Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problème avec DMZ en mode Bridge

    Scheduled Pinned Locked Moved Français
    5 Posts 3 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Y
      yanku
      last edited by

      Bonjour à tous,

      Je sollicite votre aide concernant une maquette que j'essaie de mettre en place. Après de très nombreux test, je bute sur la mise en place de la DMZ.
      J'ai repris le schéma d'un autre post sur le forum, qui résume assez bien ce que je souhaite faire.

      
Serveur-----------------|DMZ i/f:(bridged)
88.x.x.54               |
                        |
                        pfSense--------------------Routeur--------Internet
                        | Ext i/f: 88.x.x.50        88.x.x.89
                        |
Private-----------------|Private (NAT) i/f:192.168.0.1
192.168.0.0/24

      Sur pfSense, j'ai bien bridgé mon interface DMZ avec l'interface WAN. L'IP sur le serveur est correctement renseignée. Le NAT automatique est désactivé.

      Depuis le serveur, je peux pinger l'interface WAN mais pas le routeur :(

      Avez-vous une idée ?

      1 Reply Last reply Reply Quote 0
      • J
        Juve
        last edited by

        Si l'interface WAN est bridgée avec DMZ alors c'est un pont, donc ni l'une ni l'autre ne porte d'IP, donc ni l'une ni l'autre ne sont  pingable.

        http://www.commentcamarche.net/contents/lan/ponts.php3

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Je ne pense pas que ce soit une bonne idée de bridger WAN et DMZ.

          Quand le firewall en est à analyser les entêtes ip, pensez vous qu'il prenne beaucoup de temps à changer une adresse ip ?
          Il n'y a quasiment aucune perte de performance à avoir une DMZ en adressage privé.
          Et c'est infiniment plus simple d'avoir un schéma naturel.

          Avez vous essayé (de faire une DMZ privée) ?

          NB : les schémas présentés sont souvent des schémas avec problèmes.

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • Y
            yanku
            last edited by

            Merci pour vos réponses. Je cherche à faire un bridge car certaines applications demande une adresse IP public sur le port du serveur.

            Mais comme vous le dites, il est plus naturel de créer une DMZ privée, et c'est également bien plus simple.

            Plutôt que de rester coincer sur le problème du firewall, je vais mettre la DMZ en privée et chercher du côté des applications si le NAT peut réellement poser problème.

            1 Reply Last reply Reply Quote 0
            • J
              Juve
              last edited by

              Sinon placez votre WAN en privé (rfc1918) et demandez à votre FAI de router votre subnet publique vers votre firewall via ce WAN privé.
              Ainsi votre DMZ pourra être configurée avec des adresses publiques.
              Dans la théorie c'est le schéma le plus sécurisé, le plus performant et le plus "maléable" car:

              • WAN invisible et omniscient ne pouvant être la destination du connexion (les plages rfc1918 ne sont pas routées sur Internet)
              • aucun NAT pour les machines publiées donc moins de latence et de charge firewall (par exemple streaming UDP à forte charge)
              • possibilité de NAT sans nécéssité de proxy ARP (on est deja connu comme étant le routeur de référence pour le subnet)
              • possibilité pour une même IP de NAT + routage, étant point de routage on manipule les paquets à notre guise.

              Dans la pratique certains FAI sont rétissants (bien souvent parce que les techniciens ne comprennent pas comment ils doivent configurer le routeur d'extrêmité).
              Pour ma part j'ai des dizaines de setup de ce genre avec Orange,Neuf,Colt etc.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.