requêtes HTTP, SMTP, FTP et autres que la SME doit gérer !!!

Mais passons : on est bien d'accord sur ce point. Et effectivement, une IPCOP en amont de SME, si elle est pourvue d'un firewall amélioré, est bien un plus.

Par contre, si j'ai bien compris la question de fanzy, il a une SME en serveur-passerelle qu'il désire transformer en serveur seul en ajoutant un routeur. A part une grosse perte en sécurité et des emm*** de configuration, je ne vois guère l'intérêt ? D'autant que sa SME sera serveur Web, et qu'elle va se retrouver dans le LAN...

par **fanzy** » 02 Juin 2008 22:54

bonsoir à tous,
merci pour vos contributions,
je vais repréciser ce que je souhaite faire.

en fait je souhaite mettre en place une machine qui ne serait non permanente pour commencer (c'est un véritable serveur en bi pro xeon avec 512 mo de ram). actuellement il est sur windows 2000 pro. il me sert de serveur ftp et de fichier. j'ai ouvert le port 21 seulement sur mon routeur (rp 614v3). Modem cable tout simple, ce n'est pas une box

mon projet serait d'utiliser sme server en version server only afin de remplacer win 2000 mais aussi d'ajouter la fonction mail et d'avoir un serveur web en php + mysql. A terme, oui effectivement je laisserais la machine allumer 24 h sur 24. je dispose d'un onduleur et prise protégées.

dans ce cadre, dois je faire un modification de mon réseau ? puis je éviter d'avoir 2 machines allumer 24 sur 24, j'avais une idée prendre un autre routeur de chez netgear. je veux toujours maintenir ma connexion réseau à 100 mega
j'ai trouvé ce produit si il fallait changer de routeur
http://www.netgear.fr/produits/produit.php?prod=FVS114

merci d'avance pour vos conseils
JL

par **jibe** » 04 Juin 2008 01:08

Salut,

As-tu lu nos posts ? Tu mets ta SME en serveur-passerelle derrière un simple modem ou un modem-routeur configuré en brige si c'est possible, ou avec tous les ports nécessaires ouverts. Toutes les autres machinesderrière ta SME qui fait office de routeur.

Cela ne fait qu'une bécane allumée en permanence. :roll:

conseils

conseils

Re: conseils

Qui est en ligne ?