ERASE
Modérateur: modos Ixus
15 messages
• Page 1 sur 1
par jdh » 27 Mai 2009 14:15
Bonjour, (bienvenue)
Il y a des infos, c'est un point positif.
Néanmoins certaines sont assez confuses :
- SME : en "server only" ou en "server+gateway" (c'est quand même un élément essentiel)
- Modem neuf box devient modem ip : plus simple "neufbox"
Le schéma est incertain : qu'est ce qui est relié à la neufbox ? la SME ou un IPCOP ou les deux ?
D'ailleurs pourquoi un schéma à base d'IPCOP + SME : pour démarrer, il vaut mieux utiliser SME seul (en "server+gateway") ?
Je pense qu'il faudrait découper le sujet :
- schéma réseau
- adressages + dns
- dyndns
- ports ouverts
- ...
Il me semble étonnant de faire 192.168.1.1 pour accéder à SME alors qu'il s'agit de la neufbox ?
Il y a des infos, c'est un point positif.
Néanmoins certaines sont assez confuses :
- SME : en "server only" ou en "server+gateway" (c'est quand même un élément essentiel)
- Modem neuf box devient modem ip : plus simple "neufbox"
Le schéma est incertain : qu'est ce qui est relié à la neufbox ? la SME ou un IPCOP ou les deux ?
D'ailleurs pourquoi un schéma à base d'IPCOP + SME : pour démarrer, il vaut mieux utiliser SME seul (en "server+gateway") ?
Je pense qu'il faudrait découper le sujet :
- schéma réseau
- adressages + dns
- dyndns
- ports ouverts
- ...
Il me semble étonnant de faire 192.168.1.1 pour accéder à SME alors qu'il s'agit de la neufbox ?
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ccnet » 27 Mai 2009 15:24
SME et IP cop brancher en direct sur le Modem
Vous pouvez expliciter cela ?
Un SME seul en serveur + gateway serait préférable et plus rationnel pour commencer.
Sinon ipcop devrait être en RED+GREEN+ORANGE pour placer le serveur web, mail, etc ... dans la dmz. Qu'il s'agisse de sme mode serveur seul ou d'un autre serveur assurant les même fonctions.
Je vous recommande de suivre le découpage proposé par jdh pour ne pas vous noyer et rationaliser le tout.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdh » 27 Mai 2009 21:22
A titre perso, je suis contre l'utilisation du Wifi d'une box en même temps qu'un firewall.
(Et d'autant plus quand je lis http://www.pcinpact.com/actu/news/51046 ... groupe.htm même si c'est pour Free ! Et pourtant j'ai une fonera mais elle est sur une interface dédiée.)
Quand on met un firewall, il est évident qu'il y a une difficulté à identifier les PC Wifi qui viennent de Red auquels, immanquablement, on voudra, à un moment, donner accès à ou de Green. Par exemple ici la TV !
Un routeur wifi ne coûte pas cher alors la position naturelle est Blue et c'est simple.
Dans ce schéma, je ne vois pas pourquoi la SME ne serait pas en Orange : c'est la position naturelle de n'importe quel serveur en DMZ. D'ailleurs actuellement la SME est en Red par rapport à Ipcop, ce qui la fait ressembler aux PC en wifi.
Les difficultés de fonctionnement serait sans doute bien réduites avec un positionnement normal des éléments ...
(Et d'autant plus quand je lis http://www.pcinpact.com/actu/news/51046 ... groupe.htm même si c'est pour Free ! Et pourtant j'ai une fonera mais elle est sur une interface dédiée.)
Quand on met un firewall, il est évident qu'il y a une difficulté à identifier les PC Wifi qui viennent de Red auquels, immanquablement, on voudra, à un moment, donner accès à ou de Green. Par exemple ici la TV !
Un routeur wifi ne coûte pas cher alors la position naturelle est Blue et c'est simple.
Dans ce schéma, je ne vois pas pourquoi la SME ne serait pas en Orange : c'est la position naturelle de n'importe quel serveur en DMZ. D'ailleurs actuellement la SME est en Red par rapport à Ipcop, ce qui la fait ressembler aux PC en wifi.
Les difficultés de fonctionnement serait sans doute bien réduites avec un positionnement normal des éléments ...
Dernière édition par jdh le 27 Mai 2009 21:24, édité 3 fois au total.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par sibsib » 28 Mai 2009 21:54
Bonjour,
CCnet est peut-être un peu 'tranchant' sur ce post
mais fondamentalement, il a raison.
bane746, le réseau que tu essayes de monter est une hérésie. Ou alors, il nous manque beaucoup d'infos
Maintenant, je ne sais pas s'il est possible d'expliquer les fondamentaux de la sécurité via un simple post (en tout cas, je ne m'en sens pas capable).
* Juste pour info : si tu n'avais pas rencontré ce soucis d'accès à une page web, tu ne nous aurais pas présenté ton architecture, et donc, personne ne t'aurait dit qu'elle est ..... on va dire originale (saches qu'en termes de sécurité, c'est plutôt un gros mot )
Je précise ce point, pas pour toi, mais d'une manière plus générale. Très fréquemment, un montage de sécurité est fait, qui s'avère après analyse soit inefficace, soit inadapté. le problème de la sécurité, c'est qu'on ne sait si elle est vraiment efficace que si l'on s'en sert. Donc, plutôt que l'originalité, il est fortement recommandé (au moins par moi ) d'en rester à des recettes largement éprouvées. *
Sinon, pour ton souci, il doit en effet y avoir une solution, il se peut qu'il te manque juste une route sur ton SME (je n'ai pas assez d'infos de toutes façons pour aller plus loin), mais, vu que ton montage est inadapté, je fais le choix de ne pas t'aider.
Ceci peut te choquer, mais je te rappelle qu'à la base, Ixus est un forum orienté sécurité.
A+,
Pascal
CCnet est peut-être un peu 'tranchant' sur ce post
mais fondamentalement, il a raison.
bane746, le réseau que tu essayes de monter est une hérésie. Ou alors, il nous manque beaucoup d'infos
Maintenant, je ne sais pas s'il est possible d'expliquer les fondamentaux de la sécurité via un simple post (en tout cas, je ne m'en sens pas capable).
* Juste pour info : si tu n'avais pas rencontré ce soucis d'accès à une page web, tu ne nous aurais pas présenté ton architecture, et donc, personne ne t'aurait dit qu'elle est ..... on va dire originale (saches qu'en termes de sécurité, c'est plutôt un gros mot
) Je précise ce point, pas pour toi, mais d'une manière plus générale. Très fréquemment, un montage de sécurité est fait, qui s'avère après analyse soit inefficace, soit inadapté. le problème de la sécurité, c'est qu'on ne sait si elle est vraiment efficace que si l'on s'en sert. Donc, plutôt que l'originalité, il est fortement recommandé (au moins par moi
) d'en rester à des recettes largement éprouvées. *
Sinon, pour ton souci, il doit en effet y avoir une solution, il se peut qu'il te manque juste une route sur ton SME (je n'ai pas assez d'infos de toutes façons pour aller plus loin), mais, vu que ton montage est inadapté, je fais le choix de ne pas t'aider.
Ceci peut te choquer, mais je te rappelle qu'à la base, Ixus est un forum orienté sécurité.
A+,
Pascal
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
par ccnet » 28 Mai 2009 23:52
Je reviens néanmoins sur ce post pour en signaler deux aspects exaspérants.
1. Nous sommes assez nombreux à répéter ce que sont les principes de bases, simples, en terme d'architecture d'un réseau sain, si ce n'est sûr. Sain parce que si il n'est pas sûr il peut le devenir parce que son organisation générale le permet. On se demande si cela sert à quelque chose. En tout cas pas à tout le monde. Comme si l'information manquait sur ce genre de sujet. Comme si il n'éait pas possible de retrouver l'information.
2. Le motif pour lequel les choses n'ont pas été faites proprement :
Lorsque l'on sait ce que coûte une carte réseau aujourd'hui, au pire sur Ebay. Moins de 10 euros, voire moins de 5 euros. C'est quand même un sommet.
1. Nous sommes assez nombreux à répéter ce que sont les principes de bases, simples, en terme d'architecture d'un réseau sain, si ce n'est sûr. Sain parce que si il n'est pas sûr il peut le devenir parce que son organisation générale le permet. On se demande si cela sert à quelque chose. En tout cas pas à tout le monde. Comme si l'information manquait sur ce genre de sujet. Comme si il n'éait pas possible de retrouver l'information.
2. Le motif pour lequel les choses n'ont pas été faites proprement :
Je n'ai pas fait de DMZ sur IPcop car je n'ai pas de 3e carte réseau
Lorsque l'on sait ce que coûte une carte réseau aujourd'hui, au pire sur Ebay. Moins de 10 euros, voire moins de 5 euros. C'est quand même un sommet.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdh » 29 Mai 2009 06:56
Que ccnet ou moi (jdh) soyons classés dans la catégorie des "ronchons" ou "cassants" quand il y a un problème mal posé, incohérent ou sans aucune recherche, c'est possible voire certain.
Mais là, quand sibsib lâche l'affaire, cela veut dire plus ...
Ce fil résume une partie de ce qui est fatiguant et usant pour nous !
sur la forme
- mal posé : le premier exposé est peu clair, confus et incomplet, toutefois il y a des infos.
- schéma : pourquoi ne pas l'avoir indiqué dès le départ ? toutefois il existe.
sur le fond
- encore un SME+Ipcop : schéma NE CONVENANT PAS au débutant.
- que 2 cartes dans Ipcop : si on comprend qu'il y a besoin de 3, on agit ...
- wifi sur box : c'est mal avec un firewall
Moi, je pense qu'il serait bon de repenser les vrais besoins, reposer SUR le papier avec PRECISION ce qui est vraiment nécessaire, faire des étapes, imaginer des tests SIMPLES pour vérifier le fonctionnement.
Bref c'est à reprendre parce qu'en l'état, cela ne fonctionnera que mal !
Les anglophones disent KISS : Keep It Simple and Stupid. C'est le chemin vers l'efficacité ...
(En français, il faut utiliser le mot "stupide" ou "bête à manger du foin" : un schéma "bête à manger du foin" est souvent efficace ...)
Mais là, quand sibsib lâche l'affaire, cela veut dire plus ...
Ce fil résume une partie de ce qui est fatiguant et usant pour nous !
sur la forme
- mal posé : le premier exposé est peu clair, confus et incomplet, toutefois il y a des infos.
- schéma : pourquoi ne pas l'avoir indiqué dès le départ ? toutefois il existe.
sur le fond
- encore un SME+Ipcop : schéma NE CONVENANT PAS au débutant.
- que 2 cartes dans Ipcop : si on comprend qu'il y a besoin de 3, on agit ...
- wifi sur box : c'est mal avec un firewall
Moi, je pense qu'il serait bon de repenser les vrais besoins, reposer SUR le papier avec PRECISION ce qui est vraiment nécessaire, faire des étapes, imaginer des tests SIMPLES pour vérifier le fonctionnement.
Bref c'est à reprendre parce qu'en l'état, cela ne fonctionnera que mal !
Les anglophones disent KISS : Keep It Simple and Stupid. C'est le chemin vers l'efficacité ...
(En français, il faut utiliser le mot "stupide" ou "bête à manger du foin" : un schéma "bête à manger du foin" est souvent efficace ...)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ccnet » 29 Mai 2009 10:01
bane746 a écrit:ccnet a écrit:Je reviens néanmoins sur ce post pour en signaler deux aspects exaspérants.
1. Nous sommes assez nombreux à répéter ce que sont les principes de bases, simples, en terme d'architecture d'un réseau sain, si ce n'est sûr. Sain parce que si il n'est pas sûr il peut le devenir parce que son organisation générale le permet. On se demande si cela sert à quelque chose. En tout cas pas à tout le monde. Comme si l'information manquait sur ce genre de sujet. Comme si il n'éait pas possible de retrouver l'information.
2. Le motif pour lequel les choses n'ont pas été faites proprement :Je n'ai pas fait de DMZ sur IPcop car je n'ai pas de 3e carte réseau
Lorsque l'on sait ce que coûte une carte réseau aujourd'hui, au pire sur Ebay. Moins de 10 euros, voire moins de 5 euros. C'est quand même un sommet.
Pour le 3e carte reseau ce n'est pas possible car la machine qui contient IP cop ne peut contenir que 2 cartes en PCI .... (les deux cartes réseau)
http://cgi.ebay.fr/CARTE-RESEAU-INTEL-2 ... .m20.l1116
Augmentons le budget de façon délirante, démente, no limit : 19 euros ! Il y existe aussi un modè1e 4 ports.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdh » 29 Mai 2009 13:22
Ce n'est pas qu'on est pas capable d'aider sur ce problème, c'est que tu ne tolères pas que l'on ne réponde pas comme tu veux !
Si tu nous sollicites, il faut savoir accepter les réponses ... même si ce ne sont pas celles attendues !
Le schéma n'est pas le bon. Point.
Tu ne veux pas te remettre en question. Point.
Nous n'y pouvons rien.
Si tu nous sollicites, il faut savoir accepter les réponses ... même si ce ne sont pas celles attendues !
Le schéma n'est pas le bon. Point.
Tu ne veux pas te remettre en question. Point.
Nous n'y pouvons rien.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
15 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité