Petite question sur la DMZ

[ry]

Bonjour, me revoila <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>J'ai une petite question concernant la DMZ. Si j'ai bien compris, pour faire une DMZ il faut disposer de 3 interfaces sur la passerelle (internet, local pour le réseau interne, local pour la DMZ). Qqun peut me confirmer ça ? <BR> <BR>Ensuite, si c'est le cas, je voulais savoir si vous pouviez comfirmer que pour faire une DMZ via IpCop, il faut choisir l'installation GREEN/ORANGE/RED avec GREEN pour le réseau interne, ORANGE pour la DMZ et RED pour internet ? <BR> <BR>Enfin, dernière question, que mettre pour chaque IP ? <BR>RED = donnée par le FAI <BR>ORANGE = 192.168.0.1/254 <BR>GREEN = 192.168.1.0/254 <BR> <BR>ça marche ça ? <BR> <BR> <BR>merci!

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-15 20:57, ry a écrit: <BR>Bonjour, me revoila <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>J'ai une petite question concernant la DMZ. Si j'ai bien compris, pour faire une DMZ il faut disposer de 3 interfaces sur la passerelle (internet, local pour le réseau interne, local pour la DMZ). Qqun peut me confirmer ça ? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je confirme, tu as tout bon ! <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Ensuite, si c'est le cas, je voulais savoir si vous pouviez comfirmer que pour faire une DMZ via IpCop, il faut choisir l'installation GREEN/ORANGE/RED avec GREEN pour le réseau interne, ORANGE pour la DMZ et RED pour internet ? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Bravo ! Tu as effectivement bien compris ! <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR> <BR>Enfin, dernière question, que mettre pour chaque IP ? <BR>RED = donnée par le FAI <BR>ORANGE = 192.168.0.1/254 <BR>GREEN = 192.168.1.0/254 <BR> <BR>ça marche ça ? <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Tu as là encore bien pigé l'idée, il faut deux reseau separés. <BR>Par contre pour les pasques c'est pas ça. <BR> <BR>Tu n'as qu'à faire simple : un lan de classe C (te permet 255 machines) et une DMZde classe C aussi, comme ça pas d'ennuis <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>ORANGE = 192.168.0.1 masque 255.255.255.0 (ca fait /24 ca, tu as un peu mélangé le masque et le nombre de bits à 1....) <BR>GREEN = 192.168.1.1 masque 255.255.255.0 (encore /24) <BR> <BR> <BR>on reserve l'adresse 0 pour designer l'ensemble d'un sous-reseau, donc il ne faut pas le mettre comme ip (par exemple 192.168.0.0/24 designe tout le ORANGE) <BR>on reserve l'adresse 255 pour adresser toutes les stations du reseau = broadcast (par exemple 192.168.0.255 va vers toutes les machines de la DMZ, IPCop incluses). <BR> <BR> <BR>IPCop appartient à chacun des reseau puisqu'il a une adresse dans chaque ! <BR> <BR> <BR>Bonne continuation <BR> <BR> <BR>Tom <BR> <BR> <BR>merci! <BR>[/quote]

[seb57]

alors : <BR>1: oui <BR>2: oui <BR>3: oui <BR> <IMG SRC="images/smiles/icon_smile.gif">

[Mad_Man]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Enfin, dernière question, que mettre pour chaque IP ? <BR>RED = donnée par le FAI <BR>ORANGE = 192.168.0.1/254 <BR>GREEN = 192.168.1.0/254 <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Non, pour green il faut utiliser 192.168.1.1 car 192.168.1.0 désigne le réseau, et n'est pas une adresse ip.

[Mad_Man]

Escuse Tom, j'avais pas vu que tu avais déjà repris <IMG SRC="images/smiles/icon_biggrin.gif">

[seb57]

on a été trés synchro sur ce coup la tomtom <BR>mais bon j'ai fait court !!! <IMG SRC="images/smiles/icon_lol.gif">

[Mad_Man]

Whoaaa, les posts en rafale <IMG SRC="images/smiles/icon_smile.gif">

[ry]

Ah d'accord merci bcp <IMG SRC="images/smiles/icon_smile.gif"> <BR>Puisque mon topic à du succès, je continue <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Si je possède un serveur dans ma DMZ (ce qui est très probable), je dois donc utiliser le transfert de ports et pas autre chose ? <BR>Par contre, si je veux que GREEN puisse accèder à ORANGE, je dois passer par "Accès à la DMZ" ? <BR> <BR>(je me souviens en avoir parlé avec tomtom dans un autre topic mais je n'avais pas eu de réponse) <BR> <BR>

[Vinzstyle]

Oui tu as tout bon. <IMG SRC="images/smiles/icon_smile.gif">

[tomtom]

En fait tu n'as besoin de rien faire pour que green acced à Orange. <BR> <BR>Green accede où il veut avec les config par defaut. <BR> <BR>Par contre, tu utiliseras les acces DMZ si tu veux que ton serveur en DMZ puisse lui etablir une connexion vers le green, sur un port et une adresse precise de préférence ! <BR> <BR> <BR>Mais si tu veux juste acceder à ton site internet depuis le green, no problem et rien à faire! <BR> <BR>Tom

[seb57]

ben a priori green a forcement le droit d'aller sur la dmz sans rien faire <BR>c'est quand on veut que la dmz aille sur le green (vivement déconseillé mais on a pas toujours le choix) qu'il faut créer des règles. <BR> <BR>je me trompe peut être mais chez moi le green accéde sans prob a la orange et cela sans rien faire(je trouve ça normal!!!) <IMG SRC="images/smiles/icon_smile.gif">

[seb57]

décidement TOMTOM .... <BR>mais la j'ai quand même deux minutes de retard !!! <IMG SRC="images/smiles/icon_lol.gif">

[ry]

Oui, je vois (ça m'étonnait un peu en fait <IMG SRC="images/smiles/icon_wink.gif">) <BR> <BR>Mais je vois pas trop quelle est l'utisation pour la DMZ d'accéder au réseau interne. Vous avez des exemples concrets ?

[seb57]

ben par exemple si ton serveur doit interroger une base de donnée hebergé sur le green <BR>mais bon ça reste surtout valable pour une utilisation pro et si on a le choix mieux vaut éviter c'est quand même une faille de sécurité potentielle <IMG SRC="images/smiles/icon_smile.gif">

[tomtom]

Un exemple tout simple : <BR> <BR>tu as un serveur web ou des utilisateurs s'enregitrent. <BR>En green, tu as un serveur protégé qui traite ces données mais qui ne doit pas être corrompu car ce sont des données sensibles. Tu vas autoriser le serveur de DMZ à "pusher" vers celui du green quand il a des infos.... <BR> <BR>Ca introduit une legere faille (puisque en cas de compromission de la dmz il y a un port ouvert pour rentrer) mais c'est préférable à laisser ton serveur GREEN directement dans la dmz, auquel cas il ne serait pas protégé du tout.... <BR> <BR>Mais tant que l'on peut eviter, il vaut mieux... <BR> <BR>Tom