Firewall - ++ DMZ

Firewall - ++ DMZ - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 15-11-2010 à 09:35:28    

Bonjour,
 
Avant de planter tout mon réseau, je préfère demander ici  :o  
 
Je dispose d'un NetASQ - Firewall U70 sur lequel je peux déclarer jusqu'à 3 DMZ.
 
Jusqu'à aujourd'hui, j'ai utilisé un serveur WEB que j'avais déclaré sur la DMZ1. Derrière le firewall, j'ai une BLB en mode bridge. J'ai rattaché un nom de domaine à mon IP publique et je fais mon hébergement WEB sur ce dernier.
 
Or, vu que le premier serveur est full, j'ai du déclarer un serveur sur la DMZ2. Le serveur est bien accessible depuis le LAN, etc..
 
Mon interrogation se pose sur l'accès extérieur : Sur mon Netasq, j'ai qu'UNE SEULE interface "out" où j'y ai ajouté une IP publique de mon pool disponible.
 
Donc j'imagine que tous les flux passeront par cette IP publique. Comment faire du port forwardding 80/3389/... vers le serveur dans la DMZ1 ou la DMZ2 étant donné que je pointe sur la même IP publique ?
 
Après il est peut être possible de récréeer une interface "out" mais au vue des options c'est un dialup, un vlan ou un bridge donc nawak.
 
Merci :)


Message édité par dimz4 le 15-11-2010 à 09:36:43
Reply

Marsh Posté le 15-11-2010 à 09:35:28   

Reply

Marsh Posté le 15-11-2010 à 09:36:52    

Je pense qu'il faut chercher du coté du nat par port.

Reply

Marsh Posté le 15-11-2010 à 09:40:43    

Je vais check merci :)
Mais en mon sens, je pensais pouvoir déclarer une nouvelle IP publique sur le Netasq et refaire mes règles de forward/trigger dessus.

Reply

Marsh Posté le 15-11-2010 à 17:12:12    

Bon, j'ai fait le NAT de la seconde DMZ pour que le serveur ai accès à Internet.
J'en arrive donc au port forwardding : Vu que je ne peux pas forward 2 fois le même port (3389 ou 80) vers 2 IP différentes (des deux DMZ). Comment faire ? En option j'ai du map bidirectionnel mais je ne pense pas que cela corresponde à ce que je souhaite, map, no map, redirection.
Pour le RDP je peux ruser en le faisant tourner sur un port différent mais pour l'hébergement sur le 80, non, étant donné que les deux serveurs hébergeront des sites ayant le même nom de domaine.

Message cité 1 fois
Message édité par dimz4 le 15-11-2010 à 17:13:15
Reply

Marsh Posté le 16-11-2010 à 09:26:41    

Ou bien est-il possible de spécifier 2 ip publique dans l'interface OUT du netasq ?
@EDIT : Dans Réseau->Interfaces->Out->Adresse et Ajouter on peut add une seconde IP publique mais pas dans le même network et vu que mes ip publiques se suivent cela ne marche pas... Dommage, cela aurait solutionné mon problème.
Comment faire pour ajoute 2 ip publiques sur l'interface out ? avec des VLAN ?


Message édité par dimz4 le 16-11-2010 à 09:42:58
Reply

Marsh Posté le 16-11-2010 à 10:51:49    

tu peux spécifier plusieurs IP sur une des interfaces du netasq.
si on t'a attribué un range d'IPs publiques tu peux faire directement du bimap, ie associer une ip publique à une ip privée pour les accès entrants et sortants. (qui seront limités par le slot de filtrage).
 
 
 

Reply

Marsh Posté le 16-11-2010 à 11:54:24    

en fait j'ai essayé de spécifier une autre IP dans mon interface out mais dès que je veux en add une autre, il me dit que l'adresse réseau est déjà en cours d'utilisation vu que c'est une range d'ip publique que FT m'a filé, pour le netasq, c'est pas envisageable.
par contre au niveau du bimap, comment tu veux dire ? j'utilise qu'une seule IP publique comme pour l'instant et ensuite ?  
Merci bcp !!

Reply

Marsh Posté le 16-11-2010 à 16:39:20    

Salut :)
 
Quelques précisions :)
 
Le bimap fais que lorsque ton serveur communique avec l'extérieur, il va étre déclaré avec l'adresse ip publique, et que toutes informations arrivant sur cette adresse ip publique est dirigé vers lui. En résumé tu lui attribues l'adresse ip, tu ne peux donc pas faire de bimap d'une adresse ip public sur deux machines différentes (une ip = une machine) sans passer par du PAT (Port Adress Translation).
 
Ensuite tu n'as pas à spécifier plusieurs ip publiques sur ton netasq, elles arrivent directement dessus :)
 
Imaginons, ton FAI te donne un range compris entre 93.17.3.30 à 93.17.3.35. Le routeur du FAI en bloque une, généralement la première (93.17.3.30) tu donnes l'addrese 93.17.3.31 à ton interface public (out) de ton netasq, le routeur de ton FAI va balancer toutes les communications de ton range vers ton netasq :) Tu ne t''occupes que du NAT et du PAT :)
 
En gros dans cette exemple j'ai attribué une ip publique à mon netasq 93.17.3.31, il me suffit de faire du BIMAP sur le netasq avec des machines du LAN, pour qu'elles soient joignables depuis l'extérieur.
 
Donc là je peux simpelment activer le BIMAP de mon serverweb01 sur 93.17.3.32 par exemple, et le bimap de mon serverweb02 sur 93.17.3.33 et celà fonctionne.
 
EDIT : Heuuu attention par contre :) quand tu indiques l'ip publique à ton interface netasq ... Indique lui le bon masque ;) si tu mets 255.255.255.255 c'est sur que celà ne marchera pas :) le masque, orange a due te l'indiqué à la livraison de ton pool d'adresse, c'est ce masque qui fait que tu n'as pas à déclarer quoi que ce soit.
Un petit outil online bien pratique : http://www.hobbesworld.com/reseaux/calcip.php


Message édité par ChaTTon2 le 16-11-2010 à 16:45:52

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 16-11-2010 à 16:51:42    

dimz4 a écrit :

Bon, j'ai fait le NAT de la seconde DMZ pour que le serveur ai accès à Internet.
J'en arrive donc au port forwardding : Vu que je ne peux pas forward 2 fois le même port (3389 ou 80) vers 2 IP différentes (des deux DMZ). Comment faire ? En option j'ai du map bidirectionnel mais je ne pense pas que cela corresponde à ce que je souhaite, map, no map, redirection.
Pour le RDP je peux ruser en le faisant tourner sur un port différent mais pour l'hébergement sur le 80, non, étant donné que les deux serveurs hébergeront des sites ayant le même nom de domaine.


Ouais enfin je pense aussi que ton problème ce n'est pas le map/bimap ou NAT/PAT ... Tu veux faire du loadbalancing en fonction de la charge sur ton server 1 et/ou server 2 ... Je suis pas le spécialiste ;) mais tu devrais peut être faire des recherches par là: http://fr.wikipedia.org/wiki/R%C3% [...] _de_charge
Et dans ce cas là tu n'auras besoin que d'une ip publique ;)


Message édité par ChaTTon2 le 16-11-2010 à 16:53:27

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 17-11-2010 à 09:32:51    

Cela fonctionne à merveille ! Je te remercie de toutes ces précisions et de ta patience !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed