KouKaVaniLLa Posté(e) le 16 février 2009 Partager Posté(e) le 16 février 2009 Salut à tous J'ai actuellement un modem/routeur configuré en 192.168.1.1, derrière lequel se trouve un serveur et deux clients. Tous le monde est donc en 192.168.1.x Je viens tout juste d'acquérir une box Alix qui va faire office de parefeu grâce à monowall. Pensez, d'un point de vue sécurité par exemple, que mon modem/routeur actuel relié à monowall devraient être dans un range d'IP, par exemple 192.168.1.0/24 et mon serveur ainsi que mes deux clients dans un autre range, par exemple 192.168.10.0/24 ? Ou alors tout le monde en 192.168.1.0/24 ? Merci beaucoup Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 16 février 2009 Partager Posté(e) le 16 février 2009 C'est surtout pour que ca soit plus propre. Pour faire ca bien meme tu peux faire du VLSM. Genre tes clients et serveurs tu les mets avec un masque /25 et entre ton routeur et ton parfeu tu fais du /29. Exemple: - 192.168.1.1 à 192.168.1.127; netmask 255.255.255.128 ==> les clients + les serveurs - 192.168.1.128 à 192.168.1.132 netmask 255.255.255.248 ==> entre le parfeu et le routeur. Ca permet d'éviter de gaspiller des ip. C'est à dire qu'il te restera encore de 192.168.1.133 à 192.168.1.255 pour faire d'autre sous réseau. Mais ca contribue en aucun cas à la sécurité (ou très très légerement). Pour la sécurité après, dixit VLAN Lien vers le commentaire Partager sur d’autres sites More sharing options...
KouKaVaniLLa Posté(e) le 16 février 2009 Auteur Partager Posté(e) le 16 février 2009 Oui je pense que je pourrais déjà faire du VLSM. Ce sera plus propre mais il n'y a , c'est vrai, probablement pas beaucoup d'intérêt au niveau de la sécurité. Je pourrais peut être mettre le serveur dans une DMZ ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 16 février 2009 Partager Posté(e) le 16 février 2009 Le but de mettre un serveur dans la DMZ, c'est que ce dernier soit accessible via internet. Si ton serveur doit etre accessible depuis l'exterieur c'est une très bonne idée. Sinon laisse le dans le LAN Lien vers le commentaire Partager sur d’autres sites More sharing options...
KouKaVaniLLa Posté(e) le 16 février 2009 Auteur Partager Posté(e) le 16 février 2009 il y a un serveur web qui tourne dessus, ainsi qu'un serveur de mail ..... "Laisse le dans ton LAN", cela veut il dire que si je le met dans une DMZ il devra avoir un autre range IP ? non je pense ..... Lien vers le commentaire Partager sur d’autres sites More sharing options...
typhoon006 Posté(e) le 17 février 2009 Partager Posté(e) le 17 février 2009 le subnetting @ home , aucun interet ... d'ailleur le subnetting meme en entreprise ca se fait de moins en moins on privilégie le VLAN (plus simple, plus pratique etc...) m'enfin meme du vlan @home ...... sinon entre ton routeur et ton parfeu tu fais du /29. /30 plutot 2 bits -> 4@ 1 @ réseau 1 @ broadcast 2 @ equipements si tu veux gagner en sécurité, bien que ce soit relatif tu peux changer de range d'ip genre passer en 10.0.0.0 Lien vers le commentaire Partager sur d’autres sites More sharing options...
KouKaVaniLLa Posté(e) le 17 février 2009 Auteur Partager Posté(e) le 17 février 2009 ok merci .... Et pensez vous, maintenant que j'ai cette box avec monowall, derrière mon modem/routeur linksys, désactiver le parefeu du linksys ? Cela risque d'être redondant d'avoir un parefeu sur le linksys (paramétrable ON/OFF) et en plus le monowall derrière qui est largement plus paramétrable. Le problème c'est que le linksys est en "première ligne" sur le net et ne serait alors plus protégé .... mais en même temps que faudrait il protéger sur ce dernier, il n'y a rien "d'exploitable".... ??? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 17 février 2009 Partager Posté(e) le 17 février 2009 le subnetting @ home , aucun interet ...d'ailleur le subnetting meme en entreprise ca se fait de moins en moins on privilégie le VLAN (plus simple, plus pratique etc...) m'enfin meme du vlan @home ...... sinon entre ton routeur et ton parfeu tu fais du /29. /30 plutot Oui petite erreur de calcul. Il étais tard (quelle excuse bidon ). edit: tu m'as mis le doute mais je fais bien toujours comme ca, parce que si je veux rajouter une machine sur le réseau parefeu / routeur j'ai pas besoin de revoir les adresses de mon réseaux car j'ai des adresses disponibles En ce qui concerne le passage à 10.0.0.0 je vois pas quesque ca va apporté en sécurité. C'est juste une adresse de classe A qui permet d'allonger l'HOST ID (pour mettre plus de machine). Pour augmenter la sécurité: ta les VLAN. "Laisse le dans ton LAN", cela veut il dire que si je le met dans une DMZ il devra avoir un autre range IP ? non je pense ..... Quand tu utilise un parefeu (ou un routeur après tout c'est presque la même chose, c'est juste l'IOS qui change) tu as trois réseaux distinct minimum: - le LAN espace "sécurisé" la où tu es sencé mettre tes clients et tes serveurs qui ne doivent pas être joignable depuis l'exterieur - la DMZ (DeMilitared Zone) ici tu place tes machines qui ont besoin d'être joignable via l'exterieur (serveur WEB, serveur FTP, serveur Mail ...) - La patte exterieur : ici c'est internet donc zone non sécurisé là où il y a les méchants. Les adresses réseaux sont donc logiquement différentes. En ce qui concerne les parefeu, tu actives celui le plus proche de la source des méchants, c'est à dire ton linksis si j'ai bien compris Lien vers le commentaire Partager sur d’autres sites More sharing options...
typhoon006 Posté(e) le 17 février 2009 Partager Posté(e) le 17 février 2009 En ce qui concerne le passage à 10.0.0.0 je vois pas quesque ca va apporté en sécurité. C'est juste une adresse de classe A qui permet d'allonger l'HOST ID (pour mettre plus de machine). en fait c'est simplement que les ip locale sont toujours en 192.168.1.0 , donc c'est surtout de changer l'ip du routeur quoi edit: tu m'as mis le doute mais je fais bien toujours comme ca, parce que si je veux rajouter une machine sur le réseau parefeu / routeur j'ai pas besoin de revoir les adresses de mon réseaux car j'ai des adresses disponibles moué entre équipement réseaux en général t'as pas trop besoin de largesse dans les @ dispo avec 3bit t'as 6 ip libres dispo (j'ai viré réseau et broadcast ) pour 2 équipements. c'est du gachis Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 17 février 2009 Partager Posté(e) le 17 février 2009 En ce qui concerne le passage à 10.0.0.0 je vois pas quesque ca va apporté en sécurité. C'est juste une adresse de classe A qui permet d'allonger l'HOST ID (pour mettre plus de machine). en fait c'est simplement que les ip locale sont toujours en 192.168.1.0 , donc c'est surtout de changer l'ip du routeur quoi Ok donc gain mais minime ^^ edit: tu m'as mis le doute mais je fais bien toujours comme ca, parce que si je veux rajouter une machine sur le réseau parefeu / routeur j'ai pas besoin de revoir les adresses de mon réseaux car j'ai des adresses disponibles moué entre équipement réseaux en général t'as pas trop besoin de largesse dans les @ dispo avec 3bit t'as 6 ip libres dispo (j'ai viré réseau et broadcast ) pour 2 équipements. c'est du gachis Bah pour lui ca lui servirait à rien je suis d'accord mais je t'explique la où ca ma était utile. Dans une boite où j'ai fait un stage, il m'ont demandé de rajouter un routeur redondant dans le même réseau que celui du parefeu/routeur. S'il avait pas mis le /29, j'aurai du changer le netmask des équipements et donc couper la société d'internet pour quelques minutes. Mais c'est vrai que pour son cas un netmask /30 suffit Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.