Forum général.général [Réseau] - Intérêt d'une DMZ ?

Posté par (page perso) . Licence CC by-sa
1
22
nov.
2014

Hello,

Je m’auto-héberge pour quelques services, Web, DNS, DHCP notamment et à ce jour ma machine host étant directement dans mon LAN, l’accès à cette dernière se faisant directement avec une translation de port sur ma Box FAI. L'host physique ayant un parefeu et découpe les services dans un autre sous-réseau virtuel pour les envoyer vers les différentes jails.

Je me pose la question de savoir si j'ai un intérêt quelconque à isoler cette dernière (j'ai une option DMZ sur la box ou je peux lui donner une IP à placer dans cette zone), sachant que cette machine doit néanmoins avoir accès à mon NAS pour y envoyer ses sauvegardes, ce dernier lui restera dans mon LAN.
De plus une fois en DMZ j'imagine qu'il n'est plus possible d'utiliser les DNS du serveur, ni DHCP ?

Ai-je selon vous un intérêt à placer la machine seule en DMZ ?

Merci,

  • # DMZ != DMZ

    Posté par (page perso) . Évalué à 4.

    Salut,

    Ce que les box appellent une DMZ, ce n'est pas une vraie DMZ… C'est juste une redirection de tous les flux entrants vers une machine. Ça ne sort pas la machine du réseau local…

    https://www.domotego.com/ | https://www.maccagnoni.eu/ | https://www.smm-informatique.fr/

    • [^] # Re: DMZ != DMZ

      Posté par (page perso) . Évalué à 2.

      Je vois le seul intérêt et donc que je n'ai pas à ouvrir les ports … je suis donc complètement ouvert sur le net … pas vraiment d'intérêt donc.

  • # DMZ = 2 parefeux, pas le cas chez toi

    Posté par . Évalué à 4.

    une vraie DMZ c'est une zone entre deux parefeux pour isoler une machine d'une NET avec le premier parefeu, et du LAN avec le 2e parefeu.

    Chez toi, le seul parefeu dont tu disposes c'est celui de ta box internet, comme dit plus haut l'option "DMZ" permet juste de ne pas avoir à faire 25 regles de "port forwarding" en renvoyant tous les ports vers l'IP que tu lui donnes.

    ta machine reste alors accessible depuis ton LAN, et tu exposes tous les ports ouverts de celle-ci sur internet.
    ex le port 22 qui te sert pour faire du SSH depuis ton LAN, sera aussi disponible si tu tentes de te connecter depuis l'exterieur à l'IP de ta boxe.

    Evidemment tu peux limiter ce cas, en configurant le parefeu de la machine, pour limiter par exemple, l'usage du port 22 à toutes les machines du LAN SAUF la box internet.

    • [^] # Re: DMZ = 2 parefeux, pas le cas chez toi

      Posté par . Évalué à 4. Dernière modification le 23/11/14 à 20:36.

      Pas forcément, tu peux avoir une DMZ avec un seul pare-feu, mais 2 interfaces.

      Le cas que tu décris est :

                          +----------+           +----------+
            Internet ---- | Firewall |--- DMZ ---| Firewall |--- Réseau local
                          +----------+           +----------+
      

      Mais tu peux avoir :

                  +----------+
      Internet ---| Firewall |--- DMZ
                  +----------+
                       |
                       |
                       |
                  Réseau local
      

      Le pare-feu a simplement des règles différentes pour les deux interfaces, il sera plus permissif pour l'interface reliée à la DMZ et bloquera tout ce qui rentre sur l'interface relié au réseau local, que ça vienne de l'extérieur ou de la DMZ.

      EDIT : je ne dis pas que c'est ce que font les machinbox. Je n'en sais rien là.

      • [^] # Re: DMZ = 2 parefeux, pas le cas chez toi

        Posté par . Évalué à 3.

        je suis 100% d'accord avec çà,
        le modele à 2 parefeux, c'est pour bien comprendre l'isolation entre les flux LAN/DMZ et WAN/DMZ

        ce principe peut meme s'etendre avec de multiples LANs/WANs etc

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.