Bonjour à tous. Je suis nouveau sur le forum et je souhaite sécuriser mon réseau informatique personnel en installant un parefeu Juniper SRX300 acheté d'occasion sur un site bien connu.
Je suis chez Red SFR Fibre et dispose donc d'une box version 7. Les paramètres sont assez limités et je souhaite avoir la main sur ce derniers.
L'idée est donc de laisser la box avec ses paramètres et de gérer les accès grâce à mon parefeu.
Mais c'est là que ça se complique car j'ai lu qu'il faudrait pouvoir passer la box en mode "bridge", ce qui n'est pas possible avec celle de SFR red.
J'ai donc lu qu'il faudrait déclarer l'adresse 192.168.1.2 dans la DMZ dela box et après? Que dois je faire d'autre pour permettre à mes ordis et tablettes d'accéder à internet tout en étant derrière le parefeu?
Voici l'idée:


Merci d'avance pour voter aide.

Bonjour,
Au pire, le firewall de la Box SFR devrait tout de même vous protégé et aussi, il faudrait savoir si vous avez une IP full stack ou pas.
Car dans le cas contraire, le firewall en plus ne sert pas à grand chose.
Sinon, avec une IP full stack, il faut en effet mettre le firewall en DMZ de la box SFR et configurer le firewall pour autoriser les connexions émises depuis son LAN (mais je crois que c'est par défaut) et bloquer les connexions émises depuis son WAN.
Mais sinon le juniper ne serait pas un peu trop overskill pour un usage chez un particulier ?

IP full stack? c'est quoi?

Une "vraie" IP publique avec tous les ports disponibles de 1 à 65 635, accessible depuis l'internet.
Pas de CG-NAT avec le FAI, pas de partage de ports avec les autres clients.

Je découvre Juniper. Mais il y a quand même une interface graphique et même un wizard pour guider au début.
Pour l'adresse IP full stack, tu veux dire que parfois les FAI bloquent certains ports? A quel niveau? Dans la box ou en amont encore?

Pour l'adresse IP Full Stack versus CG-NAT il faut comprendre qu'au vu de la pénurie d'adresse IP, SFR a préféré réunir un petit nombre d'abonnées sous une seule adresse IP publique et ils se partages alors les ports les plus usuels avec une translation de port.
Par exemple votre port 80 en fait, c'est peut-être 50080 sur l'adresse IP publique réelle.
Ceci ne pose pas vraiment de problème si vous n'avez pas de serveurs ayant besoin d'un accès depuis l'extérieur.
Ceci devient gênant quand vous avez par exemple un NAS et que vous voulez y accéder depuis votre smartphone en dehors de chez vous.

Il me semble que dans l'interface de la Box, il y a écrit si celle-ci est sur CG-NAT ou pas.

En fait côté LAN il y aura des caméras, des ordis et tablettes , un NAS avec peut être de la domotique. Donc celui-ci devra être accessible.
Mais pour cela, je comptais monter un VPN car j'ai vu que le parefeu srx300 en offre la possibilité.
Oui c'est sur il y a de quoi de faire. Mais comme le dit pju91 ce sera formateur...
Je trouve que la box sfr est simpliste et surtout, je ne veux pas que l'opérateur modifie les parametre sans m'en informer (redémarrage, MAJ,...).
Bref je souhaiterais la rendre "transparente" afin que tout soit géré avec le juniper

PS: je ne vois pas de trace de  CG-NAT dans l'interface de la box.