DMZ et LL [etait Re: Re[1] Probleme TCP/IP]
Le dimanche 24 mars 2002, à 17:41, François Lemaire écrivait :
> > Je trouve quand même ta topologie particulièrement
> > tordue. Si j'ai bien
> > compris, tu as viré ton routeur en 212.234.150.14 et
> > réservé la plage
> > 194.206.234.232/29 uniquement pour pouvoir mettre un
> > filtre entre
> > 212.234.150.0/28 et le reste du monde, c'est bien ça
> > ?
>
> Ce n'est pas exactement ça, mais au final ça le
> devient.
>
> > Honnêtement, on pourrait trouver plus simple pour
> > mettre en place une
> > DMZ, et à mon avis, ils vont s'arracher les cheveux
> > chez rain...
> >
>
> S'il y a plus simple, je suis preneur!
L'idéal est d'avoir une configuration semblable à celle qui est donnée
en exemple dans l'IPchains-How-to. Le problème avec les liaisons louées,
c'est que les modems sont synchrones et que leurs ports série
ressemblent pas trop à ceux du pécé maison.
=> 1ere solution :
- recompiler un noyau avec CONFIG_PPP_SYNC_TTY à yes, qui est censé le
faire avec le modem
- installer une carte avec le port série qui va bien. À l'époque où
j'avais été confronté au problème, c'est là que j'avais dû abandonner,
mais j'étais à 15000 km d'ici, alors faut voir
avantage : pas besoin d'un routeur cisco couteux, même si ça en jette
sur le bureau. La config est propre : tout passe par le pare-feu, point
barre.
désavantage : ça va probablement demander un peu de configuration et
j'ai pas testé. Je lance donc un appel à témoins...
Comme tu as déjà le routeur cisco, de toute façon, autant passer tout de
suite aux autres solutions.
=> 2eme solution :
- ton routeur (212.234.150.14/30) est branché directement sur ta
passerelle (212.234.150.13/30) avec un cable croisé. Comme je le dis
dans ma réponse à Francois Boisson, ça équivaut à faire du ppp mais en
bouffant quatre adresses
- ta deuxième carte ethernet est en 212.234.150.1/29. Tes machines
publiques sont sur les adresses restantes de 212.234.150.0/29
inconvénient : tu n'as plus que 5 adresses pour tes serveurs (alors que
tu payes pour 13... Travailleurs, on nous ment, on nous spolie !)
En plus, tu as payé un routeur qui se roule les pouces.
=> 3eme solution (variante de la précédente):
- les serveurs sont relégués sur un réseau privé et les requêtes y sont
dirigés par forward (retour avec nat) en examinant le port tcp source
ou destination des paquets : tout ce qui arrive vers le port 80 est
renvoyé vers le serveur web, port 25 -> serveur mail, etc...
Ta passerelle est connue comme www, mail, ftp, etc... par le dns de
ton FAI et c'est elle qui distribue au bon destinataire.
avantage : les adresses se multiplient comme des petits pains.
inconvénient : ça peut avoir un impact sur les performances, mais là, je
ne suis pas compétent pour en parler...
C'est pas forcément plus simple (pour toi du moins) mais plus cohérent
et ça t'évite de dépendre de ton fournisseur d'accès, auquel tu demandes
quand même des contorsions peu catholiques, dans ta configuration
actuelle. En plus, ça t'évitera de payer une deuxième plage d'adresse et
ton patron t'en sera reconnaissant :-)
Si quelqu'un a d'autres idées...
--
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: