[gull] Firewall et DMZ
Daniel Cordey
dc at mjt.ch
Fri Sep 2 14:12:46 CEST 2005
On Friday 02 September 2005 13:58, Dominique Muller wrote:
> je ferais autrement:
>
> internet---------->fw--------------->mailserv.<---------->ldap
> 84.244.5.254:25 192.168.100.1 192.168.100.x:25
>
> L'adresse du serveur mail = interface externe du fw
> Faire une translation de port dans le fw sur le
> port 25 vers le même port du mailserv. (PAT).
> Le mailsrv étant en interne, il a l'accès au serv. ldap.
>
> Le mailsrv. ainsi en interne et ne risque pas de se faire
> tapper sur les autres ports ouverts, s'il y en a.
En effet, c'est axactement ainsi que je procederais. On pourait avoir un
second firewall avec d'autre regles entre le serveur de mail et le serveur
ldap. Ainsi, le serveur de mail serait vraiment dans un DMZ. A l'heure
actuelle, il ne l'est pas et n'est donc absolument pas protege par le
firewall. On devrait donc avoir la topologie suivante :
> Internet
> /\
> ¦
> \/
> extérieur : 84.244.5.254
> Firewall
> intérieur : 192.168.100.2
> /\
> +----------------------------------------------------------+
> \/ V
> email serveur (postfix et Cyrus) Serveur LDAP (Openldap)
> 192.168.100.50:25 192.168.100.1 : 368
Ou sont le/les serveurs DNS et NTP ?
Ceci mis a part, il est assez courant d'avoir le "gateway" a l'adresse 1 du
reseau. ce qui veut dire que l'adresse 192.168.100.1 devrait etre celle de
l'interface "intranet" du firewall; impliquant que celle du serveur LDAP
devrait etre differente.
dc
More information about the gull
mailing list