HOWTO DMZ de pref sur ipcop $$

[dapsaille]

Bonjour à tous ..

Voila je n'ais en tete qu'une vague idée de la DMZ ; c'est pour cela qu'au lieu de vous bombarder de questions (genre troll) je souhaiterais savoir si quelqu'un avait un bon howto décrivant les fonctionnalités de la DMZ et surtout son installation sous ipcop ou quelque chose s'en approchant .
Merci ^^

[Mamax]

Je ne pense pas qu'il y ai vraiment un Howto rien que pour la DMZ: C'est tellement simple!

La DMZ c'est juste une zone spécifique qui permet d'héberger un serveur (Serveur WEB, FTP...) qui sera accéssible de l'extérieur tout en étant protégé un maximum et en grandant le réseaux local bien sécurisé

voici un schéma qui explique mieux:

LAN ====== IPCop ====== Internet
||
||
||
DMZ

par exemple, si tu veux hébergé un serveur web (FreeBSD avec Apache) tu le mettra dans la DMZ et tu n'ouvriras uniquement le port 80, il en résultera que ta machine sera accéssible de l'exterieur et si elle se fait piratée la personne malveillante devra repasser par le firewall pour aller sur tes machine du LAN.

Tu me le dit si je ne suis pas bien clair.

Sinon, en ce qui concerne la mise en place de la DMZ, tu n'a qu'a aller sur cette page:
http://www.ipcop.org/1.3.0/en/admin/htm ... mzpinholes

[dapsaille]

Humm ok merci pour tes renseignements .. donc en fait ca crée 2 réseaux LAN grosso modo et l'un est indépendant de l'autre ?


Ok ... donc en fait je suis chez nerim et l'on m'as attribué un bloc d'ip ..
puis je me servir de ces ip dans une config de type DMZ ou alors je suis encore en orbite ?? :p

[Mamax]

Je dirais plutôt que tu est à des années lumières... lol

voilà un schéma un peu plus complet:

Internet
||
||
||
||
-------------------- 192.168.0.1 192.168.0.2
| IPCop |======================== DMZ
--------------------
|| 192.168.10.1
||
||
||
LAN

Il faut bien comprendre, que IPCop a dans ce cas deux cartes réseaux distinctes: Une reliée au réseau local avec pour adreses réseau 192.168.10.0 (c'est un exemple) et l'autre reliée à la DMZ avec une adresse réseau différente du LAN

En fait, c'est avec l'intertion de la DMZ que l'on se rend bien compte que IPCop sert de routeur. On peu donc en effet considérer que IPCop gère 2 lan de façon totalement indépendente.

1 qui est totalement sécurisé si l'on vien de Internet (le LAN) et 1 autre pour lequel on a ouvert un ou plusieurs port afin que la ou les machines soient visibles de l'exterieur.

donc du point de vue du LAN le DMZ fait parti du réseau Internet.


c'est un peu plus claire?

[gla]

Humm ok merci pour tes renseignements .. donc en fait ca crée 2 réseaux LAN grosso modo et l'un est indépendant de l'autre ?


Ok ... donc en fait je suis chez nerim et l'on m'as attribué un bloc d'ip ..
puis je me servir de ces ip dans une config de type DMZ ou alors je suis encore en orbite ?? :p

S'il s'agit d'adresses publiques, il est possible de les utiliser dans la DMZ, par exemple pour des serveurs publics (web, mail, dns...).
Le plus gros problème que tu vas devoir gérer va être le NAT entre ton IPCOP et ton PROVIDER.
en effet, il y a gros à parier que l'adresse de ton interface rouge (ADSL ou Cable) est située sur la plage d'adresses attribuée par NERIM.
Donc techniquement c'est possible, pratiquement, avec IPCOP, ça ne va pas être super simple...

[wann]

Ok ... donc en fait je suis chez nerim et l'on m'as attribué un bloc d'ip ..
puis je me servir de ces ip dans une config de type DMZ ou alors je suis encore en orbite ?? :p

En fait, dans la mesure où Nerim t'as très certainement fourni un routeur dont tu ne peux te passer et dont la patte LAN a une adresse publique (prise dans le "bloc" d'IP dont tu parles), tu ne peux pas utiliser directement ces adresses publiques pour ta DMZ.
En revanche, tu peux les "aliaser" sur l'interface RED plus les attribuer virtuellement à chacune des machines se truvant dans ta DMZ par le jeu du port forwarding.
Concernant les 'DMZ pinholes", ce n'est pas la même utilité puisqu'ils permettent d'ouvrir un accès restreint d'une machine se trouvant en DMZ (interface ORANGE) vers un machine du LAN (interface GREEN).

[gla]

En revanche, tu peux les "aliaser" sur l'interface RED plus les attribuer virtuellement à chacune des machines se truvant dans ta DMZ par le jeu du port forwarding.

Oui, mais si tu fais du PAT, quel est l'intéret d'avoir des adresses publiques ?

[wann]

En revanche, tu peux les "aliaser" sur l'interface RED plus les attribuer virtuellement à chacune des machines se truvant dans ta DMZ par le jeu du port forwarding.

Oui, mais si tu fais du PAT, quel est l'intéret d'avoir des adresses publiques ?

Tu peux utiliser le même port pour plusieurs machines se trouvant en DMZ et offrant le même service.

[gla]

En revanche, tu peux les "aliaser" sur l'interface RED plus les attribuer virtuellement à chacune des machines se truvant dans ta DMZ par le jeu du port forwarding.

Oui, mais si tu fais du PAT, quel est l'intéret d'avoir des adresses publiques ?

Tu peux utiliser le même port pour plusieurs machines se trouvant en DMZ et offrant le même service.

Ok, mais il n'est pas utile de disposer d'adresses publiques pour cela.

[wann]

En revanche, tu peux les "aliaser" sur l'interface RED plus les attribuer virtuellement à chacune des machines se truvant dans ta DMZ par le jeu du port forwarding.

Oui, mais si tu fais du PAT, quel est l'intéret d'avoir des adresses publiques ?

Tu peux utiliser le même port pour plusieurs machines se trouvant en DMZ et offrant le même service.

Ok, mais il n'est pas utile de disposer d'adresses publiques pour cela.

Si car tu ne peux pas utiliser le même port, associé à la même adresse IP publique, pour le rediriger vers plusieurs machines en DMZ offrant le même service.
Par ailleurs, les adresses publiques, il les a, alors autant qu'il les utilise

[dapsaille]

Merci pour toutes vos réponses ca fait plaisir mais je cours cet apres midi a la FNAC acheter un bel Oreilly ^^ ...
En ce qui concerne Nerim .. mon ip publique ADSL n'est pas comprise dans le bloc d'ip .. cela pourrais m'aider d'après ce que vous me dites mais au cas ou en effet j'avais deja pense aux alias ip .. mais il me manque beaucoup de pratique pour devenir un scarabe jedi ^^ bon de toute facon je dois faire ca samedi donc je vous tient au courant ^^ MErci encore a ixus et ses forumeurs

[dapsaille]

Bon super ^^ grace a vos conseils et le TCP/IP administration de o'reilly et ipcop je m'en suis sorti ^^


Par contre ... j'ai bien mon poste qui as une ip internet a partir de la dmz mais .. impossible de me connecter sur ce poste de l'exterieur grace a VNC .. j'iamgine qu'il filtre les ports ... donc je suis parti sur le site d'ipcop et la boumm plus de site GRRR. j'ai bien trouve sur l'ipcop la section acces a la DMZ mais je ne vois pas comment rentrer en ip source TOUT INTERNET et pas seulement une ip pour ouvrir l'acces ... aurais je encore mongolise ? :p


Merci d'avance :p

[braouazou]

Ce n'est pas accès à la dmz que tu dois utiliser (qui amha n'est pas la bonne traduction - il s'agit des dmz pinholes, c'est à dire des accès depuis la dmz vers le lan). Tu dois établir des règles de transfert de ports

[dapsaille]

Heuu .. transfert de port ... pourtant je pensais que els blocs d'ip permettaient de se passer de cette methode (j'ai 2 serveurs http donc je ne vois pas dire a mes clients notre url est toto.com:90 pour rediriger vers le 80 de mon second serveur ... de toutes facons je pinge de l'exterieur mon serveur ip publique donc ca pas de soucis .. mais uniquement le 80 .. rien d'autre .. je ne comprends pas . . . .
Merci pour la reponse ^^

NOTA= a cette heure ipcop.org est de nouveau accessible :p

[dapsaille]

!ha donc en fait dans transfert de port je tappe mon ip publique du serveur http en destination ce tout ? ... sauf que ... si j'ouvre de TOUT port 80 vers ma 1ere ip publique port 80 comment puisje avoir le second en 80 aussi ???? .....