Choix d'architecture

par **trollx** » 24 Fév 2004 12:13

Mesdames et Messieurs , bonjour ! Je suis face à un dileme et je pense que vous allez pouvoir m'aider (en tout cas je l'espère) Pour le moment je suis en test de mon ipcop dans un réseau à part. Nous sommes connectés à Internet avec une offre secu et le routeur envoi les paquets SMTP (port 25 ouvert) vers notre réseau local sur une ip du LAN ou il y a un serveur Lotus. Je voudrais mettre un IPCOP avec DMZ (red, green, orange). Voila ma question : faut-il que je fasse une réplique de mon serveur lotus sur une machine dans la DMZ et que je demande au routeur de m'envoyer les paquets vers cette machine (dans ce cas je n'utilise que le port forwarding)..... ou bien est ce possible (et raisonnable car tout est possible) de rerouter les paquets provenant du port 25 sur le RED vers mon serveur en Green en faisant un truc du genre #iptables -t nat -I PREROUTING -s @ip_routeur -j DNAT --to @ip_serveur_lotus #iptables -I FORWARD -d @ip_serveur_lotus -j ACCEPT Merci d'avance pour vos réponses, et en espérant avoir été assez clair <IMG SRC="images/smiles/icon_smile.gif">

par **Petzi** » 24 Fév 2004 12:26

Oui c'est possible, mais tu le savais déjà <IMG SRC="images/smiles/icon_biggrin.gif"> A mon avis tu as meilleur temps d'avoir ton serveur sur la DMZ, c'est fait pour ça quand même. Pourquoi parles-tu de reconstruire un serveur Lotus dans la DMZ ? Tu n'as qu'à le déplacer ... le green aura accès à la DMZ (pour lire les emails).

par **trollx** » 24 Fév 2004 12:34

Ben en fait le serveur lotus comprend toutes les données de toutes la boite vu que nous utilisons lotus aussi en bases de documents et non uniquement pour les mails... Donc j'ai pas trop envie de le mettre en zone "orange" (c un peu notre serveur de fichiers à nous ) <IMG SRC="images/smiles/icon_razz.gif"> Penses tu que ce soit assez sécurisé de faire un tunnel entre la zone rouge et la verte grâce aux commandes iptables ci dessus ?

par **tomtom** » 24 Fév 2004 12:45

Le problème de mettre un servuer dans le green, c'est que en cas de faille sur le serveur, un attaquant peut prendre le controle de la machine, et là il est dans le green, donc il peut attaquer tranquillement le reste du reseau.... Apres, c'ets une question de niveau de risque... Si toutes les données à risque de ton entreprise sont sur le serveur en question, alors qu'il soit en dmz ou en green ne change rien, puisque en cas de compromission les données sont perdues... Le mieux dans ton cas, ce serait de seprarer en deux : Serveur de mail only sur DMZ et bases internes en interne. Ainsi, meme en cas de compromission du serveur de mails, tes bases conservent leur integrité.... Le tout est de faire la balance entre criticité de tes bases, de ton serveur, et moyens à mettre en oeuvre pour garantir leur securité... Sinon, sur un plan technique, le fait de mettre le serveur en dmz ou en green ne change pas grand chose.. Dans les deux cas, il s'agit d'un transfert de ports simple, offrant les memes acces à la machine... D'ailleurs, tu dois pouvoir faire ça à partir de l'interface je pesne.... Tes règles sont correctes sinon... t. t.

par **Petzi** » 24 Fév 2004 13:02

Je suis d'accord ... je pense qu'envisager de séparer serveur mail (DMZ) avec serveur de fichier (GREEN) est une solution très sage.

par **trollx** » 24 Fév 2004 15:15

Hum hum, effectivement cela parait la solution la plus sage comme vous le dites, mais d'un point de vue financier et le temps de mise en oeuvre, je pense que ce ne sera pas possible <IMG SRC="images/smiles/icon_bawling.gif"> . Enfin je vais toujours essayé ça coute rien, mais mon contrat se finit dans 3 semlaines et il faut que ce soit bouclé ! Il me faut donc en envisager une autre de remplacement et je sent que je vais partir sur un tunnel red<-->green pour le smtp (c'est actuellement ce que nous fait FT). je vais partir sur ce point en bidouillant mes iptables (ça me fout les cht'ons d'avance). Car tu as dit tomtom que l'on pouvais faire ça de l'interface, mais il me semble que le transfert de port est de red -> DMZ uniquement......

par **Petzi** » 24 Fév 2004 15:26

Je confirme que depuis l'interface web tu peux mettre des règles d'accès au green (port forwarding). L'accès au DMZ est régit dans DMZ pinhole. J'espère que tu as moins les chtons d'y faire depuis l'interface <IMG SRC="images/smiles/icon_biggrin.gif"> Courage ... <IMG SRC="images/smiles/icon_up.gif">

par **tomtom** » 24 Fév 2004 15:27

je ne pense pas, dans le transfert de ports tu specifies une ip destination, si c'est une du green ca partira sur le green.... Ceci est un truc que je te donne de memoire, car je n'utilise pas IPCop... Sinon, cela se traduit en 2 lignes iptables, ca devrait le faire... t.

par **trollx** » 24 Fév 2004 16:15

Effectivement, ce n'était pas si dur que ça en avais l'air heureusement <IMG SRC="images/smiles/icon_lol.gif"> En fait comme l'a dit tomtom, il suffit de donner l'adresse ip de la bécane dans le green dans le transfert de port et roule mimile !! Le red accede au green sans pb sur le port voulu ... Et bien donc, ça résolu, il ne me reste plus qu'a faire passer le VPN MS a travers ipcop et je serais proche du but !!! C pitetre le plus dur qu'il reste à faire <IMG SRC="images/smiles/icon_cry.gif">

par **sixpion** » 16 Sep 2004 13:59

j'suis dsl de relanacer le topic mais je me trouve dans le meme cas que toi : j'aimerai pouvoir accéder a mon serveur lotus qui est sur le green depuis le rouge mais rien a faire !!!!

apres avoir :
- executé les commande iptables donner en haut du topic,
- autoriser l'acces au port 25 via l'interface ipcop
- fait un transfert de port 25 vers mon lotus (tjs via l'interface d'ipcop)
je n'arive pas a rentrer sur mon serveur de l'exterieur via une commande telnet !!! j'ai certainement oublier quelque chose mais je c pas trop quoi ..............................!!!!

pouvez vous me donner un petit coup de main svp ????

merci bcp d'avance !!!

par **guiguid** » 16 Sep 2004 19:11

oublie les regles iptables cite plus haut
et fait uniquement le transfert de port RED:25 vers IP@GRENN:25

par **Gandalf** » 16 Sep 2004 21:23

Ca me rappelle des choses une architecture Domino aussi bancale avec un mec qui finit son contrat dans quelques semaines et qui doit faire des miracles avec 1€10 ! Tu bosserais pas chez COHERIS toi ??

par **trollx** » 16 Sep 2004 23:24

Gandalf a écrit:Ca me rappelle des choses une architecture Domino aussi bancale avec un mec qui finit son contrat dans quelques semaines et qui doit faire des miracles avec 1€10 ! Tu bosserais pas chez COHERIS toi ??

hého on parle de moi là !!!

par **sixpion** » 17 Sep 2004 16:54

tout d'abord : merci pour vos reponces !!!

j'ai bien effectuer le tranfert sur ipcop :

j'ai etablit la regle de la maniere suivante :

TCP DEFAULT IP : 25(SMTP) @ipduserveurdomino : 25(SMTP)

mais rien a faire !!

j'ai l'impression qu'il ne comunique pas entre la verte et la rouge !!!!

Choix d'architecture

Qui est en ligne ?