Choix des plages ip pour la création d'une DMZ

[guitou]

Bonjour,

Mon projet consiste en l'installation d'un pare-feu Isa Server 2004 sur un réseau existant, ainsi que la création d'une DMZ pour héberger 2 ou 3 serveur.

Je suis en train de simuler le projet avec des machines virtuelles, et je me demande maintenant comment gérer les plages ip.

Le réseau de mon entreprise est trè petit, il ne contient qu'une centaine de machines, d'ou une plage ip en 192.168.1.0.

Pour me faciliter les choses, je me demandais si je ne pouvais pas, pour la dmz, laisser les 2 serveurs concernés (ftp et web), en 192.168.1.X comme le reseau interne, et créer des règles sous Isa afin qu'ils ne soient accessibles que depuis l'exterieur, et ne permettent pas d'aller sur le réseau interne. Est-ce dangereux? Est-ce que je suis vraiment obliger de placer les serveurs dans un reseau different ou un sous reseau?

Merci de vos réponses.

[oussema]

Bonjour,

Tout d'abord Merci d'éditer le titre afin de le rendre plus explicite.

Concernant votre sujet, pour rendre accessible vos serveur il suffit de crée des règles de publication, et ca ne présente pas de risque pour votre LAN.

@+

[guitou]

Je sais que je dois créer les règles de publication, mais je voulais juste savoir s'il m'etait possible de configurer les machines de la dmz avec la même plage ip que le reseau interne, soit 192.168.1.X Ou bien suis-je obliger d'utiliser de les mettre dans une plage différente telle que 172.16.0.0?

[kekou]

Bonjour,
tu n'est pas obliger de changer le plan d'adressage pour tes 2 machines a publier.
C'est l'un des intérêt d'isa pouvoir publier des machines dans un lan sans mettre celui ci en danger (si isa est bien configurer).

Suffit juste que ton isa est une patte sur internet, et une patte sur ton lan (192.16.8.0.X), apres tu publis tout ce que tu veux sur ton lan.

[alex117]

Bonsoir,

Pour que ISA puisse gérer des réseaux différents comme dans ton cas : un LAN, EXTerne et DMZ tu dois bien entendu avoir une plage réseau différente.
Tu peux trés bien donc conserver ton 192.168.1.0/24 sur ton LAN.
Et tu peux indiquer comme adressage réseau sur ta DMZ : 192.168.2.0/24 ou encore 172.16.0.0/16 etc... mais toute plage d'adresse privée différente d'un réseau connue.

Dans le cas contraire ISA "spooferait" les flux car il determinerait pas correctement les provenances des adresses IP en fonction des cartes réseaux physiques (j'espère que je me suis bien exprimé).


Pour finir, tu peux aussi bien ne pas créer de DMZ et publier tes serveurs directement vers ton LAN comme l'indique kekou.
Cependant je préfere moins cette solution pour des raisons de sécurité, mais ceci n'engage que moi.

Bonne soirée et bon WE,
Alex

[kekou]

Tout a fait d'accord avec toi alex je n'aimes pas non plus ce genre de configuration (sauf a la limite pour publier un exchange), j'ai juste répondu dans le sens de sa question maintenant c'est vrai que si guitou a 2 machines a "sacrifier" qu'il peut mettre dans une vrai DMZ c'est 100 fois mieu