DMZ firewall
Fermé
mani75
Messages postés
9
Date d'inscription
mercredi 22 juin 2005
Statut
Membre
Dernière intervention
30 novembre 2005
-
16 nov. 2005 à 15:55
rose - 25 mai 2009 à 16:37
rose - 25 mai 2009 à 16:37
A voir également:
- Firewall avant ou après le routeur
- En préparation avant distribution ✓ - Forum Consommation & Internet
- Comment remettre ma page d'accueil comme avant ✓ - Forum Réseaux sociaux
- Le protocole assure que la communication entre l'ordinateur d'adèle et le serveur de sa banque est car les informations seront avant d'être envoyées. - Forum Facebook
- Dans cette présentation, sarah avait encadré directement le titre de certaines diapositives avant d'automatiser cette mise en forme pour tout le document. sur quelles diapositives avait-elle encadré directement le titre ? ✓ - Forum Bureautique
- Copain d'avant ✓ - Forum Réseaux sociaux
2 réponses
kmf31
Messages postés
1564
Date d'inscription
mercredi 30 mars 2005
Statut
Contributeur
Dernière intervention
22 juin 2007
501
16 nov. 2005 à 16:53
16 nov. 2005 à 16:53
De facon simple si tu partages ta connexion internet avec un numero IP publique tu es oblige d'avoir un routeur NAT (soit un routeur, un modem-routeur, un pc Linux ou Windows configure en NAT, peu importe). Dans ce cas le routeur NAT a deux IPs: une publique pour internet et une privee, par exemple 192.168.0.1. Les autres pcs branche derrieres le routeur n'ont que de numeros prives 192.168.0.x avec x=2,3,4,... et ils utlisent l'IP du routeur 192.168.0.1 comme passerelle.
Maintenant quand on essaie depuis exterieur, c.-a-d. depuis l'internet, d'acceder a un service quelconque (http, ssh, ...) sur ton numero IP publique ca tombe par defaut sur le routeur NAT lui meme et les autres PCs sont invisibles car depuis l'exterieure il n'y a qu'une IP et rien de plus. Les IPs privees sont masquees et c'est express comme ca.
Donc en theorie et en 1ere approximation tu es oblige d'installer tous tes serveurs (si tu en as) sur le routeur lui meme mais ce n'est pas commode et desfois meme impossible car le routeur n'est pas forcement un vrai pc (notamment si c'est cache dans un modem ou un routeur hardware).
Pour cette raison il y a la fonctionnalite de rediriger de ports (par exemple 80 TCP pour http, 22 TCP pour ssh, 23 TCP pour telnet etc.) vers un des autres pcs 192.168.0.x avec x different de 1. Explicitement une requete http ne tomberait plus sur le routeur 192.168.0.1 mais sur le pc qu'on aurait choisi pour la redirection. Apres on installe son serveur sur ce pc et c'est bon.
On peut rediriger de differents ports vers differents pcs et comme ca faire un serveur http sur un pc et un serveur ssh sur un autre. Depuis l'exterieure on ne verrait jamais la difference car ca a l'aire comme une seule IP publique avec une seule machine.
A ma comprehension le DMZ consiste simplement a rediriger completement tous les ports vers un seul pc specifique qui serait donc desormais le pc "visible" depuis internet. Si ce pc n'a pas un pare feu a lui il serait completement ouvert a toute attaque. Mais pour l'utilisateur ce serait plus simple. Il met tous ses serveurs la dessus et c'est bon.
Cependant le mieux est de ne pas utiliser le DMZ et de rediriger les ports qu'il faut et pas plus. Ca fait un peu plus de travail mais c'est beaucoup plus securise.
Explicitement la redirection se fait dans les menus (interfaces web ou logiciels speciaux qui tournent sur un pc windows) pour les modem-routeurs ou routeurs hard. Pour un pc Windows je ne sais pas (peut-etre dans un menu quelques part) et pour un pc Linux avec les bonnes regles iptables. Pour linux il y a de logiciels (par exemple "fwbuilder") qui simplifient la tache pour faire les bonnes regles iptables.
Maintenant quand on essaie depuis exterieur, c.-a-d. depuis l'internet, d'acceder a un service quelconque (http, ssh, ...) sur ton numero IP publique ca tombe par defaut sur le routeur NAT lui meme et les autres PCs sont invisibles car depuis l'exterieure il n'y a qu'une IP et rien de plus. Les IPs privees sont masquees et c'est express comme ca.
Donc en theorie et en 1ere approximation tu es oblige d'installer tous tes serveurs (si tu en as) sur le routeur lui meme mais ce n'est pas commode et desfois meme impossible car le routeur n'est pas forcement un vrai pc (notamment si c'est cache dans un modem ou un routeur hardware).
Pour cette raison il y a la fonctionnalite de rediriger de ports (par exemple 80 TCP pour http, 22 TCP pour ssh, 23 TCP pour telnet etc.) vers un des autres pcs 192.168.0.x avec x different de 1. Explicitement une requete http ne tomberait plus sur le routeur 192.168.0.1 mais sur le pc qu'on aurait choisi pour la redirection. Apres on installe son serveur sur ce pc et c'est bon.
On peut rediriger de differents ports vers differents pcs et comme ca faire un serveur http sur un pc et un serveur ssh sur un autre. Depuis l'exterieure on ne verrait jamais la difference car ca a l'aire comme une seule IP publique avec une seule machine.
A ma comprehension le DMZ consiste simplement a rediriger completement tous les ports vers un seul pc specifique qui serait donc desormais le pc "visible" depuis internet. Si ce pc n'a pas un pare feu a lui il serait completement ouvert a toute attaque. Mais pour l'utilisateur ce serait plus simple. Il met tous ses serveurs la dessus et c'est bon.
Cependant le mieux est de ne pas utiliser le DMZ et de rediriger les ports qu'il faut et pas plus. Ca fait un peu plus de travail mais c'est beaucoup plus securise.
Explicitement la redirection se fait dans les menus (interfaces web ou logiciels speciaux qui tournent sur un pc windows) pour les modem-routeurs ou routeurs hard. Pour un pc Windows je ne sais pas (peut-etre dans un menu quelques part) et pour un pc Linux avec les bonnes regles iptables. Pour linux il y a de logiciels (par exemple "fwbuilder") qui simplifient la tache pour faire les bonnes regles iptables.
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
17 nov. 2005 à 10:20
17 nov. 2005 à 10:20
Salut,
J'aimerai "ajouter ma pierre à l'édifice" :)
Voici un schéma tres sommaire que j'avais fait il y a un certain temps.
http://trax.fr.st/dmz.jpg
Une DMZ est généralement séparée du réseau local. Les serveurs en DMZ doivent etre sauvegardés régulièrement, car étant accessibles publiquement ils sont l'objet d'attaques ou autres opérations malveillantes.
Si tu as d'autres questions sur le schéma, n'hésites pas.
@+
J'aimerai "ajouter ma pierre à l'édifice" :)
Voici un schéma tres sommaire que j'avais fait il y a un certain temps.
http://trax.fr.st/dmz.jpg
Une DMZ est généralement séparée du réseau local. Les serveurs en DMZ doivent etre sauvegardés régulièrement, car étant accessibles publiquement ils sont l'objet d'attaques ou autres opérations malveillantes.
Si tu as d'autres questions sur le schéma, n'hésites pas.
@+
25 mai 2009 à 16:37