Une DMZ n'a pas lieu d'être en IPv6 puisque les serveurs du LAN ont une adresse routable sur Internet. Le problème se situe au niveau du pare-feu et pas au niveau de la translation d'adresse. Il n'y a pas de NAT en IPv6 donc pas besoin de DMZ. En revanche, il faut ouvrir des ports ou des adresses IP pour les connexions entrantes dans les règles du pare-feu.
En lisant cela, il faut que je vous contredise, c'est très important.
Sur un réseau IP, donc IPv4 et IPv6 on peut TOUJOURS attribuer une DMZ (Zone sans militaire - Zone Démilitarisée), zone sans routeur/firewall de l'ISP (le FAI).
Cela permet :
- D'avoir une machine avec une adresse locale IPv4 qui prendra tous dans la tronche (par rapport à l'adresse IPv4 internet public globale (si, sur cette machine on a pas configuré de pare-feu - Toutes les requêtes et cela sur n'importe quel ports UDP et TCP de 0 à 65535 seront reçus sur cette machine.
- D'avoir une machine sur laquelle on peut configurer un bloc IPv6::/64 différent du bloc IPv6::/64 du réseau local ; pour y configurer peut-être au maximum un total IPv6 global unicast public addresses de 1,152,921,504,606,846,976 (CF:
http://www.gestioip.net/cgi-bin/subnet_calculator.cgi ) qui sont dans la DMZ et donc directement accessible en entrée (en sortie çà va de soit).
Sur le local IPv6 même si on a des IPv6 global unicast public, on ne peut pas entrer dans la machine, ni la "ping/ponguée", par contre on est visible avec une adresse Unicast globale IPv6.
Pour le IPv6 NAT ok, on a pas besoin ; par contre on peut en faire, si au pire on a qu'1 seule et unique IPv6_UNICAST_GLOBAL::/128 on peut NAter vers des addresses IPv6 ULA (Unique Local Address (fc00::/7).
Exemple -> ici j'ai NATé mon service DNS vers un Linux Container.
En d'autres terme ; je déclare que le service TCP et UDP du port 53 de l'adresse IPv6 Unicast global public "2001:41d0:701:1100::6530" se trouve (est à destination "DNAT") dans la machine de mon réseau ULA (Unique Local Address) "fc00:41d0:701:1100::1") --- Les VPS loués chez OVH et d'autres, ne nous fournisse qu'1 seule IPv6.root@vps-de:~ # ip6tables -L -vn -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
29162 2165K DNAT tcp * * ::/0 2001:41d0:701:1100::6530 tcp dpt:53 to:[fc00:41d0:701:1100::1]:53
2758K 253M DNAT udp * * ::/0 2001:41d0:701:1100::6530 udp dpt:53 to:[fc00:41d0:701:1100::1]:53
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
4186K 454M MASQUERADE all * vmbr0 fc00:41d0:701:1100::1 ::/0
Bon dimanche.
----
Pour résoudre cela, je vais faire l'usage de la DMZ sur une nouvelle branche, en extériorisant ou devrais-je dire en isolant mon serveur WEB.
Les règles du routeur contineront d'être appliquées au réseau local. Les seuls flux pouvant entrer dans mon réseau local, sont ceux ayant aupréalable un flux sortant.
Dès que LA DMZ est ouverte/créée (une machine) ; tout les flux entrant arrivent dans cette machine DMZ.
en extériorisant ou devrais-je dire en isolant..
On dit en créant une zone sans militaire, une zone libre, sans autorité ; mise à part TOI (ton pare-feu)
Surtout ne pas dire isoler ; Les VLANs sont isolés par exemple, les uns des autres ; les BRIDGES réseaux permettent l’inverse ; de commuter 2 réseaux (ou plus) en un seul (donc l'inverse des VLANs).
Pour ajouter, quand tu ajoutes une machine DMZ qui, me semble t'il, a une adresse IPv4 local du même bloc que tes autres machines "protégées (non visible de l'internet)" ; il ne faut pas oublier QUE, si un hacker arrive à rentrer dans cette machine DMZ, il pourra très facilement attraper tes autres machines locale. Normalement, c'est le rôle de la boxe du FAI (ISP), sa fonctionnalité par default - Empêcher les gens de rentrer chez toi
Tous les flux entrants non, sollicités dans mon réseau local seront interdits.
Non, ils arrivent dans la machine DMZ.
En appliquant la DMZ, je court-circuite les règles de mon routeur. J'ai besoin d'avoir un pare-feu dans mon serveur pour le sécuriser.
Oui firewall obligatoire.
En fait, c'est comme si j'avais deux entrées gérés par le même routeur, avec chacun leur propre règles de sécurités.
Tout les flux entrant arrivent dans ta machine DMZ - par contre ils traversent la boxe de ton FAI (ISP) ET donc, si par exemple tu souhaites rediriger un port bien précis, ou plusieurs vers une machine (ou d'autres ports vers d'autres machines) de ton réseau local ; tu le peut, tu fixes une règle sur ta boxe internet.
Comment dois-je faire si j'ai besoin d'une autre DMZ afin d'isoler autre chose de mon réseau local et de ce serveur WEB ?
Tu ne peut pas - tu peut avoir qu'1 DMZ puisqu'elle sert à rédirigé tout le traffic entrant de ton IPv4 publique vers une de tes machines.
Par contre tu peut déclarer un ou plusieurs ports bien spécifique vers "une" machine de ton réseau local.
Note de Moi-même : je vous ajoute cette documentation que je vous ai concocté :
GNU/Linux :-: Comment-faire un réseau IPv6 ? Firewall ICMPv6 ; çà fait toujours plaisir de partager ma page
Et celle-ci avec un firewall Linux IPv4 (mode poste et mode routeur) :
GNU/Linux :-: Configurer un poste Linux pour naviguer sur InterNetBien cordialement,
Romain.