Problème DMZ

Problème DMZ - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 10-07-2013 à 10:48:29    

Bonjour,
 
Suite à la mise en place de mon firewall U70 S et de plusieurs serveurs en DMZ je rencontre un problème.
 
j'ai une plage publique en X.X.X.104 /29
 
j'ai l'adresse X.X.X.110 pour le routeur, mon interface out à la X.X.X.105 en /29
 
sur le firewall, j'ai une dmZ ou deux machines possèdent les IP publique 106, et 107.
 
je fais du NAT bidirectionnel pour ces deux machines.
 
IP interne X.X.23.56   vers Any par l'interface out ->  IP publique X.X.X.106 vers any par l'interface out.
 
pareil pour le deuxième serveur.
 
au début ces serveurs n'avaient pas de réseau. j'ai mis leur ip publique sur l'interface out (une par une) pour tester si la connexion se faisait.
 
j'avais bien la connexion internet.
 
j'ai remis l'adresse IP publique du firewall sur l'interface out.
 
et la tout marche. alors étonné j'étais !!!!
 
et au bout de quelques heures. op plus de réponses vers l'externe.
 
je refait la même manip op ca remarche pendant un jour. et après op plus de possibilité d'allez sur l'externe.
 
je sèche vraiment... Auriez vous une petite idée?
 
Merci d'avance pour toutes vos réponses!!!

Reply

Marsh Posté le 10-07-2013 à 10:48:29   

Reply

Marsh Posté le 10-07-2013 à 15:16:17    

Pour faire quelque chose de propre, il ne faut pas mettre l'adresse IP publique directement sur le serveur dans la DMZ.
 
Ce que je ferai à ta place :
 
- Configure ton pool public sur ton interface OUT.
- Configure un plan d'adressage privé pour ta DMZ.
 
Ensuite, dans ton NetASQ, tu créé un objet "Machine" dans lequel tu renseignes une adresse IP publique choisie dans le pool.
 
Et enfin, dans ton NetASQ, il faut que tu NAT entre l'objet que tu viens de créer (adresse ip publique) et ton serveur (avec son ip privée).
 
Pour activer la sortie vers Internet depuis ta DMZ, il faudra créer une règle de filtrage autorisant la sortie du traffic (par défaut, tout est bloqué)


---------------
In my bed, but still_at_work.
Reply

Marsh Posté le 10-07-2013 à 16:02:31    

Bonjour,
 
j'ai du mal m'exprimé, je n'ai pas mis l'ip publique direct sur mon serveur.
 
j'ai un pool d'IP privé sur la dmZ et j'ai un poll dip publique sur l'interface out.
 
j'ai bien fait les nat comme expliqué dans mon mail. quand j'arrive avec une ip publique je la nat sur lip privé correspondante et inverse.
 
en gros sur le firewall je déclare sur l'out la X.X.X.105 en /29 donc tout le pool ip publique.
 
sur mon serveur 1 j'ai X.X.23.10 ip privée
serveur deux j'ai X.X.23.11 ip privée.
 
ensuite j'ai deux nat :    
 
 
Si j'arrive en source any destination X.X.X.106 je nat de source any à destination X.X.23.10
Si j'arrive en source any destination X.X.X.107 je nat de source any à destination X.X.23.11
 
et bien sur inversement pour les deux.
 
cela fonctionne très bien sauf que ca coupe et que ca revient si je met une par uen sur l'interface out les IP Publique utilisée.
 
et quand je remets celle du firewall tout marche derrière

Reply

Marsh Posté le 10-07-2013 à 16:15:24    

Quelle version de NetASQ ? 8 ou 9 ? Tu peux nous mettre une copie d'écran ?


---------------
In my bed, but still_at_work.
Reply

Marsh Posté le 11-07-2013 à 09:18:56    

Bonjour,
 
je suis en version 9.
 
voici l'image en question
 
http://imageshack.us/a/img689/7774/kwce.jpg

Reply

Marsh Posté le 11-07-2013 à 15:23:38    

bon,
 
j'en sais un peu plus.
 
je regardais ma table avec un netstat -rn
 
et j'ai :
 
X.X.X.X.104/29 link#9             UC          0        0   eth0
 
quand mes deux serveurs ne fonctionnent pas
 
et quand il fonctionnent , j'ai:
X.X.X.104/29 link#9             UC          0        0   eth0
X.X.X.107    link#9             UHLW        1        2   eth0
X.X.X.106    link#9             UHLW        1        2   eth0
 
le lien avec le flag UC apparait tout le temps les deux autres apparaissent seulement quand je fais la manipulation expliquée ci-dessus

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed