J'utilise le firewall de SuSe, sur mon firewall il 'y a 3 pates, WAN,
LAN et DMZ.
Comment router une connection sur une machine dans la dmz sur une
machine du lan.
Avez-vous un exemple de règle qui pourrait faire ceci?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
JP
Joachim Dumon a écrit:
Bonjour,
J'utilise le firewall de SuSe, sur mon firewall il 'y a 3 pates, WAN, LAN et DMZ. Comment router une connection sur une machine dans la dmz sur une machine du lan.
Avez-vous un exemple de règle qui pourrait faire ceci?
Merci beaucoup.
Joachim
hi,
juste pour info, ce n'est pas un cas "correct" d'ouvrir un pinhole de la dmz vers la zone cliente. Car si ta dmz est corrompue, on peut éventuellement pénétrer ton rso local.
Joachim Dumon <NOSPAM_COMP@appius.fr> a écrit:
Bonjour,
J'utilise le firewall de SuSe, sur mon firewall il 'y a 3 pates, WAN,
LAN et DMZ.
Comment router une connection sur une machine dans la dmz sur une
machine du lan.
Avez-vous un exemple de règle qui pourrait faire ceci?
Merci beaucoup.
Joachim
hi,
juste pour info,
ce n'est pas un cas "correct" d'ouvrir un pinhole de la dmz vers la
zone cliente. Car si ta dmz est corrompue, on peut éventuellement
pénétrer ton rso local.
J'utilise le firewall de SuSe, sur mon firewall il 'y a 3 pates, WAN, LAN et DMZ. Comment router une connection sur une machine dans la dmz sur une machine du lan.
Avez-vous un exemple de règle qui pourrait faire ceci?
Merci beaucoup.
Joachim
hi,
juste pour info, ce n'est pas un cas "correct" d'ouvrir un pinhole de la dmz vers la zone cliente. Car si ta dmz est corrompue, on peut éventuellement pénétrer ton rso local.
Joachim Dumon
"JP" a écrit dans le message de news:
Joachim Dumon a écrit:
Bonjour,
J'utilise le firewall de SuSe, sur mon firewall il 'y a 3 pates, WAN,
LAN et DMZ. Comment router une connection sur une machine dans la dmz sur une machine du lan.
Avez-vous un exemple de règle qui pourrait faire ceci?
Merci beaucoup.
Joachim
hi,
juste pour info, ce n'est pas un cas "correct" d'ouvrir un pinhole de la dmz vers la zone cliente. Car si ta dmz est corrompue, on peut éventuellement pénétrer ton rso local.
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente demande une connection sur le port 1543 d'une machine dans la DMZ, en fait la connection se ferrais sur le port 1543 mais sur une machine du LAN.
Joachim
"JP" <JP@nospam.com> a écrit dans le message de
news:GFr.1a848d778c194c2598971d@news.free.fr...
Joachim Dumon <NOSPAM_COMP@appius.fr> a écrit:
Bonjour,
J'utilise le firewall de SuSe, sur mon firewall il 'y a 3 pates,
WAN,
LAN et DMZ.
Comment router une connection sur une machine dans la dmz sur une
machine du lan.
Avez-vous un exemple de règle qui pourrait faire ceci?
Merci beaucoup.
Joachim
hi,
juste pour info,
ce n'est pas un cas "correct" d'ouvrir un pinhole de la dmz vers la
zone cliente. Car si ta dmz est corrompue, on peut éventuellement
pénétrer ton rso local.
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente
demande une connection sur le port 1543 d'une machine dans la DMZ, en
fait la connection se ferrais sur le port 1543 mais sur une machine du
LAN.
J'utilise le firewall de SuSe, sur mon firewall il 'y a 3 pates, WAN,
LAN et DMZ. Comment router une connection sur une machine dans la dmz sur une machine du lan.
Avez-vous un exemple de règle qui pourrait faire ceci?
Merci beaucoup.
Joachim
hi,
juste pour info, ce n'est pas un cas "correct" d'ouvrir un pinhole de la dmz vers la zone cliente. Car si ta dmz est corrompue, on peut éventuellement pénétrer ton rso local.
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente demande une connection sur le port 1543 d'une machine dans la DMZ, en fait la connection se ferrais sur le port 1543 mais sur une machine du LAN.
Joachim
Emmanuel Priem
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente demande une connection sur le port 1543 d'une machine dans la DMZ, en fait la connection se ferrais sur le port 1543 mais sur une machine du LAN. Donc aucun interet d'avoir une DMZ
Cela dit, tu peux, mettre deux cartes reseau dans la machine a laquelle tu veux acceder (une en LAN, l'autre en DMZ) sans faire de routage entre les deux. Ca va peut etre faire bondir certains... d'ailleurs, j'aimerai bien avoir un avis la dessus..... ;)
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente
demande une connection sur le port 1543 d'une machine dans la DMZ, en
fait la connection se ferrais sur le port 1543 mais sur une machine du
LAN.
Donc aucun interet d'avoir une DMZ
Cela dit, tu peux, mettre deux cartes reseau dans la machine a laquelle
tu veux acceder (une en LAN, l'autre en DMZ) sans faire de routage entre
les deux. Ca va peut etre faire bondir certains... d'ailleurs,
j'aimerai bien avoir un avis la dessus..... ;)
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente demande une connection sur le port 1543 d'une machine dans la DMZ, en fait la connection se ferrais sur le port 1543 mais sur une machine du LAN. Donc aucun interet d'avoir une DMZ
Cela dit, tu peux, mettre deux cartes reseau dans la machine a laquelle tu veux acceder (une en LAN, l'autre en DMZ) sans faire de routage entre les deux. Ca va peut etre faire bondir certains... d'ailleurs, j'aimerai bien avoir un avis la dessus..... ;)
Cedric Blancher
Dans sa prose, Emmanuel Priem nous ecrivait :
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente demande une connection sur le port 1543 d'une machine dans la DMZ, en fait la connection se ferrais sur le port 1543 mais sur une machine du LAN. Donc aucun interet d'avoir une DMZ
Idem.
Cela dit, tu peux, mettre deux cartes reseau dans la machine a laquelle tu veux acceder (une en LAN, l'autre en DMZ) sans faire de routage entre les deux. Ca va peut etre faire bondir certains... d'ailleurs, j'aimerai bien avoir un avis la dessus..... ;)
Houba ! Ben si la machine se fait pirater, le mec a accès direc au LAN. Donc aucun intérêt d'avoir DMZ (TM).
-- GA> Je propose donc pour le vote :le déplacement de tous les groupes GA> avec renommage de fcol.moderated en fcol.modere Mes nommages madame. -+- FB in : Guide du Neuneu d'Usenet - Troll poli pour être honnête -+-
Dans sa prose, Emmanuel Priem nous ecrivait :
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente
demande une connection sur le port 1543 d'une machine dans la DMZ, en
fait la connection se ferrais sur le port 1543 mais sur une machine du
LAN.
Donc aucun interet d'avoir une DMZ
Idem.
Cela dit, tu peux, mettre deux cartes reseau dans la machine a laquelle tu
veux acceder (une en LAN, l'autre en DMZ) sans faire de routage entre les
deux. Ca va peut etre faire bondir certains... d'ailleurs, j'aimerai bien
avoir un avis la dessus..... ;)
Houba !
Ben si la machine se fait pirater, le mec a accès direc au LAN. Donc
aucun intérêt d'avoir DMZ (TM).
--
GA> Je propose donc pour le vote :le déplacement de tous les groupes
GA> avec renommage de fcol.moderated en fcol.modere
Mes nommages madame.
-+- FB in : Guide du Neuneu d'Usenet - Troll poli pour être honnête -+-
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente demande une connection sur le port 1543 d'une machine dans la DMZ, en fait la connection se ferrais sur le port 1543 mais sur une machine du LAN. Donc aucun interet d'avoir une DMZ
Idem.
Cela dit, tu peux, mettre deux cartes reseau dans la machine a laquelle tu veux acceder (une en LAN, l'autre en DMZ) sans faire de routage entre les deux. Ca va peut etre faire bondir certains... d'ailleurs, j'aimerai bien avoir un avis la dessus..... ;)
Houba ! Ben si la machine se fait pirater, le mec a accès direc au LAN. Donc aucun intérêt d'avoir DMZ (TM).
-- GA> Je propose donc pour le vote :le déplacement de tous les groupes GA> avec renommage de fcol.moderated en fcol.modere Mes nommages madame. -+- FB in : Guide du Neuneu d'Usenet - Troll poli pour être honnête -+-
Eric Razny
"Emmanuel Priem" a écrit
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente demande une connection sur le port 1543 d'une machine dans la DMZ, en fait la connection se ferrais sur le port 1543 mais sur une machine du LAN. Donc aucun interet d'avoir une DMZ
Cela dit, tu peux, mettre deux cartes reseau dans la machine a laquelle tu veux acceder (une en LAN, l'autre en DMZ) sans faire de routage entre les deux. Ca va peut etre faire bondir certains... d'ailleurs, j'aimerai bien avoir un avis la dessus..... ;)
Si ta machine est compromise tu as directement accès aux deux réseaux sans passer par la case FW!
"Emmanuel Priem" <epriem@alussinan.org> a écrit
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente
demande une connection sur le port 1543 d'une machine dans la DMZ, en
fait la connection se ferrais sur le port 1543 mais sur une machine du
LAN.
Donc aucun interet d'avoir une DMZ
Cela dit, tu peux, mettre deux cartes reseau dans la machine a laquelle
tu veux acceder (une en LAN, l'autre en DMZ) sans faire de routage entre
les deux. Ca va peut etre faire bondir certains... d'ailleurs,
j'aimerai bien avoir un avis la dessus..... ;)
Si ta machine est compromise tu as directement accès aux deux réseaux sans
passer par la case FW!
C vrai, mais je voudrai par exemple que lorsque qu'une machine cliente demande une connection sur le port 1543 d'une machine dans la DMZ, en fait la connection se ferrais sur le port 1543 mais sur une machine du LAN. Donc aucun interet d'avoir une DMZ
Cela dit, tu peux, mettre deux cartes reseau dans la machine a laquelle tu veux acceder (une en LAN, l'autre en DMZ) sans faire de routage entre les deux. Ca va peut etre faire bondir certains... d'ailleurs, j'aimerai bien avoir un avis la dessus..... ;)
Si ta machine est compromise tu as directement accès aux deux réseaux sans passer par la case FW!
Emmanuel Priem
"Emmanuel Priem" a écrit
Si ta machine est compromise tu as directement accès aux deux réseaux sans passer par la case FW!
Dont acte. Mais voici la problématique.
passerelle sous debian. + un serveur W2K simple sur la DMZ pour donner des acces TS a des clients distants dont je connais l'IP (pas de VPN, mais une regle netfilter ne reroutant le 3389 vers le W2K qu'aux ip connues). La seconde carte permet au serveur W2K de se connecter au PDC sur le LAN. Pas de routage entre les deux cartes.
Y'a t'il VRAIMENT un probleme de sécu ? Comment auriez vous fait ?
Merci d'avance.
"Emmanuel Priem" <epriem@alussinan.org> a écrit
Si ta machine est compromise tu as directement accès aux deux réseaux sans
passer par la case FW!
Dont acte. Mais voici la problématique.
passerelle sous debian.
+ un serveur W2K simple sur la DMZ pour donner des acces TS a des
clients distants dont je connais l'IP (pas de VPN, mais une regle
netfilter ne reroutant le 3389 vers le W2K qu'aux ip connues). La
seconde carte permet au serveur W2K de se connecter au PDC sur le LAN.
Pas de routage entre les deux cartes.
Y'a t'il VRAIMENT un probleme de sécu ?
Comment auriez vous fait ?
Si ta machine est compromise tu as directement accès aux deux réseaux sans passer par la case FW!
Dont acte. Mais voici la problématique.
passerelle sous debian. + un serveur W2K simple sur la DMZ pour donner des acces TS a des clients distants dont je connais l'IP (pas de VPN, mais une regle netfilter ne reroutant le 3389 vers le W2K qu'aux ip connues). La seconde carte permet au serveur W2K de se connecter au PDC sur le LAN. Pas de routage entre les deux cartes.
Y'a t'il VRAIMENT un probleme de sécu ? Comment auriez vous fait ?
Merci d'avance.
Cedric Blancher
Dans sa prose, Emmanuel Priem nous ecrivait :
Si ta machine est compromise tu as directement accès aux deux réseaux sans passer par la case FW! Dont acte. Mais voici la problématique.
passerelle sous debian. + un serveur W2K simple sur la DMZ pour donner des acces TS a des clients distants dont je connais l'IP (pas de VPN, mais une regle netfilter ne reroutant le 3389 vers le W2K qu'aux ip connues). La seconde carte permet au serveur W2K de se connecter au PDC sur le LAN. Pas de routage entre les deux cartes. Y'a t'il VRAIMENT un probleme de sécu ?
Oui.
Comment auriez vous fait ?
Fait passer la connexion vers le PDC par le FW via une IP NATée. Au moins, le jeu de port est clairement plus restreint que d'avoir une patte directement dans le LAN.
-- Je protest,e la véritable andouille est de Vire ou de Guéméné. Mais pas de Lyon. Enfin je ne crois pas. La rosette est de Lyon. Oui. Quoique. On l'épingle souvent sur des andouilles. -+- JdC in GNU : Bon an, mal an, douille Si La Rose êtes.
Dans sa prose, Emmanuel Priem nous ecrivait :
Si ta machine est compromise tu as directement accès aux deux réseaux
sans passer par la case FW!
Dont acte. Mais voici la problématique.
passerelle sous debian.
+ un serveur W2K simple sur la DMZ pour donner des acces TS a des clients
distants dont je connais l'IP (pas de VPN, mais une regle netfilter ne
reroutant le 3389 vers le W2K qu'aux ip connues). La seconde carte permet
au serveur W2K de se connecter au PDC sur le LAN. Pas de routage entre les
deux cartes.
Y'a t'il VRAIMENT un probleme de sécu ?
Oui.
Comment auriez vous fait ?
Fait passer la connexion vers le PDC par le FW via une IP NATée. Au
moins, le jeu de port est clairement plus restreint que d'avoir une patte
directement dans le LAN.
--
Je protest,e la véritable andouille est de Vire ou de Guéméné. Mais pas
de Lyon. Enfin je ne crois pas. La rosette est de Lyon. Oui. Quoique.
On l'épingle souvent sur des andouilles.
-+- JdC in GNU : Bon an, mal an, douille Si La Rose êtes.
Si ta machine est compromise tu as directement accès aux deux réseaux sans passer par la case FW! Dont acte. Mais voici la problématique.
passerelle sous debian. + un serveur W2K simple sur la DMZ pour donner des acces TS a des clients distants dont je connais l'IP (pas de VPN, mais une regle netfilter ne reroutant le 3389 vers le W2K qu'aux ip connues). La seconde carte permet au serveur W2K de se connecter au PDC sur le LAN. Pas de routage entre les deux cartes. Y'a t'il VRAIMENT un probleme de sécu ?
Oui.
Comment auriez vous fait ?
Fait passer la connexion vers le PDC par le FW via une IP NATée. Au moins, le jeu de port est clairement plus restreint que d'avoir une patte directement dans le LAN.
-- Je protest,e la véritable andouille est de Vire ou de Guéméné. Mais pas de Lyon. Enfin je ne crois pas. La rosette est de Lyon. Oui. Quoique. On l'épingle souvent sur des andouilles. -+- JdC in GNU : Bon an, mal an, douille Si La Rose êtes.
Emmanuel Priem
Fait passer la connexion vers le PDC par le FW via une IP NATée. Au moins, le jeu de port est clairement plus restreint que d'avoir une patte directement dans le LAN.
Il n'y a pas de danger de router de la DMZ vers le LAN ? particulierement des requetes netbios ?
Fait passer la connexion vers le PDC par le FW via une IP NATée. Au
moins, le jeu de port est clairement plus restreint que d'avoir une patte
directement dans le LAN.
Il n'y a pas de danger de router de la DMZ vers le LAN ?
particulierement des requetes netbios ?
Fait passer la connexion vers le PDC par le FW via une IP NATée. Au moins, le jeu de port est clairement plus restreint que d'avoir une patte directement dans le LAN.
Il n'y a pas de danger de router de la DMZ vers le LAN ? particulierement des requetes netbios ?
Cedric Blancher
Dans sa prose, Emmanuel Priem nous ecrivait :
Il n'y a pas de danger de router de la DMZ vers le LAN ? particulierement des requetes netbios ?
D'où l'IP NATée pour ne pas faire apparaître l'adressage interne dans la table de routage du serveur. Par contre, pour le reste, tu filtres au niveau de ton firewall pour ne laisser passer que ce qui doit passer, et seulement en provenance de ton serveur.
De toute manière, si on veut pousser, ton serveur de DMZ n'a rien à faire dans le domaine, puisqu'il est en DMZ.
--
Oui, c'est aussi ce que disent les hurdistes, et ça fait des années qu'on attend de voir que vous avez raison. Je ne suis pas hurdiste, une cause désespérée à la fois...
-+- VB in GFA : Défense active d'emacs -+-
Dans sa prose, Emmanuel Priem nous ecrivait :
Il n'y a pas de danger de router de la DMZ vers le LAN ? particulierement
des requetes netbios ?
D'où l'IP NATée pour ne pas faire apparaître l'adressage interne dans
la table de routage du serveur. Par contre, pour le reste, tu filtres au
niveau de ton firewall pour ne laisser passer que ce qui doit passer, et
seulement en provenance de ton serveur.
De toute manière, si on veut pousser, ton serveur de DMZ n'a rien à
faire dans le domaine, puisqu'il est en DMZ.
--
Oui, c'est aussi ce que disent les hurdistes, et ça fait des années
qu'on attend de voir que vous avez raison.
Je ne suis pas hurdiste, une cause désespérée à la fois...
Il n'y a pas de danger de router de la DMZ vers le LAN ? particulierement des requetes netbios ?
D'où l'IP NATée pour ne pas faire apparaître l'adressage interne dans la table de routage du serveur. Par contre, pour le reste, tu filtres au niveau de ton firewall pour ne laisser passer que ce qui doit passer, et seulement en provenance de ton serveur.
De toute manière, si on veut pousser, ton serveur de DMZ n'a rien à faire dans le domaine, puisqu'il est en DMZ.
--
Oui, c'est aussi ce que disent les hurdistes, et ça fait des années qu'on attend de voir que vous avez raison. Je ne suis pas hurdiste, une cause désespérée à la fois...
