mise en place d'un fw (pour une activité reseau) + un proxy - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 08-01-2004 à 12:01:03
Bonjour,
Pourquoi veux tu mettre en place une DMZ si:
1)
GUG a écrit : |
2)
Citation : Tout dropper sur forward vers l'exterieur venant de dmz et lan |
Rien ne vient de ta DMZ vers l'extérieur, et, rien ne vient de l'extérieur vers ta DMZ => il n'y a que ton LAN qui accède à ta DMZ => je regrouperais les 2 réseaux.
Marsh Posté le 08-01-2004 à 14:18:45
C'est une activité donc purement therique et il est possible que je rajoute un service accessible de l'exterieur d'ou lutilité
Marsh Posté le 08-01-2004 à 14:26:23
GUG a écrit : C'est une activité donc purement therique et il est possible que je rajoute un service accessible de l'exterieur d'ou lutilité |
Ah, je n'avais pas saisi le terme 'activité'.
Mais du point de vue purement théorique, la DMZ est inutile (voir definition d'une DMZ).
Mais si une évolution de l'archi est prévue, pourquoi pas ..
Marsh Posté le 08-01-2004 à 09:52:05
Bonjour,
J'ai une activité à mettre en place ... Je me base doncsur la secu pour une pme par exemple.
Je n'ai pas de serveur devant etre accessible de l'exterieur.
J'ai :
connection externe
|
|
|
|serveurs-dmz|-----|passerelle|------|clients-lan|
Donc sur la passerelle je pense :
Tout dropper sur input venant de l'exterieur
Tout dropper sur forward vers l'exterieur venant de dmz et lan
Authoriser le forward uniquement de la lan => dmz pour les proto necessaire (ldap, postgres, nfs, ssh, ...)
Mettre en place un proxy sur un serveur(donc dans la dmz). Authoriser le forward juste pour ladresse mac où est installer le proxy
Tout rediriger ce qui arrive sur la passrelle (sur le port 21, 80, 423) vers le proxy.
finalement accepter les connections INPUT/FORWARD uniquement celle deja etablie avec contrack
Qu'en pensez vous ?
Le probleme : j'ai un dhcp-relay sur la passerelle, et je n'ai aucune idee de comment cela se gere au niveau du fw ?
merci d avance