Serveur groupwise derrière MNF

[risinsmok]

Bonjour, <BR> <BR> J'utilise un serveur groupwise (e.g : Lotus note ou exchange), je me demande ce qui serai le plus judicieux au niveau sécurité : <BR> <BR> -le mettre sur la DMZ ? <BR> -sur le réseau lan avec un forward ? <BR> <BR> Quelle type de config est le mieux appropriée dans ce cas et comment la réaliser ? <BR> <BR>J'utilise un serveur/firewall avec 4 cartes ethernet : <BR> <BR>eth0 ->lan 192.168.1.0/24 - 255.255.255.0 <BR>eth1 -> dmz 192.168.0/24 - 255.255.255.0 <BR>eth2 -> wan 212.234.x.x - 255.255.255.248 <BR>eth3 -> lan 192.168.2.0/24 - 255.255.255.0 <BR> <BR>Merci d'avance pour vos réponses que je sais fort judicieuses <IMG SRC="images/smiles/icon_smile.gif">

[grosbedos]

je ne connais pas ce dont tu parles.. <BR> <BR>mais en theorie tu dois mettre en DMZ tout serveur qui est accessible au net! <BR> <BR>donc si ton serveur doit etre accesible au net mais le dans la DMZ, si juste local, dans le LAN alors..

[arapaho]

Le mieux que tu puisses faire est de laisser ton serveur groupwise dans ton LAN. <BR>Par contre dans cette configuration brute, le serveur de mail ne peut que traiter les mails internes ainsi que ceux destinés à l'extérieur. <BR> <BR>C'est pourquoi je me permet de t'apporter une solution: <BR> <BR>Dans ta DMZ, tu montes un serveur sous Linux (Debian par exemple) sur lequel tu installes seulement Sendmail. Ce serveur va alors te permettre de recevoir des mails venant du net et sert simplement de relais entre le net et ta DMZ. Tu peux donc te permettre d'intaller un Antivirus (ClamAv qui est libre ou Trend Micro qui est pas mal du tout) sur ce serveur qui ne sera dedié qu'aux relaying de mail et à leur etude-désinfection si nécessaire. <BR> <BR>Ton serveur groupwise reste alors entierement opérationnel pour le traitement des opérations standards qui demandent tout de même bcp de puissance (tout depend du nombre de compte) sans avoir un installer une politique antivirus lourde sur celui-ci qui ne ferait que ralentir les processus de traitement. <BR> <BR>Ensuite pour le problème de l'accés aux mail depuis l'extérieur par tes salariés, tu as le choix entre deux solutions: <BR> <BR>1 - Soit les salariés se connectes en VPN au réseau de l'entreprise et ont accés à leur compte Win pour consulter leurs mails, <BR> <BR>2 - Soit tu montes un serveur Win2000 dans ta DMZ [si c'est Exchange] (non je ne rigole pas et ce n'est pas inscensé !!) avec le Exchange Frontweb Server (avec le link de ports qui va bien) et tes salariés se connectent dessus via le web et ont accés à leur mail tout naturellement, avec leur liste de contacts, leur agenda, etc .... <BR> <BR>NB: la mise en place d'un solution linux pour avoir un accés webmail depuis l'extèrieur et basée sur un produit su type Horde/imp ou squirelmail n'est pas vraiment réalisable àcause d'un problème de protocoles (SMTP/POP) de la part de Win. En plus tes salariés n'auront pas accés à leur liste de contacts

[risinsmok]

Merci pour tes conseils Arapaho mais tout cela me semble un peu compliqué pour un débutant comme moi... <IMG SRC="images/smiles/icon_find.gif"> <BR> <BR> Je pense que je vais opter pour une solution plus simple, de toute façon je n'ai pas d'autre machine à ma disposition pour l'instant. <BR>Je vais donc mettre le serveur dans ma DMZ et essayer de faire un masquage vers mon lan... <BR> <BR>Mais j'avoue que je suis un peu largué, la documentation "officielle" de la MNF n'est pas très claire et ne donne pas de réels exemples de configuration complète, comme je l'indique dans mon post précédent, <BR> <BR>mon serveur à pour adresse interne 192.168.0.2, <BR>l'interface DmZ du FW est en 192.168.0.1 <BR>et mon pc sur le lan : 192.168.1.50, <BR> <BR>je voudrais que le serveur soi visible sur le net par une ip publique 212.234.x.x, sur le lan par son ip interne ou publique. <BR> <BR>Pour rappel : eth0 -> LAN <BR> eth1 -> DMZ <BR> eth2 -> WAN <BR> <BR> j'ai donc les masquages classiques suivant : <BR> <BR> ID | INTERFACE | MASQUE | SNAT <BR> <BR> 1 | eth2:0.0.0.0/0 | 192.168.0.0/24 | 212.234.x.x //DMZ <BR> 2 | eth2:0.0.0.0/0 | 192.168.1.0/24 | //LAN <BR> <BR>puis une traduction statique : <BR> <BR>ID | IP PUBLIQUE| INTERFACE|IP INTERNE |Tous les hôtes| local <BR> <BR> 1 | 212.234.x.x | eth2 | 192.168.0.2 | yes | yes <BR> <BR>et enfin comme rien n'y fît une règle de proxy ARP (faut bien tenter qd ça veut pas marcher <IMG SRC="images/smiles/icon_frown.gif"> : <BR> <BR> ID| IP DU SERVEUR | INTERFACE INTERNE | INTERFACE EXTERNE | route active <BR> <BR> 1 | 212.234.x.x | eth1 | eth2 | yes <BR> <BR> Au niveau des règles j'ai essyé diverses soluces trouvées sur des docs, dans les post d'Ixus (une vraie mine d'info d'ailleurs, félicitations à tous, particulièrement à Jacques que je lis souvent et qui m'a déjà donné plein de bons conseil !!), comme rien ne fonctionne dans mon cas (ou je me plante sur autre chose ??!??) <BR>j'ai pour l'instant mis dans les règles par défaut : <BR> <BR> DMZ -> WAN ACCEPT <BR> WAN -> DMZ ACCEPT <BR> <BR>et dans les exceptions : <BR> <BR>30 | ACCEPT | WAN | DMZ | TCP | HTTP <BR>31 | ACCEPT | LAN | DMZ |TCP | HTTP <BR> <BR> Voilà, j'ai fait à peu près le tour et j'avoue que je ne comprend pas ou ça cloche... <BR> <BR> D'autre part est-il selon vous normal que je doive faire un "shorewall clear" chaque fois que je change une règle sur MNF ? <BR>Sans ça je n'ai plus accès au web, ni à l'admin https de MNF... <BR> <BR>Merci d'avance pour vos idées ! <BR> <BR>@ + <BR>

[risinsmok]

Additionnellement voici le log de démarrage de shorewall : <BR> <BR>Processing /etc/shorewall/shorewall.conf ... <BR>Processing /etc/shorewall/params ... <BR>Restarting Shorewall... <BR>Loading Modules... <BR>Initializing... <BR>Determining Zones... <BR> Zones: lan dmz wan vpn <BR>Validating interfaces file... <BR>Validating hosts file... <BR>Validating Policy file... <BR>Determining Hosts in Zones... <BR> LAN Zone: eth0:192.168.1.50 eth0:0.0.0.0/0 <BR> DMZ Zone: eth1:192.168.0.2 eth1:0.0.0.0/0 <BR> NET Zone: eth2:0.0.0.0/0 <BR> VPN Zone: ipsec0:0.0.0.0/0 <BR>Deleting user chains... <BR>Creating input Chains... <BR>Configuring Proxy ARP <BR> Host 212.234.x.x connected to eth1 added to ARP on eth2 <BR>Setting up NAT... <BR> Host 192.168.0.2 NAT 212.234.x.x on eth2 <BR>Adding Common Rules <BR>Adding rules for DHCP <BR>Enabling RFC1918 Filtering <BR>IP Forwarding Enabled <BR>Processing /etc/shorewall/tunnels... <BR> IPSEC tunnel to 0.0.0.0/0 defined. <BR>Processing /etc/shorewall/rules... <BR> Rule "ACCEPT fw wan tcp 53 -" added. <BR> Rule "ACCEPT fw wan udp 53 -" added. <BR> Rule "ACCEPT dmz wan udp 53 -" added. <BR> Rule "ACCEPT lan wan udp 53 -" added. <BR> Rule "REJECT wan fw tcp 113 -" added. <BR> Rule "ACCEPT lan fw tcp 22 -" added. <BR> Rule "ACCEPT lan fw tcp 8443 -" added. <BR> Rule "ACCEPT fw lan icmp 8 -" added. <BR> Rule "ACCEPT lan fw icmp 8 -" added. <BR> Rule "ACCEPT lan dmz icmp 8 -" added. <BR> Rule "ACCEPT dmz lan icmp 8 -" added. <BR> Rule "ACCEPT dmz fw icmp 8 -" added. <BR> Rule "ACCEPT fw dmz icmp 8 -" added. <BR> Rule "ACCEPT lan wan tcp pop3 -" added. <BR> Rule "ACCEPT lan wan tcp smtp -" added. <BR> Rule "ACCEPT lan wan tcp http -" added. <BR> Rule "ACCEPT lan wan tcp https -" added. <BR> Rule "ACCEPT lan wan tcp ssh -" added. <BR> Rule "ACCEPT lan wan tcp ftp -" added. <BR> Rule "ACCEPT lan wan tcp nntp -" added. <BR> Rule "ACCEPT fw wan udp ntp -" added. <BR> Rule "ACCEPT lan wan tcp imap -" added. <BR> Rule "ACCEPT fw wan:20022 tcp ftp -" added. <BR> Rule "ACCEPT lan fw udp 53 -" added. <BR> Rule "ACCEPT fw wan tcp www -" added. <BR> Rule "ACCEPT wan lan tcp pop3 -" added. <BR> Rule "ACCEPT wan fw udp 500 -" added. <BR> Rule "ACCEPT wan dmz tcp http -" added. <BR> Rule "ACCEPT lan dmz tcp http -" added. <BR>Setting up ICMP Echo handling... <BR>Processing /etc/shorewall/policy... <BR> Policy REJECT for fw to lan using chain fw2all <BR> Policy REJECT for fw to dmz using chain fw2all <BR> Policy REJECT for fw to wan using chain fw2all <BR> Policy ACCEPT for fw to vpn using chain all2vpn <BR> Policy REJECT for lan to fw using chain lan2all <BR> Policy REJECT for lan to lan using chain lan2all <BR> Policy REJECT for lan to dmz using chain lan2all <BR> Policy REJECT for lan to wan using chain lan2all <BR> Policy REJECT for dmz to fw using chain all2all <BR> Policy REJECT for dmz to lan using chain all2all <BR> Policy REJECT for dmz to dmz using chain all2all <BR> Policy ACCEPT for dmz to wan using chain dmz2wan <BR> Policy DROP for wan to fw using chain wan2all <BR> Policy DROP for wan to lan using chain wan2all <BR> Policy ACCEPT for wan to dmz using chain wan2dmz <BR> Policy ACCEPT for vpn to fw using chain vpn2all <BR>Masqueraded Subnets and Hosts: <BR> To 0.0.0.0/0 from 192.168.1.0/24 through eth2 <BR> To 0.0.0.0/0 from 192.168.0.0/24 through eth2 <BR>Processing /etc/shorewall/tos... <BR> Rule "all all tcp - ssh 16" added. <BR> Rule "all all tcp ssh - 16" added. <BR> Rule "all all tcp - ftp 16" added. <BR> Rule "all all tcp ftp - 16" added. <BR> Rule "all all tcp - ftp-data 8" added. <BR> Rule "all all tcp ftp-data - 8" added. <BR>Activating Rules... <BR>Adding IP Addresses... <BR> IP Address 212.234.x.x added to interface eth2 <BR>Shorewall Restarted <BR> <BR> <BR>En espérant que vous y voyiez plus clair que moi ! <BR> <BR>PS : J'ai mis dhcpd à l'écoute sur la DMZ, il m'assigne une ip du type 192.168.0.0/24 mais je ne peux toujours pas accéder au web avec ou sans squid... <BR>Rien ne me semble étrange dans les logs du système... <BR> <BR> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_help.gif"> <BR> <BR>En un mot : HELP !! <IMG SRC="images/smiles/icon_cry.gif">