Forum général.général [Réseau] - Intérêt d'une DMZ ?

Posté par Kwiknclean le 22 novembre 2014 à 15:07. Licence CC By‑SA.

Étiquettes :

nov.

2014

Hello,

Je m’auto-héberge pour quelques services, Web, DNS, DHCP notamment et à ce jour ma machine host étant directement dans mon LAN, l’accès à cette dernière se faisant directement avec une translation de port sur ma Box FAI. L'host physique ayant un parefeu et découpe les services dans un autre sous-réseau virtuel pour les envoyer vers les différentes jails.

Je me pose la question de savoir si j'ai un intérêt quelconque à isoler cette dernière (j'ai une option DMZ sur la box ou je peux lui donner une IP à placer dans cette zone), sachant que cette machine doit néanmoins avoir accès à mon NAS pour y envoyer ses sauvegardes, ce dernier lui restera dans mon LAN.
De plus une fois en DMZ j'imagine qu'il n'est plus possible d'utiliser les DNS du serveur, ni DHCP ?

Ai-je selon vous un intérêt à placer la machine seule en DMZ ?

Merci,

# DMZ != DMZ

Posté par Sébastien Maccagnoni (site web personnel) le 22 novembre 2014 à 21:26. Évalué à 4.

Salut,

Ce que les box appellent une DMZ, ce n'est pas une vraie DMZ… C'est juste une redirection de tous les flux entrants vers une machine. Ça ne sort pas la machine du réseau local…
- [^] # Re: DMZ != DMZ
  
  Posté par Kwiknclean le 22 novembre 2014 à 22:55. Évalué à 2.
  
  Je vois le seul intérêt et donc que je n'ai pas à ouvrir les ports … je suis donc complètement ouvert sur le net … pas vraiment d'intérêt donc.
# DMZ = 2 parefeux, pas le cas chez toi

Posté par NeoX le 23 novembre 2014 à 02:25. Évalué à 4.

une vraie DMZ c'est une zone entre deux parefeux pour isoler une machine d'une NET avec le premier parefeu, et du LAN avec le 2e parefeu.

Chez toi, le seul parefeu dont tu disposes c'est celui de ta box internet, comme dit plus haut l'option "DMZ" permet juste de ne pas avoir à faire 25 regles de "port forwarding" en renvoyant tous les ports vers l'IP que tu lui donnes.

ta machine reste alors accessible depuis ton LAN, et tu exposes tous les ports ouverts de celle-ci sur internet.
ex le port 22 qui te sert pour faire du SSH depuis ton LAN, sera aussi disponible si tu tentes de te connecter depuis l'exterieur à l'IP de ta boxe.

Evidemment tu peux limiter ce cas, en configurant le parefeu de la machine, pour limiter par exemple, l'usage du port 22 à toutes les machines du LAN SAUF la box internet.
- [^] # Re: DMZ = 2 parefeux, pas le cas chez toi
  
  Posté par kna le 23 novembre 2014 à 17:54. Évalué à 4. Dernière modification le 23 novembre 2014 à 20:36.
  Pas forcément, tu peux avoir une DMZ avec un seul pare-feu, mais 2 interfaces.
  
  Le cas que tu décris est :
```
                    +----------+           +----------+
      Internet ---- | Firewall |--- DMZ ---| Firewall |--- Réseau local
                    +----------+           +----------+
```
  Mais tu peux avoir :
```
            +----------+
Internet ---| Firewall |--- DMZ
            +----------+
                 |
                 |
                 |
            Réseau local
```
  Le pare-feu a simplement des règles différentes pour les deux interfaces, il sera plus permissif pour l'interface reliée à la DMZ et bloquera tout ce qui rentre sur l'interface relié au réseau local, que ça vienne de l'extérieur ou de la DMZ.
  
  EDIT : je ne dis pas que c'est ce que font les machinbox. Je n'en sais rien là.
  - [^] # Re: DMZ = 2 parefeux, pas le cas chez toi
    
    Posté par NeoX le 23 novembre 2014 à 20:37. Évalué à 3.
    
    je suis 100% d'accord avec çà,
    le modele à 2 parefeux, c'est pour bien comprendre l'isolation entre les flux LAN/DMZ et WAN/DMZ
    
    ce principe peut meme s'etendre avec de multiples LANs/WANs etc