Discussion :

[Synchro]

Bonjour,

J'ai besoin de réaliser l'architecture suivante dans un environnement virtuel (Virtualbox/GNS3):



Dans ma zone DMZ, J'ai mes services (DNS,FTP sur une machine linux et Web,messagerie sur une autre). J'aimerais configurer un seul pare-feu pour les deux machines Linux hébergeant mes services au lieu de configurer les règles de filtrage dans chacune. Comment faire cela avec un pare-feu de type Iptables ?

J'imagine que ça sera la même question du côté des hôtes du réseau local.

Merci d'avance.

[chrtophe]

Je suis pas spécialiste, mais le principe du firewall, c'est d'être entre ton LAN et le routeur. Ton FW va avoir une carte réseau sur le LAN, et une vers le routeur. ( hors gestion DMZ )

Ensuite pour la DMZ, tu aura une carte supplémentaire sur laquelle sera installé les machines tels que web, mails, etc ( 1 seule crate peut être utilisée en interne, ou 1 à part pour la DMZ )

Le principe d'une DMZ ( zone délimitarisée )

Ensuite : on ferme tout et on rouvre uniquement ce qu'on veut. Exemple, de l'extérieur accès fermé au port 110 (pop) accessible que de l’intérieur.
etc..., etc.. On couple souvent avec un proxy permettant de tout faire passer sur le port 80.

Le principe de ton shéma n'est pas spécialement mauvais.

[Synchro]

OK, mais si je fait le pare-feu entre ma DMZ et le routeur je dois configurer l'interface du pare-feu qui appartient au réseau DMZ en tant que passerelle par défaut. De ce fait, je dois configurer le routage au niveau du pare-feu pour lui dire de rediriger tout paquet reçu vers le routeur.

Est ce que ça vous semble logique? Autant remplacer ce pare-feu par un routeur et faire une ACL...Je ne sais pas comment m'y prendre

[chrtophe]

Regardes ce lien :

http://www.shorewall.net/shorewall_setup_guide_fr.htm