DMZ Bbox

Douglassounet -
Douglassounet - 30 nov. 2021 à 17:21

Bonjour,

J'aimerais savoir plus précisément à quoi sert le paramètre DMZ de ma BOX Internet. J'ai pu lire sur le web que ce n'était pas exactement la même chose qu'une DMZ au sens propre (un pare-feu avec un réseau LAN d'un côté et un réseau avec les machines accessibles via Internet de l'autre).

Sur ma BBOX, je peux choisir un seul hôte à placer dans la DMZ. Si je comprends bien, en faisant ça, tous les ports de ma box seront redirigés vers cet hôte ? Si mon IP publique = X.X.X.X et que mon hôte DMZ a une IP privée de Y.Y.Y.Y., en me connectant depuis l'Internet sur l'IP X.X.X.X et le port 500 par exemple, la connexion est redirigée vers Y.Y.Y.Y port 500, est-ce bien cela ?

Merci

A voir également:

5 réponses

Réponse 1 / 5

brucine Messages postés 21609 Date d'inscription Statut Membre Dernière intervention 3 399

Bonjour,

La DMZ est une idée tordue si l'on n'a pas un réseau local de plusieurs machines, où elle est destinée à ce qu'une seule reçoive des connexions Internet (et ce qui continue d'ailleurs à ne pas avoir de sens si le réseau local reste accessible depuis la machine recevant les connexions).

Sur une seule machine, elle a pour effet non pas de rediriger ou autoriser une demande particulière sur tel port, mais de l'ouvrir à tous les vents (sauf si filtrage par pare-feu en aval).

Il est donc plus sain non pas de mettre en place une DMZ, mais des règles NAT pour les applications et ports concernés.

La tentation de la DMZ résulte souvent de faire face à des applications qui utilisent une large plage de ports dynamiques, et qui sont souvent de ce fait une faille de sécurité dès lors qu'on autorise tout sans discernement.

Réponse 2 / 5

Douglassounet

Merci pour la réponse,

Jusqu'à présent, je comprenais les règles NAT/PAT que j'avais d'ailleurs déjà pu utiliser sur ma BOX.

Pour la DMZ de la BOX, j'arrive plus ou moins à saisir l'idée mais je reste perplexe sur certains points :

Sachant que si je mets une machine de mon LAN en DMZ, celle-ci sera ouverte à tous les vents comme vous dites (techniquement cela représente quoi ?). Mais vu que cette machine se trouve derrière ma BOX et qu'elle a une IP privée, cela ne changera concrètement rien d'un point de vue externe ?

Est-ce que je peux dire qu'une machine mise en DMZ ne fait pas l'objet du traitement du pare-feu de la BOX tout simplement ? Est-ce juste de dire cela ?

Merci.

brucine Messages postés 21609 Date d'inscription Statut Membre Dernière intervention 3 399

C'était un sujet qui faisait couler beaucoup d'encre à une époque où les gens utilisaient par exemple emule ou autres saletés.

Le logiciel communique avec le PC sur des ports dynamiques (qui ne sont jamais les mêmes) avec pour conséquence d'ouvrir la machine en DMZ (et qui n'est en effet pas filtrée par la Box) à tous les ports de la création sauf si le PC cible est équipé lui-même d'un pare-feu capable de filtrer les ports désirés.

Dans l'hypothèse où une intrusion en résulterait, la DMZ ne sert à rien d'autre qu'un détournement des règles NAT (par exemple pour faciliter la prise de contrôle à distance d'une machine sans devoir la chercher sur le réseau), et ne sert non plus à rien sur le plan sécuritaire si des règles sur le réseau local n'empêchent pas que l'accès par DMZ à une des machines puisse par rebond procurer un accès aux autres.

Réponse 3 / 5

Douglassounet

Encore une fois, merci, je comprends mieux maintenant.

J'aimerais poser une autre question, qui s'écarte un petit peu de celle de base :

Contexte : j'aimerais placer un routeur/pare-feu (ex : pfsense) derrière ma BOX (côté LAN) mais ma BOX n'a pas le mode bridge.

Est-ce ok d'un point de vue fonctionnel et sécurité de placer le pfsense dans la DMZ de ma box afin de pouvoir gérer tout le filtrage de ports sur le pfsense ?

Je suppose que si je ne fais pas ça, alors ma ma box servira d'abord de premier filtre au trafic et ensuite le pfsense de second filtre ce qui peut également fonctionner mais ce qui ne me laisse pas le contrôle total du filtrage si je ne dis pas de bétise.

brucine Messages postés 21609 Date d'inscription Statut Membre Dernière intervention 3 399

Je ne connais pas pfsense, je suppose qu'il s'agit du logiciel, pas du pare-feu installé dans un routeur dédié, et je ne vois pas trop dans ces conditions comment, sans routeur, l'administrer à partir de la Box.

Il n'est pas d'un paramétrage très commode, si c'est de Windows que l'on cause et qu'on ne se satisfait pas de Windows Defender, il y a d'autres solutions (j'utilise personnellement Comodo).

Mais sans casser la tirelire, il n'y a pas à ma connaissance de vraie solution réseau; de fait, il faut alors installer le même logiciel de sécurité sur toutes les machines et, après avoir créé des règles adéquates LAN et WAN sur une machine, les recopier dans les autres.

Réponse 4 / 5

brupala Messages postés 111993 Date d'inscription Statut Membre Dernière intervention 14 158

Salut,
le nat dynamique n'a jamais été un parefeu malgré ce qu'essaient de faire croire certains FAI ou vendeurs de routeurs, c'est juste pour s'adapter au fait qu'ils ne fournissent qu'une seule ipv4, et encore ils en arrivent à la partager entre plusieurs clients.
C'est vrai que la DMZ d'une box n'a rien à voir avec la DMZ d'un parefeu, c'est juste une adresse ip local que l'on désigne pour recevoir toutes les connexions IP entrantes,
Elle est parfois indispensable car tous les protocoles IP ne sont pas constitués de ports comme UDP et TCP pour identifier les connexions, exemple un tunnel GRE, un tunnel IPSEC ....etc
Si tu mets un vrai parefeu comme le PFsense, effectivement tu dois le mettre en adresse DMZ si ta box ne bridge pas, à condition que celui ci soit configuré en routeur.
Pense aussi que maintenant tu as IPV6, qui offre des milliards d'adresses IP et permet d'adresser directement une machine sans traduction d'adresse ni nat.
Par contre les box ont souvent un parefeu qui bloque par défaut toutes les connexions entrantes ipv6.

Douglassounet

Vous dites : "c'est juste une adresse ip local que l'on désigne pour recevoir toutes les connexions IP entrantes" .

Mais dans mon cas, si mon hôte DMZ a une IP privée, je ne comprends pas comment celui-ci peut recevoir des connexions initiées depuis l'Internet...

Si là, je décide de mettre mon PC 192.168.1.x comme hôte DMZ, cela signifie-t-il qu'une connexion depuis Internet peut être directement faite vers cet hôte ?

Je suis toujours légèrement confus. Les règles de redirections PAT/NAT ne me posent pas de souci de compréhension mais alors cette fameuse DMZ...

brupala Messages postés 111993 Date d'inscription Statut Membre Dernière intervention 14 158 > Douglassounet

oui,
tout à fait, toute connexion ipv4 issue de l'internet et destinée à l'adresse publique de la box (adresse wan) sera redirigée vers cette machine par la box, comme c'est une adresse privée, la box va natter (changer) l'adresse destination vers cette adresse, mais modifier autre chose (protocole, ports, etc) juste le checksum de l'entête IP qui va changer bien sûr puisqu'une adresse est modifiée.
En somme c'est un nat plus global et statique, sans pat, donc sans moyen de différentier la destination comme dans nat+pat.
Aussi,
comme la connexion est destinée en premier à la box (c'est son adresse la destination) si celle ci est en écoute sur le port ou le protocole en question, elle traitera elle même directement, normal, c'est seulement ce qu'elle ne gère pas qu'elle va renvoyer.
Bien entendu,
il faut que la machine en DMZ soit bien protégée au niveau firewall.
Tandis qu'une vraie DMZ au sens d'un vrai parefeu, est une plage d'adresses locales ou publiques accessibles de l'internet et du réseau local, le lan étant inaccessible depuis l'internet et depuis la DMZ.
c'est donc là que l'on va placer les serveurs publics de l'entreprise, s'ils sont hébergés localement, ce qui arrive de moins en moins.

Discussions similaires

Rôle de la DMZ (dans un exemple)

A quoi sert le DMZ?

ip DMZ

dmz publique ou privée

configuration d'un DMZ

comment créer ma DMZ ?

Votre réponse

Discussions similaires