[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux-team] Serveur - Firewall
- To: linux-team@rtfm.be
- Subject: Re: [linux-team] Serveur - Firewall
- From: Pascal Bleser <pbleser@atos-group.com>
- Date: Mon, 15 Nov 1999 15:18:54 +0100
- In-reply-to: <0460A38300C9A0C9*/c=be/admd=publilink/prmd=gkbccb/o=notes/s=LETOR/@MHS>; from Rémi Letot on Mon, Nov 15, 1999 at 02:37:30PM +0100
- Mail-followup-to: linux-team@rtfm.be
- Organisation: LinuxBe.org
- References: <0460A38300C9A0C9*/c=be/admd=publilink/prmd=gkbccb/o=notes/s=LETOR/@MHS>
- Reply-to: linux-team@rtfm.be
- Sender: owner-linux-team@rtfm.be
On Mon, Nov 15, 1999 at 02:37:30PM +0100, Rémi Letot wrote:
> At 14:16 15/11/1999 +0100, you wrote:
> >On Mon, Nov 15, 1999 at 01:54:41PM +0100, Rémi Letot wrote:
> >> toujours pour la même PME (voir message précédent),
> >> si on place le serveur en interne, est-il dangereux au niveau
> >> de la sécurité de placer les programmes serveurs (dns,
> >> mail, web, ftp pas sûr) sur la même machine que le firewall ?
> >Le DNS interne, je le mettrais définitivement sur une machine interne (suffit
> >de récupérer un 486 ;)).
> Oh mais il n'y a pas de DNS à l'intérieur, c'est juste un DNS
> pour les services à l'extérieur (www.xxxxxx.be, MX,...). En fait
C'est le DNS du provider alors. Tu n'as pas besoin de faire toi-même un serveur
DNS, sauf si tu as ton propre nom de domaine - mais pour ça, tu dois aussi avoir
une IP fixe, je pense.
> tout tournerait sur la même machine, et le DNS pointerait sur
> elle-même pour tous les noms et services du domaine.
Quel domaine ? Tu as ton propre nom de domaine ?
Dans ce cas, effectivement, tu as besoin d'un DNS.
Etant donné que le DNS ne s'est pas nécessairement avéré comme hyper-sécurisé
ces derniers temps, je mettrais plutôt une 2ème machine du côté rouge (internet)
avec le DNS, pas sur le firewall même.
Pour l'intranet, c'est le firewall qui fait office de DNS, et sur le firewall tu
dis de forwarder les requêtes DNS à ton serveur DNS à l'extérieur (avec transparent
proxy, p.ex.).
> Mais le réseau interne a besoin d'y récupérer le mail, et de
> s'en servir comme gateway (ou proxy, pas encore décidé)
> pour accéder à des sites internet extérieurs.
Le firewall sert de proxy, ça c'est clair :)
> >Le serveur mail... hmm...
> >En fait, je mettrais plutôt tout à l'intérieur.
> Mais alors pour que l'extérieur puisse envoyer du mail,
> consulter le DNS, accéder à ton site web,... tu dois laisser
> certaines possibilités (contrôlées, mais quand-même)
> d'entrer dans le réseau interne.
Meuh non.
Enfin, oui, la possibilité, c'est le firewall.
Les mails entrent sur le firewall, qui les forwarde sur le serveur mail interne,
sur l'interface réseau à laquelle le LAN est connecté.
> En fait, si je faisais 2 machines séparées (une avec les
> serveurs, et une avec le firewall), j'aurais plutôt mis les
> serveurs à l'extérieur, pour ne pas laisser entrer quoi que
> ce soit sur le réseau interne.
> C'est pas bien ?
Je crois plutôt qu'on s'est pas bien compris ;-)
Maintenant que je vois un peu ce que tu veux faire (le DNS, je pensais que c'était
pour les machines du LAN), effectivement, mieux vaut avoir 3 interfaces dans ton
firewall:
1) internet
2) zone démilitarisée, pour y mettre serveur mail, DNS, web, ...
3) LAN
Ca te permettra de faire des règles très précises et sures.
> >Mais bon, c'est peut-être parano ;))
> Moi je sais pas (j'suis un complet débutant dans ce
> domaine), ça me semble illogique car alors tu es obligé
> de laisser des portes ouvertes sur ton réseau interne,
> et ça me fait tout drôle :-)
> Je raisonne à l'envers ?
J'ai jamais dit qu'il faut laisser des portes ouvertes vers ton LAN ;)
--
-o) Pascal Bleser | Those who do not understand
/\\ C++/UNIX Development | Unix are condemned to reinvent
_\_v ATOS Payment Systems | it, poorly.
Aachen, Germany | --Henry Spencer {fortune}
<pbleser@atos-group.com>------------------<guru@linuxbe.org>
---------
Visit the Linux Supertore Online: http://www.redcorp.com !
If you want to be deleted from the list, send a mail to
majordomo@rtfm.be with "unsubscribe linux-team" in the body.
Archive of the list: http://tania.be.linux.org/