Auteur Sujet: Clarifier des notions en réseautique (Lu 4751 fois)

basilix · « **le:** 12 novembre 2023 à 18:54:00 »

Bonsoir !

J'aurais aimé créer une DMZ menant sur le Net. Je ne comprend pas très bien les choses (voir l'image en pièce-jointe).

Les paquets IP sont-ils filtrés, par le pare-feu, avant ou après la traduction d'adresse avec IPv4 (NAT) ?
En faisant abstraction du double NAT, est-it possible de créer une DMZ comme sur l'image avec une Livebox 5 ?

Dans l'idéal, je souhaiterais à terme remplacer la Livebox 5. Je dispose d'un routeur Banana Pi BPI R3, du GPON ONT de fs.com et un commutateur Netgear GS108Tv3. J'ai lu qu'on pouvait brancher la Box avec le téléphone raccordé, derrière son routeur.

Je suis dans le flou. Il faut que je progresse en réseautique (auto-apprentissage). Je pose ces questions au cas ou si cela pourrait faire avancer les choses !

Cdlt, basilix.

tutosfaciles48 · « **Réponse #1 le:** 12 novembre 2023 à 19:33:20 »

Bonsoir, à quoi correspond le NAT ipv4 de la livebox sur ton schéma ? Ce ne sont pas les mêmes box en charge de délivrer l'ipv6 et l'ipv4 ?

vivien · « **Réponse #2 le:** 12 novembre 2023 à 20:33:20 »

Bienvenue sur le forum.

Si tu n'as pas de ressources partagées sur ton LAN, je ne pense pas qu'une DMZ soit pertinent.

Si tu souhaites tout de même le faire, tu peux mettre ton réseau local derrière un double NAT : si ton serveur est attaqué et que l'attaquant à la main dessus, il ne pourra pas avoir des privilèges sur ton LAN.

basilix · « **Réponse #3 le:** 12 novembre 2023 à 20:57:42 »

Bonsoir @tutosfaciles48 !

Le NAT est intégré à la Livebox 5. Toutefois, les Livebox n'ont que ce concept limité d'hôte exposé. Je l'ai fait apparaître sur le schéma pour illustrer le lien avec la « DMZ de Orange » qui ne me convient pas.

Bonsoir @vivien !

C'est pour de l'auto-hébergement. Si je comprend bien, le pare-feu routeur / DMZ ne serait pas vraiment pertinent. Mais je ne sais pas si cela aurait été possible ?

Édition : Le pare-feu aurait pu me sembler effectif mais pas sous la forme à laquelle je pensais. Sur le schéma, en passant par directement par la flèche bleue et non pas, par la flèche orange puis noire.

vivien · « **Réponse #4 le:** 12 novembre 2023 à 22:43:51 »

Si tu auto-héberge avec un serveur qui écoute le port 80 et le port 443, tu as juste à ouvrir ces deux ports vers ton serveur.

Rien d'autre.

L'option "DMZ" de la box, qui n'est au passage pas une vraie DMZ, va ouvrir tous les flux (pas que 80 /443) vers le PC, je déconseille : ouvre uniquement les ports nécessaires.

Après, si c'est plus simple (notamment pour l'IPv6) je comprends, c'est pas toujours simple de faire de l'auto-hébergement en IPv6 (en plus d'IPv4 qui ne pose pas de difficulté)

basilix · « **Réponse #5 le:** 13 novembre 2023 à 09:06:15 »

Bonjour !

@vivien: Dans la table NAT interne de la Livebox, l'hôte exposé conserverait-il les mêmes ports TCP / UDP après la traduction d'adresse IPv4 ?
Cette fonctionnalité ouvrirait-elle aussi tous les ports TCP / UDP standards dans le pare-feu en IPv4 ?

Cela pourrait expliquer pourquoi Orange recommande de désactiver le pare-feu (niveau faible) lorsqu'on active la « DMZ » de la Livebox.

Je souhaiterais configurer le réseau local entièrement en IPv6. Je pose ces questions pour mieux comprendre comment ça marche.

Hugues · « **Réponse #6 le:** 13 novembre 2023 à 09:18:44 »

Citation de: basilix le 13 novembre 2023 à 09:06:15

Dans la table NAT interne de la Livebox, l'hôte exposé conserverait-il les mêmes ports TCP / UDP après la traduction d'adresse IPv4 ?

Oui

Citation de: basilix le 13 novembre 2023 à 09:06:15

Cette fonctionnalité ouvrirait-elle aussi tous les ports TCP / UDP standards dans le pare-feu en IPv4 ?

En théorie oui, mais il me semble que le firewall continue d'en bloquer certains

Citation de: basilix le 13 novembre 2023 à 09:06:15

Cela pourrait expliquer pourquoi Orange recommande de désactiver le pare-feu (niveau faible) lorsqu'on active la « DMZ » de la Livebox.

Tout à fait

Citation de: basilix le 13 novembre 2023 à 09:06:15

Je souhaiterais configurer le réseau local entièrement en IPv6. Je pose ces questions pour mieux comprendre comment ça marche.

Ça va être compliqué, le mieux dans ton cas serait de faire du Dual Stack, donc IPv4 et IPv6, la livebox ne sachant pas faire de traduction 6 to 4 ou 4 to 6.

basilix · « **Réponse #7 le:** 13 novembre 2023 à 09:29:45 »

Citation de: vivien le 12 novembre 2023 à 22:43:51

Si tu auto-héberge avec un serveur qui écoute le port 80 et le port 443, tu as juste à ouvrir ces deux ports vers ton serveur.

Re : Dans cette configuration, en gardant le routeur, est-ce qu'un serveur compromis pourrait servir à capter les flux téléphoniques ?

Hugues · « **Réponse #8 le:** 13 novembre 2023 à 09:39:08 »

Non, la partie téléphonie reste dans la box et n'est pas exposée sur le LAN, peu importe les ports redirigés

PDuke · « **Réponse #9 le:** 13 novembre 2023 à 10:26:30 »

Je pense que tu devrais plutôt indiquer ce que tu veux faire réellement et pas juste dire je veux une DMZ. Car il y a vraiment peu de cas ou c'est recommandé une DMZ !

Si c'est juste remplacer la LB5, va voir dans la section

basilix · « **Réponse #10 le:** 13 novembre 2023 à 13:42:28 »

Merci Hugues !

@PDuke: J'ai trouvé ce concept dans un livre de Tanembaum & al. Cela a sûrement de l'intérêt.
Les réponses aux questions que j'ai posé m'aide tout de même à y voir plus clair.

J'essaye de comparer différentes architectures réseaux pour contrôler ce qui s'y passe par rapport à l'Internet.

vivien · « **Réponse #11 le:** 14 novembre 2023 à 10:22:59 »

Oui, cette configuration est intéressante si tu as des choses exposées dans ton lan qui doivent être protégés (ex: NAS).

Si tu as juste tes PC, ils savent se défendre, l'intérêt est limité.