DMZ Bbox Fermé

Question

Bonjour, 

J'aimerais savoir plus précisément à quoi sert le paramètre DMZ de ma BOX Internet. J'ai pu lire sur le web que ce n'était pas exactement la même chose qu'une DMZ au sens propre (un pare-feu avec un réseau LAN d'un côté et un réseau avec les machines accessibles via Internet de l'autre).

Sur ma BBOX, je peux choisir un seul hôte à placer dans la DMZ. Si je comprends bien, en faisant ça, tous les ports de ma box seront redirigés vers cet hôte ? Si mon IP publique = X.X.X.X et que mon hôte DMZ a une IP privée de Y.Y.Y.Y., en me connectant depuis l'Internet sur l'IP X.X.X.X et le port 500 par exemple, la connexion est redirigée vers Y.Y.Y.Y port 500, est-ce bien cela ?

Merci

brucine · Answer

Bonjour,

La DMZ est une idée tordue si l'on n'a pas un réseau local de plusieurs machines, où elle est destinée à ce qu'une seule reçoive des connexions Internet (et ce qui continue d'ailleurs à ne pas avoir de sens si le réseau local reste accessible depuis la machine recevant les connexions).

Sur une seule machine, elle a pour effet non pas de rediriger ou autoriser une demande particulière sur tel port, mais de l'ouvrir à tous les vents (sauf si filtrage par pare-feu en aval).

Il est donc plus sain non pas de mettre en place une DMZ, mais des règles NAT pour les applications et ports concernés.

La tentation de la DMZ résulte souvent de faire face à des applications qui utilisent une large plage de ports dynamiques, et qui sont souvent de ce fait une faille de sécurité dès lors qu'on autorise tout sans discernement.

Douglassounet · Answer

Merci pour la réponse,

Jusqu'à présent, je comprenais les règles NAT/PAT que j'avais d'ailleurs déjà pu utiliser sur ma BOX.

Pour la DMZ de la BOX, j'arrive plus ou moins à saisir l'idée mais je reste perplexe sur certains points :

Sachant que si je mets une machine de mon LAN en DMZ, celle-ci sera ouverte à tous les vents comme vous dites (techniquement cela représente quoi ?). Mais vu que cette machine se trouve derrière ma BOX et qu'elle a une IP privée, cela ne changera concrètement rien d'un point de vue externe ?


Est-ce que je peux dire qu'une machine mise en DMZ ne fait pas l'objet du traitement du pare-feu de la BOX tout simplement ? Est-ce juste de dire cela ?

Merci.

Douglassounet · Answer

Encore une fois, merci, je comprends mieux maintenant.

J'aimerais poser une autre question, qui s'écarte un petit peu de celle de base :

Contexte : j'aimerais placer un routeur/pare-feu (ex : pfsense) derrière ma BOX (côté LAN) mais ma BOX n'a pas le mode bridge.

Est-ce ok d'un point de vue fonctionnel et sécurité de placer le pfsense dans la DMZ de ma box afin de pouvoir gérer tout le filtrage de ports sur le pfsense ? 

Je suppose que si je ne fais pas ça, alors ma ma box servira d'abord de premier filtre au trafic et ensuite le pfsense de second filtre ce qui peut également fonctionner mais ce qui ne me laisse pas le contrôle total du filtrage si je ne dis pas de bétise.

brupala · Answer

Salut,
le nat dynamique n'a jamais été un parefeu malgré ce qu'essaient de faire croire certains FAI ou vendeurs de routeurs, c'est juste pour s'adapter au fait qu'ils ne fournissent qu'une seule ipv4, et encore ils en arrivent à la partager entre plusieurs clients.
C'est vrai que la DMZ d'une box n'a rien à voir avec la DMZ d'un parefeu, c'est juste une adresse ip local que l'on désigne pour recevoir toutes les connexions IP entrantes,
Elle est parfois indispensable car tous les protocoles IP ne sont pas constitués de ports comme UDP et TCP pour identifier les connexions, exemple un tunnel GRE, un tunnel IPSEC ....etc
Si tu mets un vrai parefeu comme le PFsense, effectivement tu dois le mettre en adresse DMZ si ta box ne bridge pas, à condition que celui ci soit configuré en routeur.
Pense aussi que maintenant tu as IPV6, qui offre des milliards d'adresses IP et permet d'adresser directement une machine sans traduction d'adresse ni nat.
Par contre les box ont souvent un parefeu qui bloque par défaut toutes les connexions entrantes ipv6.

Douglassounet · Answer

Un grand merci, ces explications sont très claires !

Une bonne soirée à tous !

DMZ Bbox

5 réponses

Discussions similaires