<!DOCTYPE html>
<html data-lt-installed="true">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body style="padding-bottom: 1px;">
<p><br>
</p>
<div class="moz-cite-prefix">Le 06.10.25 à 07:46, Félix Hauri via
gull a écrit :<br>
</div>
<blockquote type="cite" cite="mid:aONXrN1gStCq5Vd6@medium.hauri">
<pre wrap="" class="moz-quote-pre">Merci Björn et Daniel,
...</pre>
</blockquote>
<blockquote type="cite" cite="mid:aONXrN1gStCq5Vd6@medium.hauri">
<pre wrap="" class="moz-quote-pre">
non. La plupart des représentation montrent 2 firewall, comme
la proposition de Björn.</pre>
</blockquote>
C'est un peu normal. La DMZ doit être une "zone" de confinement pour
les accès "extérieurs". On y met donc les services/serveurs qui
doivent être accessibles depuis internet. Par contre, comme on ne
veut pas que la section du réseau de la DMZ puisse être utilisée
pour accéder au réseau interne, on met un pare-feu en plus du
switch. En effet, admettons que quelqu'un arrive à compromettre l'un
des serveurs de la DMZ, il a alors accès aux adresses du réseau de
la DMZ et pourrait ensuite passer par le switch pour entrer dans le
réseau interne. On peut mettre des règles complexes dans le switch,
mais il faut alors un switch un peu plus évolué (level 3 et plus),
ce qui est alors un deuxième pare-feu.
<blockquote type="cite" cite="mid:aONXrN1gStCq5Vd6@medium.hauri">
<pre wrap="" class="moz-quote-pre">
Or je n'ai jamais installé 2 firewall!</pre>
</blockquote>
<p>Ce qui fait que tu n'as pas de DMZ. Tes serveurs ont alors accès
à la fois au réseau interne et à internet. Bien sûr, les services
sont là pour bloquer les accès au réseau interne, mais ce n'est
pas une DMZ.</p>
<p><span style="white-space: pre-wrap">
</span></p>
<blockquote type="cite" cite="mid:aONXrN1gStCq5Vd6@medium.hauri">
<pre wrap="" class="moz-quote-pre">Ou alors il s'agit d'un schéma de principe et les 2 firewall sont la même
machine!? </pre>
</blockquote>
<p>Non, justement, on le fait avec deux machines séparées. Ceci
garanti que la compromission du premier pare-feu, n'engendrera pas
forcément la compromission du second. Avec une seule machine, si
tu arrives à compromettre celle-ci, tu as alors accès au réseau
interne. </p>
<p><br>
</p>
<blockquote type="cite" cite="mid:aONXrN1gStCq5Vd6@medium.hauri">
<pre wrap="" class="moz-quote-pre">( Dans ce cas, c'est bien ce que j'ai un peu partout, mais il
n'y a que très peu de règle de firewall qui concernent la DMZ!</pre>
</blockquote>
<p>La DMZ est un concept et il n'y a pas de règles établies la
concernant. Le concept doit être mis en place en utilisant les
outils à disposition. En mettant des services à disposition sur un
des serveurs de la DMZ, on s'assure que l'on restreint les accès
uniquement à ces serveurs. Ceux-ci vont alors réaliser la
connexion vers les services se trouvant sur le réseau interne ;
tel que DB, etc.</p>
<p><br>
</p>
<blockquote type="cite" cite="mid:aONXrN1gStCq5Vd6@medium.hauri">
<pre wrap="" class="moz-quote-pre"> Essentiellement
de redirections dnat. Et surtout, je n'appèlerais pas ça un mur de feu. )</pre>
</blockquote>
<p>Le NAT n'est qu'une composante des pare-feux. Les boîtiers
fournis par les ISP pour votre connexion internet sont des
pare-feux, car ne laissant rien passer venant d'internet (initié
par eg: TCP). Ces boîtiers permettent tous de faire du NAT; et ce
sont bien des pare-feux.</p>
<p><br>
</p>
<blockquote type="cite" cite="mid:aONXrN1gStCq5Vd6@medium.hauri">
<pre wrap="" class="moz-quote-pre">
Je pense au contraire que DMZ signifie que cette zone n'est pas protégée
et donc exposée.</pre>
</blockquote>
<p>La DMZ est une zone (un segment de réseau), dont l'un des côtés
est connecté à internet, et l'autre connecté au segment réseau de
cette DMZ. Ensuite, la connexion vers le réseau interne se fait au
travers d'un switch/pare-feu qui permet la connexion vers ce
segment interne.</p>
<p><br>
</p>
<blockquote type="cite" cite="mid:aONXrN1gStCq5Vd6@medium.hauri">
<pre wrap="" class="moz-quote-pre">L'endoit idéal pour installer des serveur publique et pourqoi pas
un pot de miel.</pre>
</blockquote>
<p>C'est exactement ça. On met les serveurs dans cette DMZ,
connectés à internet et au réseau de la DMZ. Mais aucun de ces
serveurs n'a de câble connecté directement au réseau interne.
Sinon ce n'est pas une DMZ.</p>
<p>D'ailleurs, il est juste de mettre le service VPN sur l'un de ces
serveurs, mais ce ne doit pas être une connexion sur un bash du
serveur sur lequel tourne ce service...Toutefois, la connexion VPN
peut-être utilisée pour permettre l'accès à certains services du
réseau interne. Vous pouvez aussi décider de permettre l'accès à
un segment de votre réseau interne, et avoir vos services sur ce
segment uniquement... À chacun de voir ce qui lui convient. Par
exemple, on doit se poser la question de savoir de quel côté
mettre un serveur NextCloud/Seafile/etc. L'accès à ce service doit
se faire au travers de la connexion VPN, qui permet d'accéder au
service du serveur de fichier, qui lui se trouve sur le réseau
interne, et non dans l'un des serveurs de la DMZ. C'est la même
chose pour un serveur de DB privé. Aucune donnée privée ne doit
être stockée sur les serveurs de la DMZ; sinon cela revient à
supprimer la DMZ...</p>
<p><a class="moz-txt-link-freetext" href="https://www.fortinet.com/fr/resources/cyberglossary/what-is-dmz">https://www.fortinet.com/fr/resources/cyberglossary/what-is-dmz</a></p>
<p>dc</p>
<pre class="moz-signature" cols="72">
</pre>
</body>
<lt-container></lt-container>
</html>