Mettre en place un serveur "visible" sur le net

Mettre en place un serveur "visible" sur le net - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 08-07-2007 à 22:40:57    

Bonjour à tous !
 
           Je m'occupe d'un réseau d'une résidence, nous avons un firewall Netasq F500 permettant de filtrer le traffic. Le problème c'est que je voudrais mettre en place entre le firewall et le réseau local un serveur permettant à la fois de priotiser le traffic, que ce serveur ait un accès sans limitation vers internet et que ce serveur puisse être vu depuis le net (et ce sur tous les ports), il faut bien sur que les machines du LAN puissent accéder à ce serveur et inversement.
 
           Je me suis renseigné et j'ai pensé que le concept de DMZ peut être interessant, mais il me semble qu'il faut que le serveur soit branché sur le port DMZ du firewall Netasq (pas sur), sinon j'ai vu aussi que la définition de DMZ diffère selon les sites web, pour moi c'est une zone ou tous les ports sonr redirigés sur le serveur contenu dans cette zone. Pour d'autres le serveur de la DMZ n'est pas visible de l'internet...
 
Ais-je juste !?
 
Merci d'avance !
RedVivi


Message édité par redvivi le 08-07-2007 à 22:49:37
Reply

Marsh Posté le 08-07-2007 à 22:40:57   

Reply

Marsh Posté le 09-07-2007 à 10:21:40    

si tu veux que ton serveur soit visible du net, effectivement, tu dois le mettre en DMZ .
par contre "sur tous les ports" ce n'est vraiment pas prudent....
 
 
@
|
[firewall]- [ serveur en DMZ]
|
[réseau interne]
 
tu dois configurer le firewall pour :
 
- autoriser les utilisateurs de ton réseau interne a accéder à internet et au serveur en dzm
 
autorisier ton serveur en dmz a aller sur internet
autorosier internet (any/any) a aller sur ton serveur en dmz
 
le truc très important est " doit tu autoriser ton serveur a aller sur le réseau interne" ?

Reply

Marsh Posté le 09-07-2007 à 12:08:26    

Que veux tu dire par aller sur le réseau interne ? Disons qu'il y a pas mal de serveurs applicatifs sur le serveur DMZ et en plus un serveur Radius qui envoie les authentifications aux switchs, qui sont eux dans le réseau Interne....Enfin je ne sais pas si le concept de DMZ est adapté à ma situation, en gros j'aimerais que le serveur se comporte comme si il n'y avait pas de firewall.....Par contre le serveur fait routeur NAT pour le réseau local, donc pas besoin d'autoriser les utilisateurs du réseau interne à accéder au serveur


Message édité par redvivi le 09-07-2007 à 12:09:59
Reply

Marsh Posté le 10-07-2007 à 09:28:32    

Up !

Reply

Marsh Posté le 10-07-2007 à 09:38:18    

je te parlais de ta matrice des flux que tu dois gérer, il faut que tu regardes quels sont les flux autorisés ou pas.
 
tu dis  dans ton dernier message :
"Par contre le serveur fait routeur NAT pour le réseau local, donc pas besoin d'autoriser les utilisateurs du réseau interne à accéder au serveur"
alors que dans ton premier
" ), il faut bien sur que les machines du LAN puissent accéder à ce serveur et inversement. "
 
donc tu veux faire quoi alors ?
 
attention, si tu met un serveur en DMZ, tu dois configurer spécifiquement l'accès a cette machine, aussi bien depuis les gens qui sont sur le lan et ceux qui viennent d'internet.
 

Reply

Marsh Posté le 10-07-2007 à 10:52:29    

a première vu je pense qu'il faudrait que tu mettes un autre serveur en DMZ, ton actuel semble bien trop lié au LAN.

Reply

Marsh Posté le 10-07-2007 à 11:53:32    

il peut le mettre dans une pseudo DMZ ... autre interface sur le parefeu/routeur, autre adressage IP.
 
Des ACL sur le firewall/routeur et voila ...
 
quelques ports depuis l'exterieur autorisés (regle NAT) et des regles de firewall depuis le LAN ...
 
 
C'est ce que j'ai fais pour quelqu'un ...  
 
 

Reply

Marsh Posté le 10-07-2007 à 11:58:36    

Pardon je me suis extremement mal expliqué, je recommence:
 
Nous avons un lan avec un sous réseau 255.248.0.0, dans de sous réseau, il y a un serveur Debian (adresse réseau 10.48.X.Y) qui distribue l'accès sur un sous réseau 255.255.0.0 avec des adresses IP 10.0.X.Y). Nous sommes embetés car le firewall "filtre trop" l'accès, ce qui fait que l'on a des problèmes pour établir des connexions depuis et vers l'extérieur. Donc je pensais qu'en mettant le serveur Debian en DMZ, il n'y aurait plus de limitation pour les clients du sous réseau 255.255.0.0 pour accéder à Internet (le seul controle serait donc au niveau du serveur Debian et non au niveau du serveur Debian + le Firewall).
 
En gros l'idée c'est de supprimer "virtuellement" le firewall pour que le serveur Debian ait un accès sans limite à Internet. Vous avez compris !? (je suis une catastrophe..)

Reply

Marsh Posté le 10-07-2007 à 18:15:36    

J'ai oublié de préciser quelquechose !? :-(


Message édité par redvivi le 10-07-2007 à 18:16:00
Reply

Marsh Posté le 10-07-2007 à 22:41:25    

je comprends plus rien lol

Reply

Marsh Posté le 10-07-2007 à 22:41:25   

Reply

Marsh Posté le 10-07-2007 à 23:02:52    

moi sans schema, je ne dechiffre pas le paté de texte ...

Reply

Marsh Posté le 11-07-2007 à 09:06:23    

C'est parti:   [WWW]====[Firewall]===[LAN1]
                                         ||
                                         ||
                                  [Serveur Debian]
                                         ||
                                         ||
                                      [LAN2]
 
Il y a des problème d'accès sur le LAN2 car le firewall a une politique de filtrage et de NAT pas géniale, donc je me disais qu'en mettant le Serveur Debian en DMZ les clients du LAN2 aurait un accès presque direct (avec un filtrage quasiment nul et un forwarding de tous les ports, d'ou mon idée de DMZ). L'idée est de déporter le filtrage de l'accès Internet du LAN2 sur le serveur Debian et ne plus avoir de limitation (ou très peu) du au firewall


Message édité par redvivi le 11-07-2007 à 09:07:12
Reply

Marsh Posté le 11-07-2007 à 09:57:04    

en général on fait l'inverse... le firewall est un élément filtrant au centre de l'architecture ( bon pas obligatoire mais trop long a expliquer toussa..)
 
 
[WWW]====[Firewall]
                   ||      ||
                   ||       ||
             {LAN1)    (LAN 2)
 
grace à cette archietcture, c'est devenu très simple de défniir quelle politique de sécurité tu souhaites implémenter !
 
si tuas un serveur "visible d'intenet" tu dois le placer dans une zone hors des réseaux locaux, ce qui donne:
 
[WWW]====[Firewall] ==== {serveur en DMZ "publique}
                   ||      ||
                   ||       ||
             {LAN1)    (LAN 2)
 
s'il te manque des interfaces, tu peux tuiliser les VLAN pour faire de la "segmentation réseau)
 
 [WWW]====[Firewall] ==== {serveur en DMZ "publique}
                    ||
                    ||
              {SWITCH qui gère les VLAN}
                  ||                          ||
                  ||                           ||
          {switch pour la lan 1}           {switch pour la lan 1}
 
et tu définis ta policiy en fonction de VLAN ....
 
 
 
 

Reply

Marsh Posté le 11-07-2007 à 10:34:14    

Oui mais malheureusement je ne peux pas faire ceci car moi je ne gère (et ne peux gerer) que la partie concernant le serveur Debian, cependant je peux demander un changement de configuration du firewall, que me préconisez vous comme méthode (DMZ? NAT avec tous les ports forwardés?) avec l'architecture que j'ai spécifié ?

Reply

Marsh Posté le 11-07-2007 à 12:02:35    

Je rappelle la structure que je dois utiliser:
 
[WWW]====[Firewall]===[LAN1]  
                         ||  
                         ||  
                   [Serveur Debian]  
                         ||  
                         ||  
                       [LAN2]


Message édité par redvivi le 11-07-2007 à 13:53:02
Reply

Marsh Posté le 11-07-2007 à 12:28:16    

Si tu fais du nat sur le serveur debian et que tu demandes d'ouvrir certains ports en sortie sur le firewall avec comme adresse source ton serveur debian ca devrait aller.
 
Ensuite tu demandes à rediriger les ports voulu en entré vers ton debian ensuite sur ton debian tu rediriges les ports vers le serveur que tu veux rendre accessible.
 
Sinon tu fais une sorte de DMZ derriere ton serveur pour un peu plus de sécurité.

Reply

Marsh Posté le 11-07-2007 à 13:54:33    

Pims a écrit :

Si tu fais du nat sur le serveur debian et que tu demandes d'ouvrir certains ports en sortie sur le firewall avec comme adresse source ton serveur debian ca devrait aller.
 
Ensuite tu demandes à rediriger les ports voulu en entré vers ton debian ensuite sur ton debian tu rediriges les ports vers le serveur que tu veux rendre accessible.
 


 
Oui c'est ce qui est fait actuellement, mais le problème c'est que les utilisateurs du LAN2 ont un usage très généraliste du réseau (P2P, stream audio, jeux video, streaming video etc....) tu imagines le nombre de ports à forwarder sans compter leurs numéros à trouver....une DMZ ne permet pas de passer outres ces limitations ?


Message édité par redvivi le 11-07-2007 à 13:55:10
Reply

Marsh Posté le 11-07-2007 à 14:06:41    

En sortie pas la peine de forwarder quoi que ce soit... il faut forwarder pour les ports du serveur que tu souhaites être visible sur depuis Internet.

Reply

Marsh Posté le 11-07-2007 à 14:19:39    

Je ne suis pas d''accord, par exemple des applicatifs style jeux video ont besoin de communiquer de WWW vers le LAN2, donc il faut que tous les ports soient forwardés.... non ?

Reply

Marsh Posté le 11-07-2007 à 14:22:39    

Ca dépend de comment fonctionne l'applicatif, si le poste client fait office de serveur forcément.  
Sinon non, pas besoin de forwarder des ports.

Reply

Marsh Posté le 11-07-2007 à 14:33:03    

Ok, est-ce que activer le DMZ sur l'IP du serveur Debian équivaut à forwarder les ports dans le sens WWW=>LAN2 ?
 
Ou alors pour éviter de forwarder manuellement les ports on peut utiliser conntrack non ?


Message édité par redvivi le 11-07-2007 à 14:33:29
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed