une petite précision..

[draconis]

Bonjour,

Cela fait plusieurs jours je me renseigne sur la DMZ d'Ipcop. J'ai commencer pas le noob kit et plusieurs articles du forums.

Si j'ai bien compris:
le flux red -> orange est fermé. il faut donc il faut faire un Nat pour que ma machine soit accessible depuis internet.

C'est à dire que le réseau orange et soumis au même "règles" que le réseau green. Et qu'hormis les redirections de port la sécurité est la même pour le réseau green que le réseau orange?

Merci

[jdh]

Le réseau DMZ et Green sont des réseaux privés donc normalement inaccessibles depuis l'extérieur.

L'extérieur (= Internet) peut initier une communication à destination d'un serveur en DMZ (et non en Green, du moins logiquement parlant). Cette opération est effectivement appelé NAT mais on pourrait plutôt parler de port forwarding ou ouvertures de ports.

Le firewall Ipcop se contente donc de filtrer les flux en respectant des politiques par défaut, des règles créés par BOT et ces ouvertures de port.

[ccnet]

le flux red -> orange est fermé. il faut donc il faut faire un Nat pour que ma machine soit accessible depuis internet.

Oui

L'extérieur (= Internet) peut initier une communication à destination d'un serveur en DMZ (et non en Green, du moins logiquement parlant). Cette opération est effectivement appelé NAT mais on pourrait plutôt parler de port forwarding ou ouvertures de ports.

Deux opérations sont effectuées simplement grâce à l'interface d'ipcop.
1. Une ouverture de port.
2. Une translation d'adresse pour ce port (PAT).
Dans d'autres firewall il faut effectivement entrer manuellement chacune des règles.

Sinon BOT est impératif et ipcop fait ce qu'indique JDH.

[draconis]

On peut donc parler de DMZ privé ?

Dans la logique Ipcop, on utilisera le réseau orange pour ouvrir des ports sur une machine plutôt que d'utilisé seulement le réseau green. La politique de ne pas mettre ses oeufs dans le même panier.

Dans l'absolu un serveur web restera autant qu'il soit en green(avec transfert de port 80) ou en orange (avec transfert de port 80) ?

[jdh]

La DMZ est le réseau dans lequel on place les serveurs pouvant être accédés depuis Internet ou pouvant accéder à Internet.

Le réseau Green (le LAN) est le réseau dans lequel on place les machines ne pouvant pas accéder à Internet (sauf via une machine en DMZ) et ne devant pas être accédé depuis Internet.

Le proxy, quelque fois placé sur Ipcop lui-même, est à considérer comme une machine en DMZ.
(Ceci pour les petites config).


Enfin ça c'est la logique que l'on doit privilégier ...

[draconis]

Ok, donc il vaut mieux ouvrir un port vers la dmz et ainsi préservé mon lan. Et si je n'ouvre aucun port vers ma dmz ma machine ne sera pas accessible depuis internet puisque c'est un réseau privé.