salut,
 
je n'arrive pas a "voir" le principe de la DMZ sur un firewall à 3 pattes.

 
pour une archi comme ca:

je vois bien
 
Si je me place au niveau de mes règles de FW sur la 1er schéma, qu'est ce qui diferencie la DMZ d'une quelconque plage IP de mon LAN ? je fais les règles que je veux
 
merci pour vos lumières éventuelles
 

j'ai dit une connerie ?

La différence, c'est que la DMZ accepte du trafic entrant

heu :|
 
je vois pas.
dans le cas du 2eme schema, la DMZ n'accpte pas de traffic entrant ? elle sert à rien alors
 
j'ai peut etre besoin d'un exemple.
 
admetons que j'ai un LAN, le net et un serveur de mail dans ma DMZ.
 
dans tous les cas, je peux envoyer/recevoir des mails. non ?
la différence est peut etre aussi au niveau des regles à définir pour la communication LAN <=> DMZ. non ?
 
je suis dans le flou.

 
En fait tu choisis une plage IP privé pour la DMZ diffrénte de celle de ton LAN. Et ensuite tu créé les règles de redirecion vers tes serveurs (en général c ça) avec les ports et adresses qui vont bien.

donc il n'y a pas besoin de 3 pattes sur le FW.
 
c'est la que je pige pas

Pas forcément  mais c'et mieux

en quoi c'est mieux ? la séparation physique ? ou la séparation des réseau ?
 
le mieux reste encore mon 2ème schéma de toute facon non ?

le mieux c'est d'avoir quelque chose de bien configurer.

vive la philo à 2 roubles

Les deux schémas réprésentent la même chose l'un de manière logique l'autre physique.
 
LAN: aucun accès direct avec Internet, TOUS les accès passent par des relais dans la DMZ.
DMZ: Serveurs relais, lien avec Internet et le LAN

 
Ca me parait evident... Si ton serveur DMZ/passerelle tombe, il reste quoi ?

 
je ne comprends pas bien ta réponse.
je parle bien d'UN firwall avec 2 ou 3 interfaces. donc s'il tombe. dans tous les cas c'est la merde.

 
Mouais, j'ai encore jamais vu un FW digne de ce nom tomber aussi facilement qu'un serveur.
 
Et puis si un serveur en DMZ fait passerelle, c'est du pain béni pour renseigner un pirate sur ton activité réseau.

je crois qu'on ne se compreds pas
 
je parle uniquement de la passerelle qui "gere" les regles de la DMZ, les serverus dans la DMZ sont des machines différentes.
 
j'essayais juste de voir la différence entre 2 et 3 pattes.

 
Effectivement, je ne te comprends pas

Une DMZ est avant tout une notion "entre guillemets" théorique.
 
Il faut bien comprendre qu'en terme de sécurité, il ne faut jamais, et je dis bien JAMAIS accepté un trafic entrant.
 
Or il existe des cas ou l'on est bien obligé d'autoriser ce trafic : exemple un serveur WEB. Tu publies ton site et tu veux que les gens puissent le voir, tu es obligé d'accepter leur connexion.
 
Le problème est donc que dans une architecture comme celle là :
 
internet - FW - LAN (avec le serveur WEB)
 
tu donnes non seulement accès au serveur WEB mais aussi au LAN : c'est pas malin. Donc il te faut une zone moins sensible dans laquelle tu pourrais placer ton serveur, c'est la DMZ. L'architecture devient :
 
internet - FW - DMZ (serveur WEB)
                - LAN (mes aut' PCs)
 
Dans ce cas, il y a une séparation entre la DMZ et le LAN (les règles sur le FW sont différentes pour l'interface DMZ et l'interface LAN). Il n'y a AUCUN trafic entrant sur le LAN mais l'extérieur peut accéder à ton serveur WEB.

en gros ca evite de faire des regles par ip. non ?
 
si je fais
iptables -A INPUT -o $wan -dport 80 -d ip_de_mon_serveur_web - J ACCEPT
etc.. pour tous mes services
 
la sécurité est la meme avec ou sans dmz ?

Non
 
Car avec une dmz tu as une séparation des reseau
 
image que ton serveur web a une faille, un pirate l'utilise pour se connecter au serveur et prendre le controle.
 
En dmz, il n'aura qu'accès aux pc en dmz, alors si tu ne fais pas de dmz il aura accès à tout

ok. je vois mieux. la grosse différence a l'air d'etre au niveau de la fiabilité à l'interieur du lan.
 
Merci

L'analogie est un peu foireuse mais c'est comme si tu faisais un partitionnement de ton disque dur. Si une partition est un peu niquée, tu la formattes et tu gardes quand meme les autres intactes...