Archi rezo xp+cc+adsl+firewall+serveur(http+ftp) ?

[loading]

bonjour, <BR> <BR>je suis nouveau sur ce forum et aussi un peu amateur dans le monde linuxien (commencé top mais sans avoir eu le temps d'approfondir) <BR> <BR>Je possede 2 petites machines et j'essai de monter un petit serveur internet sous linux(pour mes sites persos) en parallèle avec un poste de travail sous windows xp(infographie+webdesign) <BR>J'ai un PII 400, un Duron 650, un hub 5 ports, 3 cartes rezo et un speed touch home (adsl+ip fixe). <BR> <BR>Je recherche quelques conseils pour avoir la meilleure optimisation de mon rezo. <BR> <BR>faut il mettre la machine firewall/routeur avant le hub ? est-il possible de mettre un serveur samba avec le serveur web, cad sur le firewall/routeur (sécu)? est-il mieux de mettre mon modem en routeur/firewall et de laisser la machine que pour les serveurs ? <BR> <BR>merci beaucoup pour vos réponses <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>@ bientot <BR>Loading

[eol]

tu es sur lyon.... moi aussi <IMG SRC="images/smiles/icon_smile.gif">

[remi]

moi aussi !!!

[tetack]

po moa !

[loading]

lol ok cool <IMG SRC="images/smiles/icon_smile.gif"> .... mais euh et ma question ? <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>>> y'a beaucoup de lyonnais ici ? <BR> <IMG SRC="images/smiles/icon_bise.gif"> <IMG SRC="images/smiles/icon_bise.gif"> <IMG SRC="images/smiles/icon_bise.gif">

[antolien]

moa non plus, <BR> <BR>ton modem speedtouch est ethernet ou usb ?

[loading]

ethernet !!! evidement !! <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>euh dites j'en profite là, mais quand vous installez clark, vous creez le cd avec quelle structure ??? <BR>g chopé l'iso sur le ftp de clarkorg mais à l'installation dès qu'il veut acceder au cd il me met qu'il n'arrive pas à trouver le cdrom clark !!?? (il reconnait tres bien le cdrom et le debut de l'install floppy marche tres bien jusqua l'install des packages) <BR> <BR>je precise que g gravé le cd avec nero sous xp (mais je vois pas le rapport) <BR> <BR>vous pourriez me dire la compil du cd à sa racine ?? <BR> <BR>merci <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Loading

[tomtom]

A mon avis : <BR> <BR> * Evidemment 2 interfaces rezo sur la passerelle : 1 sur le wan (sur le modem) et une sur le lan (le hub) <BR> <BR> * Eviter Samba sur la passerelle. D'ailleurs, en général, eviter tout sur la passerelle. Mettre un serveur web n'est pas une bonne idée, même si c'est apache !!! Une passerelle ne sert qu'à ça ! Un serveur est toujours une cible potentielle d'attaque, la plus simple étant un bête SYN flood. Or si un attaquant réussit un DoS sur la passerelle, l'acces Internet est coupé !!! ??? <BR> <BR>Je dois avouer que je ne connais pas l'architecture de CC, donc peut être que le FW filtre le spaquets aussi pour la machine locale (iptable ?), mais dans tou les cas je ne trouve pas très sur de mettre quoi que ce soit sur une machine passerelle ! Ca sert à quoi les DMZ ???? <BR> <BR>Cordialement, <BR> <BR>Thomas

[loading]

ah ! <BR>merci pour ta réponse <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>la meilleure solution alors serait de mettre mon modem en pro (routeur/firewall) et de laisser le PII uniquement pour le serveur. <BR>ce qui signifie que le met le hub juste derrière le modem et que dessus je met en parallèle le serveur et la station. <BR> <BR>cela te parait une bonne idée ? <BR> <BR>merci encore pour ta réponse <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Loading

[tomtom]

Il n'y a pas de quoi ça sert à ce les forums... <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Oui, ta config me parait une bonne idée, cependant je ne connais pas ton modem. En particulier, il faut qu'il soit capable de faire du nat (mais ça ça devrait aller je pense). <BR> <BR>De plus, je ne sais pas ce qu'il y a comme firewall dessus. Si c'est un modem pas trop cher, le FW risque de ne pas être d'excellente qualité, à toi de voir.... <BR> <BR>Attention cependant, je dis que ce n'est pas le plus sur d'avoir tout sur la même machine, mais la distrib CC est assez fiable tout de même. Pour un reseau perso, cela suffit largement, donc c'est à toi de voir ce qui te fait le plus envie. Ca peut être amusant de travailler avec CC et de voir certains aspects du firewalling que tu ne verras surement pas sur ton modem (en utilisant bien sur les immenses ressources de ce forum <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Cordialement, <BR> <BR>Thomas

[micj]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2002-11-07 19:28, tfillaud a écrit: <BR> * Eviter Samba sur la passerelle. D'ailleurs, en général, eviter tout sur la passerelle. Mettre un serveur web n'est pas une bonne idée, même si c'est apache !!! Une passerelle ne sert qu'à ça ! Un serveur est toujours une cible potentielle d'attaque, la plus simple étant un bête SYN flood. Or si un attaquant réussit un DoS sur la passerelle, l'acces Internet est coupé !!! ??? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>C'est un faux calcul que tu fais là, le fait de ne rien mettre sur ta passerelle n'implique aucunement qu'un DoS ne peut être tenté par un hacker quelconque. <BR> <BR>Le but recherché est plus d'éviter que des processus actifs ou du code sur la passerelle n'introduisent des failles dans le système. <BR> <BR>De plus dans le cas de Samba si Samba n'est actif que sur l'interface interne, le risque est mineur et cela certainement pour des particuliers. <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Je dois avouer que je ne connais pas l'architecture de CC, donc peut être que le FW filtre le spaquets aussi pour la machine locale (iptable ?), mais dans tou les cas je ne trouve pas très sur de mettre quoi que ce soit sur une machine passerelle ! Ca sert à quoi les DMZ ???? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>CC est basé sur un kernel 2.4.x qui utilise iptable. Maintenant concernant la DMZ, oui effectivement c'est le meilleur endroit pour placer des serveurs et si tu veux être un vrai puriste soucieux de sa sécurité dans cette DMZ tu dois placer un serveur dédicacé au news, un pour le mail, un pour le web, ... mais nous, comme pauvre particulier, nous n'avons souvent pas la place ni l'envie d'avoir deux ou trois machines, même des vieux pc à base de 486 ou pentium I, actives continuellement, cela prend de la place, cela chauffe, cela fait du bruit et cela consomne de l'electricité.

[loading]

merci je progresse grace a vous <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>bon pour repondre à tfillaud, g un alcatel speed touch home (il se transforme facile en pro qui permet de router), il a egalement un firewall hardware (mais je ne serai le comparer vu que c'est le seul firewall hardware que je connaisse), et son administration se fait via page web. <BR> <BR>mon objectif c de passer mon serveur web et ftp sur linux, je ne tiens pas à rivaliser avec quelconque hebergeur puisque je n'heberge que mes sites web mais avec une pretention d'accès au grand public (puisque tel est le but <IMG SRC="images/smiles/icon_wink.gif">) <BR>Je ne suis pas non plus un parano des attaques mais je veux juste sécuriser un peu mon serveur pour eviter de me retrouver le bec dans l'eau au cas où, on en entend assez parler comme ça pour que l'envie de ne pas passer à coté soit tres présente <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>voila pour mes motivations <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>maintenant puis je vous demander un peu d'aide quant à l'installation de CC ? <BR>j'ai gravé mon cd bootable avec xp en donnant a nero le .iso (dl sur le ftp de CC) <BR>g créer la disquette de boot avec le prog installer pour windows. <BR>g donc enfin (sur mon PII vierge) démarrer avec la disquette de boot et rempli les infos de l'appli di'nstall, g mis le cd dans le lecteur qui est tres bien reconnu au boot de l'installer CC mais lorsque arrive le moment de choisir les packages il me dit qu'il n'y a aucun cd de CC dans le lecteur !!?? <BR>et impossible de faire une autre manip que de reboot ( me demande le cd, me propose que le lecteur cdrom, je clic sur ok, me met l'erreur, me demande le cd, me propose que le lecteur cdrom, je clic ok...etc...) <BR> <BR>si vous l'avez install a partir du cd, pourriez vous me dire la structure de la compilation ou si g loupé une astuce ??? <BR> <BR>je precise que g dl les docs mais qu'il n'est fait mention nul part de ce probleme... <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>merci pour votre aide <BR> <BR>Loading

[micj]

Comment l'as-tu graver?

[tomtom]

Loading : <BR> <BR>Pas de problème, je pense que CC pourra correspondre à tes besoins. <BR> <BR>Micji : <BR> <BR>Je suis d'accord avec toi sur certains points. Cependant, dans une optique de sécurisation de ton réseau (c'est de cela qu'on parle ici), le fait d'avoir un serveur quelconque sur une passerelle te rend nettement plus vulnérable aux DoS. En effet, le DoS le plus répandu, et avec toutes les variantes qui vont avec, est celui par rafale de paquets TCP avec le flad Syn positionné. L'objectif d'une telle attaque est d'atteindre la limite du serveur concernant le nombre de sessions tcp "mi-ouvertes", ce qui a pour objet de lui faire refuser des connexions, voire de planter complétement suivant le serveur. <BR> <BR>Si ton serveur est dans une dmz (la ou il doit etre), alors même si un DoS reussit, seul le serveur deviendra inaccessible. La passerelle continuera de fonctionner ! <BR> <BR>Par contre, si la passerelle est elle-même serveur et que la même attaque réussit, tu n'as plus de passerelel web ! <BR> <BR>C'etait le point dont je voulais parler. <BR> <BR>Il y a un autre point, que tu soulignes mais je vais essayer de clarifier : <BR>Si un serveur (disons apache) tourne sur ta passerelle, et qu'un attaquant réussit à exploiter une faille de celui-ci pour obtenir les droits root, je vous laisse imaginer la catastrophe : possibilité de modification des règles, d'ouverture de backdoor etc... L'attaquant aura obtenu la position "d'homme au mileu" (Man in the Middle, c'est plus beau en anglais <IMG SRC="images/smiles/icon_wink.gif"> et menacera serieusement la sécurité de ton système. <BR> <BR>Voila tout ce que je voulais souligner, maintenant c'est vrai que pour un hébergement personnel, et en prenant quelque sprécautions, (IDS, filtrage des Dos, règles de filtrages propres), CC est un bon choix pour faire à la fois passerelle et serveurs. <BR> <BR>Simplement, en répondant à loading, il me semble que s'il dispose d'un autre moyen pour faire une passerelle, cela peut être plus propre. Cependant, s'il n'y a que deux interfaces sur le modem (une verte et une rouge), cela implique de mettre ton serveur dans la zone verte, et là ce n'est pas ideal non plus. Loading, à toi de voir ce que tu veux/peux faire. Bon courage en tout cas ! <BR> <BR>Cordialement, <BR> <BR>Thomas

[loading]

ok pour le cd, ca marche maintenant <IMG SRC="images/smiles/icon_smile.gif"> <BR>(j'avais deimagé l'iso alors qu'il fallait la garder entière) <BR> <BR>pour ce qui est de la passerelle et des serveurs je vois tres bien ce que tu veux dire tfillaud mais c pas gagné pour moi. <BR> <BR>Je vous expose mes problèmes: <BR> <BR>1/ je suis chez nerim et en mettant mon modem en position pro (routeur/firewall) celui ci n'arrive pas à communiquer vec les servurs de nerim (j'y ai passé 4 heures dessus et impossible!) <BR>pour ceux que ca interesse de transformer leur alcatel speed touch home voici un tuto : <BR><!-- BBCode auto-link start --><a href="http://www.magic.easynet.be/go_vers_pro.htm" target="_blank">http://www.magic.easynet.be/go_vers_pro.htm</a><!-- BBCode auto-link end --> et dans l'autre sens : <BR><!-- BBCode auto-link start --><a href="http://www.magic.easynet.be/pro_vers_go.htm" target="_blank">http://www.magic.easynet.be/pro_vers_go.htm</a><!-- BBCode auto-link end --> <BR> <BR>2/ j'ai donc installé sur ma machine (PII) clarkconnect puis derrière mon autre machine. <BR>Mais voila que sur clarkconnect je m'appercois que mysql n'est pas installé. <BR>Je trouve un site qui propose une install de apache+php+mysql+phpmyadmin (http://www.phpmylinux.net/) , je l'installe et là un tas d'erreur et apache qui ne veut plus demarrer, je retourne sur le site, le forum et encore une belle surprise, c bourré de plaintes sur cette install et evidment aucune solution. <BR>Je decide alors de reinstaller apache et le reste, mais evidment je savais pas la galère d'aller trouver tous les packages, les libraries ... et finalement apres y avoir passé toute la nuit et la journée ca ne marche toujours pas <IMG SRC="images/smiles/icon_frown.gif"> <BR>je sens donc une reinstall complete de CC !! <IMG SRC="images/smiles/icon_frown.gif"> <BR>mais je n'ai toujours pas resolu le probleme de mysql et de phpmyadmin. <BR> <BR>si quelqu'un a installé ces packages sur CC, serait il possible qu'il explique brievement mais aussi precisment la demarche <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>merci d'avance <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>NB: je regrette le manque d'info de CC autant sur le site que dans leur docs, par contre l'interface est tres ergonomique et l'installation se fait sans douleur <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>@+ <BR>Loading