La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: tinybo le 30 janvier 2024 à 22:23:33
-
Bonjour,
La box SFR NB6 est réputée pour être buggée concernant la mise en place d'une DMZ en IPV6 derrière un routeur interne (on en trouve quelques traces dans ce forum). J’ai trouvé un contournement qui permet bien de déployer une telle architecture. Voici comment:
Le contexte
Box SFR NB6VAC, version firmware NB6VAC-MAIN-R4.0.45d, fonction DMZ uniquement proposée en IPV6.
Le menu de configuration de la Box:
-> voir pièce jointe 1
(http://menu.png)
Une configuration logique dans laquelle on donne une adresse IP interne d'une passerelle (le routeur) vers la DMZ ne fonctionne pas : la box ne transmet pas les paquets entrants à la passerelle.
La solution
En revanche, cela fonctionne si l’on indique une adresse IP de passerelle qui appartient au réseau DMZ (très illogique, cela fait surement partie du bug général autour de cette fonction). L‘adresse de la box à utiliser sur la passerelle est alors PREFIXDMZ::1
Ci dessous un schéma pour exemple de ce que j’ai fait pour m’adapter au comportement singulier de la box:
-> voir pièce jointe 2
(http://topologie.png)
A noter qu’il faut refaire la manip de configuration de DMZ sur la box en cas de redémarrage de cette dernière.
Considérations de sécurité
J’ai également testé ce que faisait une activation de DMZ sans l’option passerelle (possibilité offerte dans le menu DMZ de la box). Dans ce cas, la box monte une interface PREFIXDMZ::1/64 sur le réseau Ethernet interne. Je déconseille vivement cette option :
- qui entraine une forte porosité entre la DMZ et les réseaux internes (IPV4 et IPV6) car tout ce beau monde se retrouve sur un même LAN Ethernet.
- qui nécessite de mettre un Firewall sur chaque machine de la DMZ, la box ne faisant pas de filtrage sur les adresses du sous réseau DMZ.
Dans ce cas, il est préférable d’utiliser la fonction Firewall de la Box sur adresse interne. Cela évite de monter un Firewall sur chaque machine cible et rend le risque pris plus explicite (je le rappelle quand même: l’ouverture d’un service sur une machine interne induit que si la machine est compromise, tout le réseau interne est exposé par rebond).
Le mieux reste bien de mettre en place une DMZ avec passerelle, étant entendu que la passerelle héberge un Firewall qui filtre les flux entrants et sortants.
-
C'est beau l'IPv6 ;D ::)
Merci pour le tuto cependant ;)
-
C'est tragique de voir que des utilisateurs, qui ont sans doute eu du mal à comprendre le fonctionnement d'IPv4, ont du mal à assimiler les principes de fonctionnement d'IPv6, à ne pas transposer sous IPv6 leurs connaissances acquises sous IPv4. :(
Une DMZ n'a pas lieu d'être en IPv6 puisque les serveurs du LAN ont une adresse routable sur Internet. Le problème se situe au niveau du pare-feu et pas au niveau de la translation d'adresse. Il n'y a pas de NAT en IPv6 donc pas besoin de DMZ. En revanche, il faut ouvrir des ports ou des adresses IP pour les connexions entrantes dans les règles du pare-feu.
Les utilisateurs lambda n'ont pas de serveurs ouverts sur l'extérieur donc pas besoin de créer des règles spécifiques de pare-feu dans la box SFR. Les utilisateurs avancés qui veulent accéder à leur serveur depuis l'extérieur n'ont pas besoin d'utiliser une box SFR. Ils peuvent utiliser un routeur personnel de milieu de gamme. SFR est l'un des seuls FAI qui laissent aux utilisateurs avancés cette possibilité d'utiliser leur routeur personnel à la place de la box SFR grâce à une protection minimaliste de leur réseau (réseau accessible par tout routeur qui dispose de l'option 60 dans son client DHCPv4 et de l'option "Délégation de préfixe" dans le client DHCPv6).
-
il y aussi confusion entre firewalling et NAT ... DMZ est un terme de firewall, qui peut ou pas utiliser du NAT (souvent le cas en IPv4)
On peut donc très bien avoir une DMZ en IPv6...
le probleme vient que trop de gens ont appris les notions de firewall et NAT en meme temps et qu'avec IPv4 et les confondent alors qu'elles sont clairement distinctes.
Et que pour eux "DMZ" a un sens qui n'est pas le bon.
-
il y aussi confusion entre firewalling et NAT ... DMZ est un terme de firewall, qui peut ou pas utiliser du NAT (souvent le cas en IPv4)
On peut donc très bien avoir une DMZ en IPv6...
le probleme vient que trop de gens ont appris les notions de firewall et NAT en meme temps et qu'avec IPv4 et les confondent alors qu'elles sont clairement distinctes.
Et que pour eux "DMZ" a un sens qui n'est pas le bon.
Oui, en toute rigueur, j'aurais dû employer le terme "hôte DMZ" qui correspond à la fausse DMZ proposée par les routeurs SOHO ou les boxes des FAI sous IPv4. L'hôte DMZ sous IPv4 se traduit par une règle de NAT/PAT et une règle de pare-feu entrant. La vraie DMZ, ce n'est pas cela mais deux sous-réseaux et deux pares-feux distincts. Dans une vraie DMZ, on peut empêcher les machines de la DMZ de communiquer avec les autres machines du LAN, alors que "l'hôte DMZv4" des boxes et routeurs SOHO peut communiquer avec le reste du LAN puisqu'il n'y a qu'un seul sous-réseau et un seul pare-feu.
Hormis SFR et sa communauté d'utilisateurs, je ne connais personne qui parle de "DMZv6" parce qu'en IPv6, un "hôte DMZ" correspond seulement à une règle de pare-feu entrant. Là encore, on est loin de la vraie DMZ. ;)
-
@luron69 : J'ai lu que cela posait des problèmes en IPv6 également (voir PCP (https://www.bortzmeyer.org/6887.html)).
Si on autorise PCP à configurer un pare-feu, il faut évidemment faire encore plus attention.
Il n'existe pas à l'heure actuelle de mécanisme de sécurité standard pour PCP : son premier domaine d'application concerne des cas où il n'y a déjà pas de sécurité aujourd'hui.
Par contre, un attaquant interne a à peu près open bar avec PCP. Un serveur PCP doit donc être déployé uniquement si toutes les machines internes sont considérées comme membres de la même bande
(une supposition raisonnable pour un réseau domestique) ou si on peut séparer les clients en plusieurs domaines, empêchant M. Michu de voler le trafic de Mme Toutlemonde, située derrière le même CGN.
-
@luron69 : J'ai lu que cela posait des problèmes en IPv6 également (voir PCP (https://www.bortzmeyer.org/6887.html)).
On ne parlait pas de PCP qui est un protocole de configuration dynamique du pare-feu et du NAT/PAT. On parlait de la "DMZv6" de SFR qui est une configuration statique faite par l'utilisateur.
-
@luron69 : Le concept de DMZ existe véritablement en IPv6. On peut encore isoler les machines entre elles grâce à des pare-feux.
C'est tragique de voir que des utilisateurs, qui ont sans doute eu du mal à comprendre le fonctionnement d'IPv4, ont du mal à assimiler les principes de fonctionnement d'IPv6, à ne pas transposer sous IPv6 leurs connaissances acquises sous IPv4. :(
Une DMZ n'a pas lieu d'être en IPv6 puisque les serveurs du LAN ont une adresse routable sur Internet. Le problème se situe au niveau du pare-feu et pas au niveau de la translation d'adresse. Il n'y a pas de NAT en IPv6 donc pas besoin de DMZ. En revanche, il faut ouvrir des ports ou des adresses IP pour les connexions entrantes dans les règles du pare-feu.
Les utilisateurs lambda n'ont pas de serveurs ouverts sur l'extérieur donc pas besoin de créer des règles spécifiques de pare-feu dans la box SFR. Les utilisateurs avancés qui veulent accéder à leur serveur depuis l'extérieur n'ont pas besoin d'utiliser une box SFR. Ils peuvent utiliser un routeur personnel de milieu de gamme. SFR est l'un des seuls FAI qui laissent aux utilisateurs avancés cette possibilité d'utiliser leur routeur personnel à la place de la box SFR grâce à une protection minimaliste de leur réseau (réseau accessible par tout routeur qui dispose de l'option 60 dans son client DHCPv4 et de l'option "Délégation de préfixe" dans le client DHCPv6).
Un pare-feu, c'est utile. Néanmoins, cela entraîne des problèmes sur une connectivité de bout en bout.
-
C'est quoi une DMZ basilix ?
-
@xp25 : Un sous-réseau auquel on applique une politique spécifique de filtrage des paquets via ses interfaces.
-
L'auteur renvoie à ce fil de discussion depuis le forum communautaire SFR (https://communaute.red-by-sfr.fr/t5/R%C3%A9seau/IPv6-DMZ-acc%C3%A8s-externe/td-p/523420) en expliquant y avoir trouvé la solution. Sauf qu'il l'a posté ici à posteriori.
Son explication semble bien mieux étayée sur le forum SFR. Il se pourrait qu'il s'agisse d'une diversion malveillante mais je ne comprends pas bien la configuration.
-
Une configuration logique dans laquelle on donne une adresse IP interne d'une passerelle (le routeur) vers la DMZ ne fonctionne pas : la box ne transmet pas les paquets entrants à la passerelle.
La solution
En revanche, cela fonctionne si l’on indique une adresse IP de passerelle qui appartient au réseau DMZ (très illogique, cela fait surement partie du bug général autour de cette fonction). L‘adresse de la box à utiliser sur la passerelle est alors PREFIXDMZ::1
au vue de ce screen:
(https://lafibre.info/index.php?action=dlattach;topic=57593.0;attach=142711;image)
en pratique 'correct' on met en général une adresse link-local (fe80...) pour la "passerelle" (ce n'est pas le bon terme) pour un subnet IPv6.
C'est peut-être cela que la box attend...
il est rare d'utiliser une GUA d'un autre subnet pour router vers un subnet ce n'est pas recommandé.
-
@kgersen : Les sous-réseaux sont formés avec des préfixes GUA. Les nœuds vont faire acheminer leurs paquets via des adresses GUA (table de routage).
Donc, je pense que c'est pas vraiment logique de renvoyer à une adresse LLA (utilisée en principe pour l'auto-configuration et pas routée). Il est vrai que
je ne comprends pas la logique des interfaces d'administration des routeurs des FAI.
-
@kgersen : Les sous-réseaux sont formés avec des préfixes GUA. Les nœuds vont faire acheminer leurs paquets via des adresses GUA (table de routage).
Donc, je pense que c'est pas vraiment logique de renvoyer à une adresse LLA (utilisée en principe pour l'auto-configuration et pas routée). Il est vrai que
je ne comprends pas la logique des interfaces d'administration des routeurs des FAI.
Non les paquets sont usuellement acheminés avec des LL entre chaque saut. T'es juste en mode de raisonnement IPv4 ou on a qu'une adresse IP par machine.
-
@kgersen : Je ne connais quasiment pas IPv4.
C'est insensé !
- Les paquets ne sont pas routés avec des LLA.
- On ne peut pas utiliser à la fois une LLA et une GUA dans l'en-tête d'un paquet IP.
- Il n'y a pas de mécanisme de routage en fonction spécifique de la portée (locale au lien, au site...).
-
Fais un
ip -6 route et regarde ta default. C'est une LL.
edit :
- Les paquets ne sont pas routés avec des LLA.
- On ne peut pas utiliser à la fois une LLA et une GUA dans l'en-tête d'un paquet IP.
Les paquets routés ne contiennent pas l'adresse du routeur. Seules les adresses source et destination doivent être routables.
-
Une LLA est systématiquement associée à une interface pour pouvoir faire abstraction de la configuration d'une adresse IP.
Il est rare d'utiliser une GUA d'un autre subnet pour router vers un subnet ce n'est pas recommandé.
Les paquets routés ne contiennent pas l'adresse du routeur. Seules les adresses source et destination doivent être routables.
Ces assertions sont tout simplement fausses. En principe, chaque nœud dispose d'une adresse GUA pour communiquer avec des nœuds situés dans d'autres réseaux.
Un routeur dispose de plusieurs adresses GUA, chacune dans un réseau auquel il est connecté. Grâce au concept de route, on rattache une adresse L3 à une adresse L2.
La route peut changer (l'adresse L2 est modifiée à chaque saut) mais pas la direction (adresse L3). Ce sont les adresses IP qui permettent de définir des réseaux logiques.
En d'autres termes, la logique de réseau est fondée sur des adresses IP routables. On définit ainsi où les paquets peuvent aller et de quelle façon y aller par composition
(AS...). L'Internet (interconnexion de réseaux) est décentralisé grâce à la multitude de jonctions mais hiérarchisé au niveau IP (recollé de bouts en bouts).
Je me demande bien comment un paquet avec une LLA peut être acheminé à un nœud dans un autre réseau. D'un côté on est restreint à un domaine de diffusion, de l'autre
on accède à des milliards de nœuds.
-
Voilà un peu de lecture qui pourra t'être utile : https://www.rfc-editor.org/info/rfc7404 (https://www.rfc-editor.org/info/rfc7404)
Je me demande bien comment un paquet avec une LLA peut être acheminé à un nœud dans un autre réseau.
Lis-tu les réponses qui te sont données ?
Ces assertions sont tout simplement fausses.
Es-tu sûr de vouloir donner une leçon réseau à @kgersen ?
-
@ppn_sd :
Je ne donne pas de leçon et c'est en faisant des erreurs qu'on apprend.
D'ailleurs, je viens de m'apercevoir que j'avais mal lu le schéma général d'une DMZ. Je croyais qu'une DMZ était formée avec deux routeurs alors
qu'en fait il s'agissait de deux dispositifs pare-feux distincts mais pas sur deux routeurs : un routeur et deux équipements pare-feux.
(https://upload.wikimedia.org/wikipedia/commons/thumb/6/60/DMZ_network_diagram_2_firewall.svg/640px-DMZ_network_diagram_2_firewall.svg.png)
Source : Wikimedia.org
J'étais encore persuadé qu'un réseau local segmenté en sous-réseaux était forcément constitué avec plusieurs routeurs. Alors qu'on peut avoir un seul routeur relié à plusieurs commutateurs.
Je ne sais pas si cela est significatif niveau sécurité. C'est plus facile d'imaginer un sous-réseau protégé par un routeur faisant pare-feu (d’où ma méprise).
Cela change quelque peu ma conception de la topologie d'un réseau local segmenté. Avant, j'assimilais la jonction entre un routeur et un commutateur comme équivalente à la jonction entre
deux routeurs. En fait, on a deux types de réseaux : un sous-réseau d'infrastructure (réseau entre les deux routeurs) et au moins deux sous-réseaux de distribution.
Au final, je ne suis même pas certain qu'on parle tout à fait de la même chose. Ce qui m'intéresse, en dépit de l'interface d'administration du sujet, c'est la route existante vers une vraie DMZ.
-
D'où ma question Basilix ;)
-
Je ne donne pas de leçon et c'est en faisant des erreurs qu'on apprend.
Pas d'accord. On ne peut pas dire tout et son contraire à quelques posts d'intervalle et avec le même aplomb.
Au final, je ne suis même pas certain qu'on parle tout à fait de la même chose.
De quoi parles-tu d'ailleurs ?
-
@xp25 :
Il faudrait que je mette encore à niveau car cette question en recouvre d'autres. :D
@ppn_sd :
Je faisais référence aux préfixes distribués au LAN et sans faire référence aux liens entre routeurs.
On peut imaginer un réseau local composé de trois réseaux reliés entre eux par un routeur principal. Ce n'est pas la même chose qu'un réseau de routeurs.
Dans ce cas, la table de routage du routeur principal contient les préfixes des trois réseaux et renvoie tout le trafic restant vers le FAI.
-
La box SFR NB6 est réputée pour être buggée concernant la mise en place d'une DMZ en IPV6 derrière un routeur interne (on en trouve quelques traces dans ce forum).
Toutes les box SFR que j'ai eues, sont buggées : NB4, NB6v2, NBVAC NB8. Par contre, pourais-tu détailler le soi-disant bug de la DMZ.
En ce qui me concerne, j'utilise la DMZ de ma BOX pour tester le pare-feu de mes ordinateurs. J'active la DMZ de l'IPv4 de ma BOX SFR en lui donnant une adresse de routage (le libellé de la BOX 8 est : "entrer le nom ou l'adresse du serveur DMZ"). De ce fait, il n'y a aucun filtrage du coté de la BOX SFR alors que si je n'applique pas la DMZ, je subis le filtrage qui est déjà mis en place dans ma BOX SFR. Pour vérifier qu'il n'y a aucun filtrage quand la DMZ est activée, je désactive le pare-feu de mon ordinateur et j'utilise le site "Gibson research corporation (https://www.grc.com/x/ne.dll?bh0bkyd2)". Ainsi je vois tous les ports ouverts depuis mon ordinateur. Après, il n'y a plus qu'à activer le pare-feu, écrire les règles et tester à nouveau ces ports.
Pour la DMZv6, j'ai un sous-réseau (subnet) qui est déjà pré-renseigné, différent de celui déjà mis en place pour mon réseau local. Dans les notations de Tinybo,il s'agit de "PREFIXDMZ". Je dois renseigner le "Gateway Next Hop" où je retrouve le même préfixe, que je vais noter "PREFIXLOCAL". Ce "Gateway Next Hop" attend une adresse de passerelle IPv6 où va se trouver un pare-feu. En ce qui me concerne, je n'ai jamais utilisé la DMZv6.
Je suppose que le bug en question est cette différence de préfixe entre le sous-réseau IPv6 (PREFIXDMZ) et ce "Gateway Next Hop" (PREFIXLOCAL) où je devrais retrouver le même préfixe. Peut-on me confirmer que c'est bien de ce bug dont il est question ici ?
il y aussi confusion entre firewalling et NAT ... DMZ est un terme de firewall, qui peut ou pas utiliser du NAT (souvent le cas en IPv4)
Je suis d'accord avec toi qu'il y a une confusion entre pare-feu, NAT, PAT, DMZ et autre dans la signification de ces termes chez les différents FAI.
Et que pour eux "DMZ" a un sens qui n'est pas le bon.
D'après je que j'ai compris de la DMZ coté BOX, (vous me dites si je fais erreur), cela fait deux choses :
--> désactive tout le filtrage mis en place dans la box. Tout se passe comme s'il n'y avait pas de BOX.
--> effectue une redirection du flux entrant vers un ordinateur (ou serveur) où un pare-feu a été mis en place.
La vraie DMZ, ce n'est pas cela mais deux sous-réseaux et deux pares-feux distincts.
Je l'ai toujours compris ainsi. Donc pourquoi parler de vrai ou de faux DMZ ? Cela ne fait qu'embrouiller les lecteurs de ce sujet, comme Basilix.
Après, je ne sais pas trop ce qui a été fait dans les BOX pour sa mise en place. Ne dit-on pas que "Le diable se cache dans les détails".
C'est quoi une DMZ basilix ?
Bonne question. :) Quand on ne sait pas, ne faut-il pas justement donner la définition que l'on croit connaitre, afin d'avoir les vrais explications ?
Ma réponse est celle que j'ai donné à kgersen.
en pratique 'correct' on met en général une adresse link-local (fe80...) pour la "passerelle" (ce n'est pas le bon terme) pour un subnet IPv6.
Tu ne peux pas mettre une adresse Link-Local car SFR impose un préfixe IPv6 différent de celui utilisé en local.
il est rare d'utiliser une GUA d'un autre subnet pour router vers un subnet ce n'est pas recommandé.
Je n'ai pas bien compris le sens de ta phrase. Quand la DMZv6 de la BOX SFR est activée, le flux entrant dans la BOX est redirigé vers ce sous-réseau ipv6 distinct du réseau local ipv6 mise en place, dont l'adresse n'est pas un link-local.
Ces assertions sont tout simplement fausses.
Pas du tout. Et dire cela à un expert réseau comme kgersen.
J'étais encore persuadé qu'un réseau local segmenté en sous-réseaux était forcément constitué avec plusieurs routeurs.
Un routeur ne sert qu'à faire une seule chose, du routage. Chaque sous-réseau que ce soit de l'IPv4 ou de l'IPv6 appartient au même réseau. Un seul routeur suffit pour gérer ton réseau local. Le flux entrant dans le routeur aura le même préfixe IPv6 ou la même adresse publique IPv4. La distinction des sous-réseaux se fait par le masque de sous-réseau.
C'est plus facile d'imaginer un sous-réseau protégé par un routeur faisant pare-feu (d’où ma méprise).
Un routeur ne fait pas pare-feu. Tu confonds cela avec une BOX qui fait plein de choses en plus du routage.
-
C'est comme cela que j'ai appris. Néanmoins, j'avais peut-être tout à fait tort.
Cela me fait bizarre qu'on puisse associer des adresses de différentes portées.
-
Le but du sujet est de savoir si la fonctionalité "DMZ pour l'IPv6" ne fonctionne pas correctement parce que buggé/mal faite ou parce que les gens s'en servent mal.
Je n'ai pas de NB6 donc ne peut tester mais de ce que je comprend de cette interface:
(https://lafibre.info/index.php?action=dlattach;topic=57593.0;attach=142711;image)
si SFR ne permet pas de mettre une LLA dans le champ "Adresse IP" de cette interface c'est qu'ils ont fait bizarrement les choses.
Ce qu'ils appellent "DMZ pour l'IPv6" ressemble simplement a "une délégation statique d'un subnet IPv6". La manière "propre" est d'utiliser une LLA comme 'next hop'. C'est ce que font Free par exemple et Orange/Bytel (eux encore mieux puisqu'ils font une délégation dynamique):
(https://i.imgur.com/PfJZhgB.png)
Le subnet délégué (un autre /64) va être utilisé pour LAN 2 uniquement, il ne faut utiliser des IPv6 de ce subnet sur LAN 1.
Coté box opérateur on met la LLA (B) du routeur comme route vers le subnet de LAN 2
Coté routeur on met la LLA (A) de la box comme route vers Internet (route par défaut donc). On n'est même pas obligé manuellement car ca se fait naturellement par annonce de la gateway (mécanisme ICMPv6 RA), comme ca si on change la box on n'a pas besoin de changer la LLA (qui est souvent propre a chaque box).
Coté PC2, il va recevoir la route par défaut aussi ca sera l'autre LLA du routeur celle coté LAN 2 donc (C).
Le routeur n'a même pas besoin de GUA , il peut juste n'avoir que des LLA (en pratique on lui en met au moins une, pour les traceroute par exemple ou pour qu'il émette des ICMPv6 pour le MTU par exemple).
Un paquet qui part de PC 2 aura en source et destination des GUA mais sa route par défaut étant la LLA du routeur, il va envoyer ce paquet au routeur (le mécanisme L3/L2 va utiliser l'adresse MAC du routeur).(faite "route print ::/0" sur Windows par exemple, c'est une LLA , celle du routeur/box).
-
Ces assertions sont tout simplement fausses.
Non.
Déjà, chez ton opérateur (Orange), la route par défaut est une LLA (fd00::ba0:bab). D'ailleurs c'est bien pratique car ça permet d'avoir la même route par défaut sur tout le territoire même si ce ne sont pas les mêmes équipements qui la portent. Ensuite ça permet d'éviter le gaspillage de GUA.
J'ai des VPN site to site en IPv6 uniquement, et les interfaces de terminaison n'ont ni ULA, ni GUA, mais uniquement des LLA. Ca n'empêche ni OSPFv3, ni le routage de paquets, de fonctionner. La seule "problématique" que ça engendre c'est pour les traceroute (un routeur qui n'a que des LLA ne pourra pas renvoyer de TTL exceeded vers le client executant la commande).
-
@zoc : Il s'agit d'une méprise de ma part.
Néanmoins, je ne suis pas persuadé que vous ayez raison. Il semblerait que la mise en réalisation du concept (https://www.bortzmeyer.org/7404.pdf) à même suscité de la controverse à l'IETF.
Mais je ne vais pas non plus créer une polémique, ma compréhension étant de toute façon très limitée en la matière. Donc, je ne suis pas le bon interlocuteur.
Continuez comme bon vous semble, mais ne comptez pas sur moi pour poursuivre cette échange.
-
Peut-on m'expliquer en quoi mettre un serveur en DMZ permet de protéger son réseau local ?
-
Peut-on m'expliquer en quoi mettre un serveur en DMZ permet de protéger son réseau local ?
brievement: ca revient a le mettre en dehors de son réseau local (on parle d'une vraie DMZ pas les "DMZ" des box).
-
Je suppose que si j'utilise un serveur WEB, je vais appliquer une sécurité différente de celle du reste de mon réseau local. Pour résoudre cela, je vais faire l'usage de la DMZ sur une nouvelle branche, en extériorisant ou devrais-je dire en isolant mon serveur WEB.
Les règles du routeur contineront d'être appliquées au réseau local. Les seuls flux pouvant entrer dans mon réseau local, sont ceux ayant aupréalable un flux sortant. Tous les flux entrants non sollicités dans mon réseau local seront interdits.
En appliquant la DMZ, je court-circuite les règles de mon routeur. J'ai besoin d'avoir un pare-feu dans mon serveur pour le sécuriser.
En fait, c'est comme si j'avais deux entrées gérés par le même routeur, avec chacun leur propre règles de sécurités.
Comment dois-je faire si j'ai besoin d'une autre DMZ afin d'isoler autre chose de mon réseau local et de ce serveur WEB ?