en perdition... !

[fachrist]

Pour ceux qui en ont marre des débutants ou de ceux qui ne comprennent pas vite, vous pouvez vous arrêtez de lire, merci ! <BR> <BR>Je me pose plusieurs questions, dans le forum, je vois souvent écrit qu'il faut autoriser les serveurs de la dmz à sortir par le red !Je croyais qu'un serveur n'avait pas à établir une connexion et qu'il devait seulement être consulté par une personne venant du red ou par une personne venant du green ! je pensais que le "conntrack" ( suivi de connexion) permettait de ne pas faire de retour sur les connexions établies du net vers la dmz ? <BR> <BR>Je dois signaler que je travaillais avant sur astaro que je dois abandonner car il n'est pas gratuit pour les sociétés !Donc, j'ai peu être un peu de mal à me réadapter à une autre distribution ! <BR> <BR>Le probléme est aussi le suivant: Je ne peux pas faire mes test en direct car je n'ai à ma disposition que 2 pc et je dois configurer ipcop (ou autre) en étant isolé car le réseau où je devrais par la suite installer le firewall est déjà en fonction !En résumé, je dois faire un firewall de secours sans pouvoir le tester et je dois respecter un adressage, c'est à dire : <BR> <BR>red:212.232.111.53/29 <BR>green192.168.0.253/24 <BR>orange:212.232.111.3/26 <BR> <BR>Et tout les serveurs en dmz ont une adresse publique ! <BR>En gros, est-ce possible d'avoir plusieurs serveurs web avec des ip publiques en dmz ?Je veux juste un oui ou un non, pour le reste, je continurai à chercher et pourtant, je cherche mais ça ne me parait pas clair dutout, je pense qu'il y a trop d'interlocuteurs, trop d'avis diffêrents !Je me demande aussi s'il est obligatoire de manipuler iptable, est-ce qu'une administration basique ne peut pas se contenter du gui ? <BR> <BR>bon, ça doit être bien lourd de me lire et même moi, je crois que je ne me répondrai pas, je crois que je vais changer de voie...

[nemesis]

s'lut! <BR> <BR>bha alors faut pas etre démotivé comme ça <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>bon alors je pense que pour ce qui est de l'expression 'autoriser le serveur à sortir sur internet' il s'agit d'un abus de langage en effet la seule chose à faire et d'autorisé une requête de l'ext (red) -> la dmz sur un port X à passer en clair ouvrir le port pour l'extèrieur. Pour ce qui est du green -> dmz y'a rien à faire normalement vu que c'est toujour autorisé et même si je ne m'abuse pas il n'y a rien a gérer du tout vu qu'iptable est capable de gérer les ports à la volée une fois la connexion acceptée (dc plus de dmz pinhole et autres enfin si j'ai bien suivit l'histoire moi je suis resté en 1.2 <IMG SRC="images/smiles/icon_lol.gif"> ). <BR> <BR>pour le reste j'ai lu quelque part que c'était possible de mettre plusieur serveurs en dmz avec des ip publique je crois que c'est géré par l'option alias externes! <BR> <BR>voilààà <BR>bon courage.

[Fesch]

Ton into me plais bien <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>Alors, pour ce qui est de tes questions serveurs: C'est vrai qu'un serveur dans la DMZ ORANGE n'a pas a établir une connexion envers la zône RED ou GREEN. Par contre il peut établir des connexion(ie bases de données) à l'intéreur de la zône ORANGE, ce qui d'ailleur ne pose pas de problème. <BR> <BR>Si je ne me trompe pas (à valider par quelqu'un d'autre svp!), toutes les machines de la zône GREEN on accès au machines de la zône ORANGE. Par contre, pour que quelqu'un d'internet, donc de la zône RED, puisse établir une connexion avec un serveur de ta DMZ ORANGE, il faut que tu crée un "Port Forward" pour le port donnée vers l'adresse de ton serveur en DMZ (ie le port 80 pour un serveur web, 25 pour SMTP, 110 pour POP, etc ...). Pour configurer les "Port Forward", le GUI web suffit largement. <BR> <BR>Les connexion ont toujours un retour, c'est à dire quand un client fait une requête (par exemple HTTP), il faut bien que le serveur lui réponde! <BR> <BR>Le fait de ne pas pouvoir faire les tests en direct est très, très $%#&! à mon avis. Faut discuter avec ton boss pour obtenir plus de manchines de test! <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>Avoir des PC en adressage public sur la DMZ ne devrait pas changer grand chose, par contre cela n'apporte rien non plus. Ou disons, pas pour la distribution IpCOP. (sauf si je me trompe <IMG SRC="images/smiles/icon_rolleyes.gif">) <BR> <BR>Allez, à toi de lire ma réponse lourde alors <IMG SRC="images/smiles/icon_biggrin.gif"> ...

[fachrist]

Hé bien là, je ne suis pas déçu, vous avez su me requinquer saperlipopéte <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>Merci fesch, la dernière fois qu'on avez conversé, on ne s'était pas bien compris ! <BR>Il y a toujours un truc qui me chagrine, est-ce que j'utilise quand même la redirection de port si j'ai des adresses publiques en dmz ? c'est peut-être une question dont la réponse est évidente mais honnêtement, il y a un truc que j'ai pas du caler, merci ! <BR> <BR>PS:pour m'expliquer en fait, je pense que la redirection de port est faite pour associer une requête faite sur une ip publique à une ip privé, donc un serveur en dmz et donc si moi, j'ai directement les ip publiques ds ma dmz, comment je fais pour autoriser du red vers la dmz les services du type :80 110 25 etc...!merci !

[tomtom]

Non, tu n'as plus besoin de redirection de ports... <BR>Mais il va te fal=loir faire de grosses modifications à IPCop pour adopter cette structure. <BR> <BR>En effet, IPCop ets fait pour faire du MASQUERADING en sortie sur son interface RED. Et ses tables de routages ne sont pas faites pour ton besoin d'ip publiques en DMZ. Il faut etre tres prudent avec les masques de sous-réseaux (en particulier sur les serveurs de dmz), ainsi que sur les tables de routage.. Il faut desactiver le masquerading pour les paquets provenant de laDMZ. <BR>Il faut mettre en place du filtrage sur les adresses de tes serveurs DMZ.... <BR> <BR>Bref, je pesne que IPCop n'est pas le bon produit pour ton besoin..... <BR> <BR>T.

[Fesch]

Je te lance un autre lien (allez, attrape <IMG SRC="images/smiles/icon_smile.gif">) <BR> <BR><!-- BBCode auto-link start --><a href="http://www.mikrotik.com" target="_blank">http://www.mikrotik.com</a><!-- BBCode auto-link end --> <BR> <BR>Il s'agit d'un routeur software, aussi base Linux, mais un peu plus propriétaire. Très performant, très stable ... Je crois qu'il est mieux adapté à tes besoin. <IMG SRC="images/smiles/icon_wink.gif">

[fachrist]

Hé bien là, c'est le coup de grace ! <BR>Fresh, pour le lien c'est gentil mais je suis un simple stagiaire a qui on demande de faire un firewall de secour qui soit gratuit ! En plus, il ont déjà un firewall sous systéme propriétaire qu'il veulent justement remplacer ! <BR>Ce que je ne comprend pas, c'est que leur systéme actuelle est bien une distribution linux qui repose sur iptables et qui utilise des packages supplémentaires comme "nat" "conntrack" "masquerading" etc... <BR>Pourquoi ne peut on pas trouver l'équivalent en libre ? <BR>Je pensais avoir trouvé avec Astaro mais au bout de 30 jours, il faut payer !Pourquoi, alors qu'astaro repose lui aussi sur un noyau linux utilisant netfilter !Linux ne correspond pas au libre ?Pourquoi fait-on payer un systéme qui utilise iptable tout comme ipcop qui lui est gratuit ? <BR>*****, dire que j'ai un mémoire à rendre dans un mois et qui doit parler de l'installation d'un firewall sous linux !!! Je vais plutôt m'exiler et ne plus m'approcher d'un PC vu que je n'ai pas l'air doué ! <BR>PS:Je fais surement pessimiste mais ça fait tout de même un mois que j'essai de trouver une solution... <IMG SRC="images/smiles/icon_cry.gif">

[Fesch]

T'inquiète pas pour ton mémoire. Si tu explique le <!-- BBCode Start --><B>pourquoi</B><!-- BBCode End --> tu n'as rien trouvé et que tu l'explique régoureusement, ce devra bien passé pour toi <IMG SRC="images/smiles/icon_razz.gif">. Il est mieux de décrire le pourquoi d'un échec que de ne pas savoit décrire le pourquoi d'un truc qui fonctionne!

[fachrist]

C'est pas faux fesch (faux fesch, marrant non? non bon tanpis !) <BR>tu as tout à fait raison, merci !Mais bon, rien que pour la société où je suis, j'aimerai trouver la distrib pouvant les dépanner ! <BR>Merci Fesch, merci tomtom, merci nemesis pour vôtre esprit de solidarité en vers de parfait inconnus, je crois c'est comme cela qu'on avance !

[Fesch]

J'ai pas trop étudié le suivant, mais il se pourrais que ce puisse être intéressant pout toi (si jamais t'as encore en vie). C'est aussi gratuit: <BR> <BR><!-- BBCode auto-link start --><a href="http://www.m0n0.ch/wall/" target="_blank">http://www.m0n0.ch/wall/</a><!-- BBCode auto-link end --> <BR> <BR>bonne chance à toit en tout cas ..

[fachrist]

je suis têtu, je vais bien trouver une solution, merci !

[Gesp]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>En gros, est-ce possible d'avoir plusieurs serveurs web avec des ip publiques en dmz ?Je veux juste un oui ou un non, pour le reste, je continurai à chercher et pourtant, je cherche mais ça ne me parait pas clair dutout, je pense qu'il y a trop d'interlocuteurs, trop d'avis diffêrents !Je me demande aussi s'il est obligatoire de manipuler iptable, est-ce qu'une administration basique ne peut pas se contenter du gui ? </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Tu ne peux pas avoir à la fois : <BR>- des besoins qui sortent de l'ordinaire <BR>- quelquechose de gratuit <BR>- un produit tout prêt avec une interface web <BR> <BR>A partir de ce qui est gratuit (distribution généraliste ou spécialisée sécurité) tu peux toujours plus ou moins facilement répondre à ton besoin mais ce ne sera pas sans mettre les mains dans le cambouis d'iptables. <BR> <BR>IPCop est trop loin de ton besoin. <BR> <BR>L'intérêt d'IPCop, c'est un produit relativement simple, une interface web avec quand même une possibilité limitée de bidouille. <BR> <BR>Mais plus les changements sont importants, moins cela s'intègre à l'original et l'interface web devient inutile voire nuisible parce qu'elle ne sait intégrer que des paramètres gérés à l'origine par la version, ce qui risque d'écraser les changements effectués à la main. <BR> <BR>

[gla]

Tu peux essayer OpenBSD <BR>ou Debian avec IPTables. <BR>ou d'autre encore... <BR> <BR>Le problème c'est qu'il te reste 1 mois... alors quand tu as trouvé, tiens toi à cette solution. <BR>A mon avis, cherche ce qui te semble le plus clair quand tu regardes les doc sur google ou autre et ensuite : fonce ! <BR> <BR>

[fachrist]

merci pour vos posts ! <BR>Finalement, je me repenche dans astaro qui, je viens de le découvrir, laisse la possibilité d'être utilisé sans les services que la société astaro fait payer (antivirus, update...), il faut juste préciser dans l'installation que l'on veut juste utiliser la partie opensource !

[fachrist]

Hé bien je précise que s'il on ne veut utiliser que la partie opensource, il n'y a vraiment rien de fournit ! <BR>Bonne continuation à tous !