• Administration Systèmes
  • Administration Réseaux
  • Administration Bases de Données

Aide Informatique N°1

  • Actualités
  • Cours
    • ASR
    • TSRIT
  • Entraide
  • Contact
  • Crédits photo

Méthode de configuration d’un routeur

19/10/2013 · by Dehecq Olivier · Leave a Comment

Cet entraide, comme prévu, traite de la méthodologie de mise en place d’un pare-feu dans un réseau.

Tout d’abord, au niveau matériel, un pare-feu doit avoir une « patte » dans chaque type de réseau. Dans le cas de cette entraide il y a 3 types de réseaux :

  • LAN, avec les postes de travail et les services internes : contrôleur de domaine, serveur exchange par exemple mais aussi DHCP évidemment ou encore serveur de bases DNS
  • DMZ avec les serveurs qui communiquent avec l’extérieur : serveur web publié, serveur de bases de données ou serveur de fichiers par exemple
  • Externe, avec tous les postes d’Internet. Si vous avez du MPLS, le réseau MPLS fera partie de votre LAN ou de votre DMZ plutôt de de l’externe.

Le schéma à reproduire est le suivant (à vos papiers) :

  • Le LAN a pour adresse 192.168.1.0/24. Il contient les postes de travail ainsi qu’un contrôleur de domaine (192.168.1.1) quit fait aussi DNS principal
  • La DMZ a pour adresse 192.168.10.0/24. Elle contient un serveur web accessible depuis internet (son adresse IP interne est 192.168.10.1) et un serveur TSE accessible de l’extérieur (192.168.10.2)
  • Vous devez pouvoir envoyer des requêtes DNS sur internet (l’adresse IP du fournisseur d’accès est 8.8.8.8)
  • Votre serveur TSE doit-être accessible par votre collaborateur. (l’adresse IP publique des requêtes RDP de votre collaborateur est 9.9.9.9)
  • Vous devez pouvoir envoyer des fichiers par FTP à ce collaborateur (l’adresse IP publique permettant d’accéder au serveur FTP est 9.9.9.9)

Je vous laisse reproduire le schéma du réseau avant de révéler mon schéma :

Schéma de l'infrastructure à mettre en place (spoiler)
E14_parefeu01 (c)Moi

E14_parefeu01 (c)Moi

Il faut ensuite décider quels flux laisser passer et quels flux bloquer.
Pour cela il existe deux méthodes :

  • lister les flux qu’on interdit et autoriser tous les autres (je n’utilise pas cette méthode que je trouve trop permissive)
  • lister les flux qu’on autorise et interdire tous les autres (j’utilise cette méthode)

Il existe 3 interface (LAN, DMZ et externe) donc 6 ACL possibles.

Lan vers externe :

  • flux autorisés : DNS (tcp 53)
  • conseil : autoriser tout ou alors bloquer certains flux ou sites (en créant par exemple un alias CNAME www.facebook.com pointant sur 127.0.0.1 … utile pour bloquer certains sites spécifiques mais facilement contournable)

Lan vers DMZ :

  • flux autorisés : http/https (tcp 80, tcp 443), RDP (tcp 3389)

DMZ vers externe :

  • flux autorisés : DNS (tcp 53), ftp (tcp 21) vers 9.9.9.9
  • conseil : autoriser tout ou alors bloquer certains flux ou sites
  • conseil, pour le relais SMTP (tcp 25), il faut bien indiquer l’hôte d’origine pour éviter qu’un serveur mal configuré puisse relayer en smtp et donc spammer ou pire : rendre votre domaine de messagerie blacklisté

DMZ vers LAN :

  • flux autorisés : DNS (tcp 53)
  • conseil : autoriser RDP (tcp 3389) depuis 192.168.10.2 pour le collaborateur qui se connectera en RDP à des postes du LAN

externe vers LAN :

  • flux autorisés : DNS (tcp 53) vers 192.168.1.1 (le serveur ADDS est aussi serveur DNS)

externe vers DMZ :

  • flux autorisés : RDP (tcp 3389), pas le DNS car c’est le contrôleur de domaine qui s’adressera déléguera si besoin
  • conseil, autoriser les flux 1024-65635 qui correspondent aux ports ouverts à la demande, notamment lors de la connexion vers un serveur FTP

 

  • delicious Bookmark on Delicious
  • digg Digg this post
  • facebook Recommend on Facebook
  • reddit share via Reddit
  • stumble Share with Stumblers
  • twitter Tweet about it
  • rss Subscribe to the comments on this post

Partager :

  • Cliquez pour partager sur Facebook(ouvre dans une nouvelle fenêtre)
  • Cliquez pour partager sur Twitter(ouvre dans une nouvelle fenêtre)
  • Cliquez pour partager sur Google+(ouvre dans une nouvelle fenêtre)
  • Cliquez pour partager sur LinkedIn(ouvre dans une nouvelle fenêtre)
  • Cliquer pour imprimer(ouvre dans une nouvelle fenêtre)

Filed Under: Administration Réseaux, Entraide ·

Laisser un commentaire ...

Soyez le premier à commenter!

Vous devez être Connecté pour publier un commentaire.

Vous devez être Connecté pour publier un commentaire.

  Subscribe  
Notify of

Recherche

Cours à la une

17 – Supervision

17 – Supervision

Bonjour, La supervision consiste à remonter les informations techniques et fonctionnelles du Système … Lire tout

Entraide à la une

Un script pour auditer Windows

Un script pour auditer Windows

Bonjour à tous, Quelle plaie de devoir auditer les serveurs, non ? Des gestes qu'il faut refaire encore et toujours : … Lire tout

Articles au hasard

Mon histoire de l’informatique – Partie 1

Mon histoire de l’informatique – Partie 1

17/11/2013 By Dehecq Olivier Leave a Comment

7 – Linux administration

7 – Linux administration

06/09/2013 By Dehecq Olivier Leave a Comment

12 – Microsoft Exchange

12 – Microsoft Exchange

02/10/2013 By Dehecq Olivier Leave a Comment

Copyright © 2019 Olivier Dehecq

  • follow:follow:
  • RSS RSS