5 réponses
Bonjour,
La DMZ est une idée tordue si l'on n'a pas un réseau local de plusieurs machines, où elle est destinée à ce qu'une seule reçoive des connexions Internet (et ce qui continue d'ailleurs à ne pas avoir de sens si le réseau local reste accessible depuis la machine recevant les connexions).
Sur une seule machine, elle a pour effet non pas de rediriger ou autoriser une demande particulière sur tel port, mais de l'ouvrir à tous les vents (sauf si filtrage par pare-feu en aval).
Il est donc plus sain non pas de mettre en place une DMZ, mais des règles NAT pour les applications et ports concernés.
La tentation de la DMZ résulte souvent de faire face à des applications qui utilisent une large plage de ports dynamiques, et qui sont souvent de ce fait une faille de sécurité dès lors qu'on autorise tout sans discernement.
La DMZ est une idée tordue si l'on n'a pas un réseau local de plusieurs machines, où elle est destinée à ce qu'une seule reçoive des connexions Internet (et ce qui continue d'ailleurs à ne pas avoir de sens si le réseau local reste accessible depuis la machine recevant les connexions).
Sur une seule machine, elle a pour effet non pas de rediriger ou autoriser une demande particulière sur tel port, mais de l'ouvrir à tous les vents (sauf si filtrage par pare-feu en aval).
Il est donc plus sain non pas de mettre en place une DMZ, mais des règles NAT pour les applications et ports concernés.
La tentation de la DMZ résulte souvent de faire face à des applications qui utilisent une large plage de ports dynamiques, et qui sont souvent de ce fait une faille de sécurité dès lors qu'on autorise tout sans discernement.