Bonjour à tous,
un petit tour sur le wiki pour en savoir plus ipcop que je découvre petit à petit m'a suscité quelques questions aux quelles je ne trouve pas de réponse.
C'est concernant cette partie de la doc.
L’auteur parle d'un zone demi-sécurisé mais à quel niveau ? Je reprends l'exemple du serveur web. Si je le met dans ma zone orange est ce qu'il sera directement exposé à intenet ou faudra t 'il faire un transfert du port 80 de lla zone rouge vers la zone orange pour qu'il soit accessible depuis internet ?
Ensuite j'ai vu (peut être que je me trompe) une petite incohérence. Ipcop peut servir de proxy (avec ou sans filtrage d'url) mais pourquoi mettre cette fonction sur le réseau vert, n'est il pas plus judicieux, d'apres ce qui est expliqué sur la DMZ (zone d'échange entre rouge et vert pour les isolés l'une de l'autre), de le mettre en zone orange ?
Merci d'avoir prit le temps de me lire
A bientôt
DMZ-Pinholes
5 message(s)
• Page 1 sur 1
Re: DMZ-Pinholes
par jdh » 11 Jan 2013 19:17
(Le formulaire eut été mieux mais n'est pas adapté à ce fil ...)
Au début des firewall, on envisageait :
Internet <-> Firewall <-> Zone démilitarisée <-> Firewall <-> réseau interne
Les idées étaient :
- les machines en DMZ peuvent être accédées depuis Internet (cas de serveurs web, mail, ftp) (grâce à des règles du firewall 1)
- les machines du réseau interne ne peuvent pas être accédées depuis Internet,
- par contre elles accèdent à Internet via une machine en DMZ (proxy, ...)
Puis, par économie, on a envisagé les firewall avec plus de 2 cartes réseaux type Ipcop.
La zone Orange est sensée être la DMZ.
Un serveur web destiné à être accédé depuis Internet (Red) devra donc être en zone Orange, et il faudra un transfert de ports sur 80/tcp (= protocole http).
Le proxy devrait être aussi dans la zone Orange.
Certains le mettent, par économie, directement sur le firewall ... ne comprenant pas, et c'est dommage, que les 2 "jobs" sont très différents et gagnent, à partir d'un certain volume, à être séparé.
Vous semblez donc bien raisonner ! Bonne continuation !
Au début des firewall, on envisageait :
Internet <-> Firewall <-> Zone démilitarisée <-> Firewall <-> réseau interne
Les idées étaient :
- les machines en DMZ peuvent être accédées depuis Internet (cas de serveurs web, mail, ftp) (grâce à des règles du firewall 1)
- les machines du réseau interne ne peuvent pas être accédées depuis Internet,
- par contre elles accèdent à Internet via une machine en DMZ (proxy, ...)
Puis, par économie, on a envisagé les firewall avec plus de 2 cartes réseaux type Ipcop.
La zone Orange est sensée être la DMZ.
Un serveur web destiné à être accédé depuis Internet (Red) devra donc être en zone Orange, et il faudra un transfert de ports sur 80/tcp (= protocole http).
Le proxy devrait être aussi dans la zone Orange.
Certains le mettent, par économie, directement sur le firewall ... ne comprenant pas, et c'est dommage, que les 2 "jobs" sont très différents et gagnent, à partir d'un certain volume, à être séparé.
Vous semblez donc bien raisonner ! Bonne continuation !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
- jdh
- Message(s) : 731
- Inscription : 02 Nov 2011 00:36
- Localisation : Nantes - Angers
Re: DMZ-Pinholes
par Franck78 » 11 Jan 2013 22:20
Ensuite j'ai vu (peut être que je me trompe) une petite incohérence
ah, et pourquoi limiter à http ? IPCop distribue ntp, fait aussi dns. Et dhcp ! Et aussi client vpn IPSec !!
Il faut juste penser à la cible de IPCop. Petits réseaux avant tout. Pas vocation à remplacer FW-one.
- Franck78
- Message(s) : 525
- Inscription : 11 Sep 2011 16:04
- Localisation : France
Re: DMZ-Pinholes
par papacharli » 14 Jan 2013 13:58
Merci pour vos réponses, cette documentation est très bien faite. Cette idée du Internet >> pare-feu >> DMZ >>> pare-feu >>> reseau local me plait beaucoup. Avec en DMZ toutes mes machines ayant besoin d'être "vu" de l"extérieur (internet).
Je suis en train de télécharger l'image ISO pour effectuer mes premiers essais. Je vous tien au courant de la suite.
Merci
Papacharli
Je suis en train de télécharger l'image ISO pour effectuer mes premiers essais. Je vous tien au courant de la suite.
Merci
Papacharli
- papacharli
- Message(s) : 3
- Inscription : 10 Jan 2013 15:28
Re: DMZ-Pinholes
par Franck78 » 14 Jan 2013 18:43
papacharli a écrit :Cette idée du Internet >> pare-feu >> DMZ >>> pare-feu >>> reseau local me plait beaucoup.
Pour IPCop, c'est plutôt ça :
- Code : Tout sélectionner
Internet >> pare-feu >> réseau local
|
v
dmz
Les deux pare-feu ne font qu'un, par pur soucis économique.
- Franck78
- Message(s) : 525
- Inscription : 11 Sep 2011 16:04
- Localisation : France
5 message(s)
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité