Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 12/04/2018, à 22:48

mike_r_qc

DMZ ou double NAT

Bonjour,
Je travaille actuellement sur un projet de réseautique en vue de l'adapter aux besoins de mon site web qui est en développement. Dernièrement, j'ai tenté d'utiliser ISC-DHCP-Server pour contrôler mon sous-réseau; finalement, j'ai dû me résoudre à laisser tomber DHCP Server pour utiliser un routeur à cause des complications que j'ai éprouvé lors de la configuration. (faire les choses selon mon niveau de connaissances sur la réseautique). Donc mon sujet ici est afin de connaître les possibilités que mon serveur puisse communiquer vers l'extérieur et vice-versa. Donc oui j'ai l'intention d'exposer mon serveur sur le web!

Voici la description de mon réseau: Ma box aiguille 2 routes, soit le réseau principal et mon sous-réseau de bureau. Le réseau principal est composé de matériels multimédias tels que télévision, consoles de jeux ainsi que caméras de surveillances, branchés à l'aide de câbles ethernets jusqu'à la Box via un concentrateur 16 ports.
La route vers mon sous-réseau relie la Box au routeur Gigabit de mon bureau, isolant ainsi les ordinateurs du réseau principal. Le sous-réseau est composé de 6 ordinateurs (bientôt 7): 5 ordinateurs de bureau recyclés tournant Ubuntu Server, 2 serveurs tournant Windows 7 (qui servira de serveurs de fichiers CAD) et 1 ordinateur de bureau "Dual Boot"  tournant Ubuntu Desktop et Windows 7 selon les besoins de travail. Toutes les machines Ubuntu tournent la version 16.04 LTS.

De quelle manière puis-je utiliser afin de permettre à mon sous-réseau d'être visible depuis l'extérieur?
- Adresse IP du routeur en DMZ* sur la Box et NAT ou IP Fixe sur les ordinateurs du sous-réseau;
- Garder l'adresse IP du routeur en NAT et NAT ou IP Fixe sur les ordinateurs du sous-réseau.

* Selon le concept décrit sur le Web, le DMZ permet à l'hôte (routeur ou ordinateur) d'hériter l'IP Publique de la Box et être visible au monde extérieur, mais très vulnérable aux intrusions.

Que me conseilleriez-vous?

Merci


Mike_R_Qc. Utilisateur régulier Ubuntu, expérimente CentOS pour le plaisir. Comme avec les cultures: aucun préjugé, tout vient d'une "même racine".

Hors ligne

#2 Le 12/04/2018, à 23:39

J5012

Re : DMZ ou double NAT

la box detient l'ip publique allouée par ton fournisseur d'acces au net ...

la box est elle-meme un routeur qui distribue sur son interface ethernet et/ou wifi des adresses ip locales souvent du genre 192.168.x.y ... aux appareils de ton reseau dit principal ...

la box distribue aussi sur son ether-gigabit une adresse ip du meme genre 192.168.xy.z ou du genre 192.y.z.x à ton autre routeur pour le sous reseau bureautique ...

la seule "dmz" ici est la box (la plupart des box fournies par les fai n'ont pas la possibilité de passer en mode dmz, c'est le mode nat qui est disponible et employé par defaut), et non ton second routeur du sous-reseau...

si tu veux activer le mode dmz avec l'ip public du fai, et si ta box du fai ne possede pas ce mode, tu devras utiliser un routeur-avec-dmz-activé au lieu de la box du fai, routeur qui ne sera pas ton routeur secondaire !

ton routeur du sous-reseau ne peut pas heriter de l'ip public : par contre tu dois configurer une table de routage dans ce routeur avec les bons chemins ip+ports, des ip+ports des ordi du sous-reseau vers les ip+ports du premier routeur du reseau principal ... si tu veux qu'un des services et applications d'un ou des ordi du sous-reseau communique vers l'exterieure par l'ip publique ...

si aucune application ou/et service ne necessite de communiquer vers l'exterieure, le mode nat du second routeur suffira ...

si le routeur du reseau principal est en mode dmz, il lui faudra une table de routage ...

Hors ligne

#3 Le 20/04/2018, à 18:16

mike_r_qc

Re : DMZ ou double NAT

Merci J5012 pour l'information.

C'était une question qui tournait en vrille dans ma tête depuis quelques temps car j'ai toujours eu l'intention de mettre la box en mode DMZ pour mon sous-réseau et que sur certains sites, ils mentionnent souvent que le DMZ peut être utilisé au détriment de la sécurité du réseau. La box était déjà configuré en mode DMZ pour rejoindre mon sous-réseau il y a quelques mois et je l'avais désactivé lorsque j'ai remarqué dans un log qu'un hôte inconnu a tenté de se connecter à  ma machine servant de serveurs DNS et Apache. De plus, mon réseau a eu des modifications physiques 3 fois pour correspondre aux besoins de mon projet. Certaines modifications ont été abandonnées dues à la complexité de la configuration du serveur DHCP.

Présentement, mon routeur est en NAT avec la box tant que mon sous-réseau n'est pas finalisé, c.-à-d. machine Esclave changée en machine Maître pour des questions de performances, écrire des fichiers de zones DNS correspondant à la configuration physique du sous-réseau.


Mike_R_Qc. Utilisateur régulier Ubuntu, expérimente CentOS pour le plaisir. Comme avec les cultures: aucun préjugé, tout vient d'une "même racine".

Hors ligne