Ayant parcouru google, je voudrais confirmation avant de faire des bêtises :
Actuellement, ma passerelle/firewall débian (3 pattes) est connectée sur un
routeur qui effectue lui-même le NAT pour Internet.
Nous venons de changer d'abonnement ADSL pour prendre Oleane avec un petit
sous-réseau de 8 adresses IP publiques.
Sur la passerelle, seule la carte réseau du Lan restera en adressage privé,
tandis que la carte de la DMZ ainsi que celle connectée au routeur/modem
passera en adressage IP publique.
Il faut donc que je déporte le NAT qui est sur le routeur vers la passerelle
Linux.
D'après mes lectures sur netfilter.org, cela ne pose pas de problème, on
laisse ses filtres iptables tel quel, et on rajoute juste la commande NAT
pour le postrouting :
ou MSQLAN est mon masque de reseau pour le LAN (disons 192.168.1.0/24) et MSQDMZ le masque d'adressage de ma DMZ comme 10.0.0.0/30...
Salut,
Merci pour cette réponse très rapide ainsi que l'astuce pour le routage vers la DMZ que j'avais oubliée.
Par contre, juste pour comprendre :
Sur Netfilter.org, ils disent que 'MASQUERADE' doit être employé avec des IP dynamique, ce qui évite d'avoir à fournir la nouvelle adresse source (avec SNAT) ..... mais je suppose que ça doit marcher aussi bien avec des IP fixes comme dans mon cas ????
ou MSQLAN est mon masque de reseau pour le LAN (disons 192.168.1.0/24) et
MSQDMZ le masque d'adressage de ma DMZ comme 10.0.0.0/30...
Salut,
Merci pour cette réponse très rapide ainsi que l'astuce pour le routage vers
la DMZ que j'avais oubliée.
Par contre, juste pour comprendre :
Sur Netfilter.org, ils disent que 'MASQUERADE' doit être employé avec des IP
dynamique, ce qui évite d'avoir à fournir la nouvelle adresse source (avec
SNAT) ..... mais je suppose que ça doit marcher aussi bien avec des IP
fixes comme dans mon cas ????
ou MSQLAN est mon masque de reseau pour le LAN (disons 192.168.1.0/24) et MSQDMZ le masque d'adressage de ma DMZ comme 10.0.0.0/30...
Salut,
Merci pour cette réponse très rapide ainsi que l'astuce pour le routage vers la DMZ que j'avais oubliée.
Par contre, juste pour comprendre :
Sur Netfilter.org, ils disent que 'MASQUERADE' doit être employé avec des IP dynamique, ce qui évite d'avoir à fournir la nouvelle adresse source (avec SNAT) ..... mais je suppose que ça doit marcher aussi bien avec des IP fixes comme dans mon cas ????
Merci encore. Samuel.
Julien Salgado
Eric Belhomme a écrit :
"Samuel" wrote in
petit sous-réseau de 8 adresses IP publiques. Sur la passerelle, seule la carte réseau du Lan restera en adressage
Oui, mais non... le filtrage sur le réseau de destination est très bien (quoi qu'il n'est possible que si il n'y a qu'une DMZ, il est peut être avantageux de filtrer sur l'interface de sortie (qui est connue car on est en post routing)), mais comme les IPs sont fixes il est très interessant de faire de la _source NAT_, en effet : - les tables seront un poil plus petites (donc moins de mémoire utilisée), - si l'interface ADSL tombe, les tables ne sont pas perdues contrairement à ce qui ce passe avec du _masquerading_.
Oui, mais non... le filtrage sur le réseau de destination est très bien
(quoi qu'il n'est possible que si il n'y a qu'une DMZ, il est peut être
avantageux de filtrer sur l'interface de sortie (qui est connue car on
est en post routing)), mais comme les IPs sont fixes il est très
interessant de faire de la _source NAT_, en effet :
- les tables seront un poil plus petites (donc moins de mémoire
utilisée),
- si l'interface ADSL tombe, les tables ne sont pas perdues
contrairement à ce qui ce passe avec du _masquerading_.
Oui, mais non... le filtrage sur le réseau de destination est très bien (quoi qu'il n'est possible que si il n'y a qu'une DMZ, il est peut être avantageux de filtrer sur l'interface de sortie (qui est connue car on est en post routing)), mais comme les IPs sont fixes il est très interessant de faire de la _source NAT_, en effet : - les tables seront un poil plus petites (donc moins de mémoire utilisée), - si l'interface ADSL tombe, les tables ne sont pas perdues contrairement à ce qui ce passe avec du _masquerading_.
cad en enlevant '-s $MSQLAN' qui dans ce cas ne sert pas à grand chose non ????
parce que tu peux avoir sur ton LAN d'autres classes d'adresse qui n'ont
pas le droit de sortir, ou pour prévenir le spoofing d'adresses, etc...
Les regles de filtrages doivent êtres les plus restrictives possibles, c'est le fameux principe de ceinture ET bretelles...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Cedric Blancher
Dans sa prose, Eric Belhomme nous ecrivait :
Cedric Blancher wrote in
Pourquoi ? Les machiens de la DMZ n'ont pas à avoir de route vers le LAN. ben ca depend... chez moi le dns est dans la dmz, le serveur smtp aussi...
Et alors ? Ces services n'ont pas besoin de joindre, de leur propre initiative, les stations du LAN, si ? Si, oui, c'est mal (tm). Donc, tu SNAT les requêtes des stations du LAN vers ces services. Sinon, tu colles une 2e DMZ.
-- Pourriez vous me dire comment réaliser un fichier autoexecutable ou plus presisement le fichier .exe que l'on met dedans ! -+- T in Guide du Neuneu Usenet : autoexécution de neuneu -+-
Dans sa prose, Eric Belhomme nous ecrivait :
Cedric Blancher <blancher@cartel-securite.fr> wrote in
Pourquoi ? Les machiens de la DMZ n'ont pas à avoir de route vers le
LAN.
ben ca depend... chez moi le dns est dans la dmz, le serveur smtp aussi...
Et alors ? Ces services n'ont pas besoin de joindre, de leur propre
initiative, les stations du LAN, si ? Si, oui, c'est mal (tm). Donc, tu
SNAT les requêtes des stations du LAN vers ces services. Sinon, tu colles
une 2e DMZ.
--
Pourriez vous me dire comment réaliser un fichier autoexecutable ou
plus presisement le fichier .exe que l'on met dedans !
-+- T in Guide du Neuneu Usenet : autoexécution de neuneu -+-
Pourquoi ? Les machiens de la DMZ n'ont pas à avoir de route vers le LAN. ben ca depend... chez moi le dns est dans la dmz, le serveur smtp aussi...
Et alors ? Ces services n'ont pas besoin de joindre, de leur propre initiative, les stations du LAN, si ? Si, oui, c'est mal (tm). Donc, tu SNAT les requêtes des stations du LAN vers ces services. Sinon, tu colles une 2e DMZ.
-- Pourriez vous me dire comment réaliser un fichier autoexecutable ou plus presisement le fichier .exe que l'on met dedans ! -+- T in Guide du Neuneu Usenet : autoexécution de neuneu -+-
Samuel
Et alors ? Ces services n'ont pas besoin de joindre, de leur propre initiative, les stations du LAN, si ? Si, oui, c'est mal (tm). Donc, tu SNAT les requêtes des stations du LAN vers ces services. Sinon, tu colles une 2e DMZ.
Bonjour,
Donc pour un relais SMTP dans une DMZ, on utilise pas la fonction de 'relais SMTP' vers le LAN, mais c'est plutôt le serveur SMTP du LAN qui doit récupérer en smart pop les mails sur le serveur SMTP de la DMZ ?
Merci. Samuel.
Et alors ? Ces services n'ont pas besoin de joindre, de leur propre
initiative, les stations du LAN, si ? Si, oui, c'est mal (tm). Donc, tu
SNAT les requêtes des stations du LAN vers ces services. Sinon, tu colles
une 2e DMZ.
Bonjour,
Donc pour un relais SMTP dans une DMZ, on utilise pas la fonction de 'relais
SMTP' vers le LAN, mais c'est plutôt le serveur SMTP du LAN qui doit
récupérer en smart pop les mails sur le serveur SMTP de la DMZ ?
Et alors ? Ces services n'ont pas besoin de joindre, de leur propre initiative, les stations du LAN, si ? Si, oui, c'est mal (tm). Donc, tu SNAT les requêtes des stations du LAN vers ces services. Sinon, tu colles une 2e DMZ.
Bonjour,
Donc pour un relais SMTP dans une DMZ, on utilise pas la fonction de 'relais SMTP' vers le LAN, mais c'est plutôt le serveur SMTP du LAN qui doit récupérer en smart pop les mails sur le serveur SMTP de la DMZ ?
Merci. Samuel.
Cedric Blancher
Dans sa prose, Samuel nous ecrivait :
Donc pour un relais SMTP dans une DMZ, on utilise pas la fonction de 'relais SMTP' vers le LAN, mais c'est plutôt le serveur SMTP du LAN qui doit récupérer en smart pop les mails sur le serveur SMTP de la DMZ ?
Dans l'absolu, non plus. Le MDA devrait se trouver dans une 2e DMZ. Mais ce n'est pas toujours possible, il faut donc trouver un compromis entre :
1. laisser un accès de la DMZ vers le LAN pour atteindre un MDA 2. laisser du mail sur la DMZ
Dans les deux cas c'est chaud, mais moins si tu viens régulièrement poller le serveur en DMZ.
Ce que je considère comme mieux, c'est d'avoir deux DMZ : une pour les services publics accessibles depuis Internet, et une autre pour les services à usage interne communiquant avec l'extérieur.
Dans la première DMZ, tu trouveras ton MX, ton serveur DNS public, tes serveurs WEB, etc. Dans la seconde, tu mets les proxies et le stockage du mail.
-- BOFH excuse #239:
CPU needs bearings repacked
Dans sa prose, Samuel nous ecrivait :
Donc pour un relais SMTP dans une DMZ, on utilise pas la fonction de
'relais SMTP' vers le LAN, mais c'est plutôt le serveur SMTP du LAN qui
doit récupérer en smart pop les mails sur le serveur SMTP de la DMZ ?
Dans l'absolu, non plus. Le MDA devrait se trouver dans une 2e DMZ. Mais
ce n'est pas toujours possible, il faut donc trouver un compromis entre :
1. laisser un accès de la DMZ vers le LAN pour atteindre un MDA
2. laisser du mail sur la DMZ
Dans les deux cas c'est chaud, mais moins si tu viens régulièrement poller
le serveur en DMZ.
Ce que je considère comme mieux, c'est d'avoir deux DMZ : une pour les
services publics accessibles depuis Internet, et une autre pour les
services à usage interne communiquant avec l'extérieur.
Dans la première DMZ, tu trouveras ton MX, ton serveur DNS public, tes
serveurs WEB, etc. Dans la seconde, tu mets les proxies et le stockage du
mail.
Donc pour un relais SMTP dans une DMZ, on utilise pas la fonction de 'relais SMTP' vers le LAN, mais c'est plutôt le serveur SMTP du LAN qui doit récupérer en smart pop les mails sur le serveur SMTP de la DMZ ?
Dans l'absolu, non plus. Le MDA devrait se trouver dans une 2e DMZ. Mais ce n'est pas toujours possible, il faut donc trouver un compromis entre :
1. laisser un accès de la DMZ vers le LAN pour atteindre un MDA 2. laisser du mail sur la DMZ
Dans les deux cas c'est chaud, mais moins si tu viens régulièrement poller le serveur en DMZ.
Ce que je considère comme mieux, c'est d'avoir deux DMZ : une pour les services publics accessibles depuis Internet, et une autre pour les services à usage interne communiquant avec l'extérieur.
Dans la première DMZ, tu trouveras ton MX, ton serveur DNS public, tes serveurs WEB, etc. Dans la seconde, tu mets les proxies et le stockage du mail.
-- BOFH excuse #239:
CPU needs bearings repacked
Eric Belhomme
Cedric Blancher wrote in news::
Ce que je considère comme mieux, c'est d'avoir deux DMZ : une pour les services publics accessibles depuis Internet, et une autre pour les services à usage interne communiquant avec l'extérieur.
Dans la première DMZ, tu trouveras ton MX, ton serveur DNS public, tes serveurs WEB, etc. Dans la seconde, tu mets les proxies et le stockage du mail.
voui, c'est ce que je ferais maintenant, si j'en avais la possibilité...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Cedric Blancher <blancher@cartel-securite.fr> wrote in
news:pan.2003.07.22.16.10.18.436501@cartel-securite.fr:
Ce que je considère comme mieux, c'est d'avoir deux DMZ : une pour les
services publics accessibles depuis Internet, et une autre pour les
services à usage interne communiquant avec l'extérieur.
Dans la première DMZ, tu trouveras ton MX, ton serveur DNS public, tes
serveurs WEB, etc. Dans la seconde, tu mets les proxies et le stockage
du mail.
voui, c'est ce que je ferais maintenant, si j'en avais la possibilité...
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
Ce que je considère comme mieux, c'est d'avoir deux DMZ : une pour les services publics accessibles depuis Internet, et une autre pour les services à usage interne communiquant avec l'extérieur.
Dans la première DMZ, tu trouveras ton MX, ton serveur DNS public, tes serveurs WEB, etc. Dans la seconde, tu mets les proxies et le stockage du mail.
voui, c'est ce que je ferais maintenant, si j'en avais la possibilité...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Eric Belhomme
Cedric Blancher wrote in news::
Dans sa prose, Eric Belhomme nous ecrivait :
non, mais selon que les requetes viennent du net ou du LAN, mes services réagissent pas pareil, alors si je natte mes IP venant du LAN vers la dmz, je suis marron !
Non plus, puisque tu les NATes avec l'IP de la patte DMZ de ton firewall (ou une autre IP spécifique) alors que les requêtes du Net viennent d'autres IP.
bah j'y avais pas pensé :-/
Ca mérite réflexion... je tenterai ca un de ces soir... tard...
Je sais pas qui de nous deux a du mal, mais je crois que tu devrais dormir un peu ;)
a qui le dis tu :( mais c'est pas gagné... vivement les ouacances !
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Cedric Blancher <blancher@cartel-securite.fr> wrote in
news:pan.2003.07.22.16.41.55.926874@cartel-securite.fr:
Dans sa prose, Eric Belhomme nous ecrivait :
non, mais selon que les requetes viennent du net ou du LAN, mes
services réagissent pas pareil, alors si je natte mes IP venant du
LAN vers la dmz, je suis marron !
Non plus, puisque tu les NATes avec l'IP de la patte DMZ de ton
firewall (ou une autre IP spécifique) alors que les requêtes du Net
viennent d'autres IP.
bah j'y avais pas pensé :-/
Ca mérite réflexion... je tenterai ca un de ces soir... tard...
Je sais pas qui de nous deux a du mal, mais je crois que tu devrais
dormir un peu ;)
a qui le dis tu :( mais c'est pas gagné... vivement les ouacances !
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
non, mais selon que les requetes viennent du net ou du LAN, mes services réagissent pas pareil, alors si je natte mes IP venant du LAN vers la dmz, je suis marron !
Non plus, puisque tu les NATes avec l'IP de la patte DMZ de ton firewall (ou une autre IP spécifique) alors que les requêtes du Net viennent d'autres IP.
bah j'y avais pas pensé :-/
Ca mérite réflexion... je tenterai ca un de ces soir... tard...
Je sais pas qui de nous deux a du mal, mais je crois que tu devrais dormir un peu ;)
a qui le dis tu :( mais c'est pas gagné... vivement les ouacances !
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/