[Résolu]DMZ,redirection de ports et règles Iptables

metalux · Le 30/12/2018, à 17:23

Bonjour,

Pour faire suite à cette discussion, je suis en train de faire quelques tests.
Pour résumer pour ceux qui ne veulent pas lire le sujet, je souhaite installer un serveur ssh chez mes parents pour faire des sauvegardes distantes dans un premier temps, puis ensuite se servir éventuellement de ce serveur pour installer nextcloud.

Mes 1er tests en local fonctionnent bien et avant de mettre en place l'accès distant, je souhaite déjà le tester sur ma propre box. Aussi j'ai quelques interrogations suite à mes trop nombreuses lectures sur le sujet qui finissent par m'embrouiller l'esprit
J'ai lu que pour protéger le reste du réseau local, il fallait placer le serveur en zone DMZ. Cette même zone DMZ ouvre tous les ports vers le serveur si j'ai bien compris, d'où les questions suivantes:

1-Est-il utile de placer le serveur en zone DMZ dans la configuration de la box? Si non, est-ce que le reste du réseau local peut-être exposé à des risques de sécurité accrus en utilisant uniquement la redirection de ports?

2-S'il faut placer le serveur en zone DMZ, celui-ci n'est plus protégé par la fonction parefeu de la box et l'ensemble des ports est donc ouvert vers celui-ci sauf erreur de compréhension. Dans ce cas je suppose que je dois activer des règles Iptables pour fermer tous les ports sauf celui défini pour ssh. Est-ce bien cela qu'il faut faire?

Dans la discussion citée en lien ci-dessus, on ne m'a parlé que de redirection de ports et pas de DMZ, voilà pourquoi j'aurais besoin de vos éclaircissements. C'est en forgeant qu'on devient forgeron et il faut bien se lancer un moment donné, cependant je ne souhaiterais quand même pas mettre le feu au réseau local avec une mauvaise configuration et je préfère attendre vos avis sur la question.

Dernière modification par metalux (Le 31/12/2018, à 22:16)

michel_04 · Le 30/12/2018, à 17:41

Bonjour,

Amha, pas de DMZ.
Tu fais une redirection de ports.
Par contre, je te conseille vivement une Authentification par un système de clés publique/privée (page SSH de la Doc).
Je n'arrive plus, depuis la refonte de la Doc, à faire pointer un lien sur un paragraphe de la page .

Exemple :

ssh -p 22033 utilisateur@86.212.113.159

Ou :

ssh -p 22033 utilisateur@utilisateur-PC.noip.me

Pour l'exemple, l'IP publique est 86.212.113.159, si c'est une IP dynamique (non fixe) tu crées une adresse chez NoIp : utilisateur-PC.noip.me.
Dans la box distante, le port 22033 extérieur est redirigé vers le port 22033 pour l'IP locale fixe (ou le nom) du PC serveur SSH.

A+

Dernière modification par michel_04 (Le 30/12/2018, à 17:55)

metalux · Le 30/12/2018, à 22:26

Pour la configuration concernant SSH, pas de souci j'ai bien compris comment ça fonctionne et j'avais bien l'intention d'utiliser une authentification par clefs.
Mes questions concernaient surtout la sécurité et l'intérêt d'isoler la machine. Et dans un second temps si j'installe nextcloud, je vois sur cette page concernant les freebox V5:

" Rediriger les ports à ouvrir vers l'adresse locale de votre serveur.
Définir une DMZ vers votre serveur."

Ici c'est Yunohost qui m'a été conseillé par Tamarou mais je pense que le principe doit être similaire pour n'importe quelle distribution serveur.
Donc tu me confirmes qu'il n' y a pas de risques supplémentaires pour les autres machines du réseau le fait de ne pas mettre la machine en DMZ?
Et que ça fonctionnera quand même avec une freebox crystal (équivalent d'une V5 je crois)?
Pour la distribution, je ne suis pas encore fixé, mais l'O.S. ne devrait pas changer grand chose pour ce qui concerne la mise en place et la sécurité.

[HS]

michel_04 a écrit :

Je n'arrive plus, depuis la refonte de la Doc, à faire pointer un lien sur un paragraphe de la page .

Oui, ça pointe à côté depuis la refonte, dommage c'était bien pratique pour conseiller sur le forum en pointant directement sur ce qui fallait.[/HS]

metalux · Le 31/12/2018, à 22:16

J'avais mal cherché, j'ai finalement trouvé la réponse sur le forum, en fait la DMZ d'une box n'est pas une vrai DMZ, c'est simplement une zone dans laquelle on place une machine où toutes les requêtes venant d'internet sont redirigée.
https://forum.ubuntu-fr.org/viewtopic.p … #p15397801

Du coup, pas possible sur une box d'isoler le serveur du reste du réseau. Je vais donc faire comme tu me le conseilles michel_04 en utilisant la redirection de ports, la DMZ d'une box affaiblissant la sécurité du réseau alors que je croyais que c'était l'inverse. A souhaiter que ça fonctionne sans, d'après ce que j'ai lu, sur une freebox V5 il faut en plus de la redirection de ports mettre la machine en DMZ, en tout cas avec yunohost....à voir si leur documentation est à jour.
Merci michel_04 pour ta participation et bonne année 2019 ....

michel_04 · Le 01/01/2019, à 12:23

Bonjour et bonne année 2019 .

metalux a écrit :

bonne année 2019 ....

+1 metalux

A+

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 30/12/2018, à 17:23

[Résolu]DMZ,redirection de ports et règles Iptables

#2 Le 30/12/2018, à 17:41

Re : [Résolu]DMZ,redirection de ports et règles Iptables

#3 Le 30/12/2018, à 22:26

Re : [Résolu]DMZ,redirection de ports et règles Iptables

#4 Le 31/12/2018, à 22:16

Re : [Résolu]DMZ,redirection de ports et règles Iptables

#5 Le 01/01/2019, à 12:23

Re : [Résolu]DMZ,redirection de ports et règles Iptables

Pied de page des forums