Questions NAT



  • Bonjour à tous,

    Voilà je vais mettre en place pfsense dans mon entreprise, mais j'aurai quelques questions à vous poser.

    Ma config:

    - 3 Pattes sur Pfsense (LAN - DMZ - WAN)
        - LAN: Serveurs Divers (AD, Shares, Appli métiers,…)  -> Réseau en 10.108.1.x
        - DMZ: Un serveur qui fait Exchange frontal, RIM, FTP et web IIS.  -> Réseau en 10.108.50.x
        - WAN: 1 IP

    Le NAT: Je suis un peu perdu au niveau du NAT, je ne sais pas trop comment le configurer pour la DMZ... (1:1, port forward ?)
    sachant que je dois juste ouvrir 7-8 ports du WAN vers l'IP de mon serveur DMZ et 5-6 du serveur DMZ vers mon serveur exchange situé sur mon LAN.

    Sachant que j'ai aussi deux autres ports que je dois ouvrir du WAN vers le LAN (téléphonie IP)

    Merci pour votre aide, j'avoue que j'ai toujours utiliser le port forwarding jusqu'à présent.



  • DMZ: Un serveur qui fait Exchange frontal, RIM, FTP et web IIS.

    A priori pour le nat : port forward. Sous réserve de votre plan d'adressage publique, bien que , a priori une seule ip devrait vous suffire.

    Web IIS en direct dangereux. Un reverse proxy avec filtrage applicatif serait nécessaire.

    Une seule dmz avec des flux entrant et sortant est dangereux.

    Le serveur RIM devrait être cloisonné.

    Sachant que j'ai aussi deux autres ports que je dois ouvrir du WAN vers le LAN (téléphonie IP)

    A proscrire. Trop dangereux.

    Dangereux aussi votre niveau de connaissance et le projet que vous souhaitez mettre en route. Je m'explique. C'est bien de poser la question pour le nat. Toutefois la question montre que vous avez une maitrise limitée de ces problématiques or votre infrastructure même si elle n'est pas très complexe n'est pas triviale non plus (Cf IIS en direct, le port forward Wan ->Lan, …). En toute bonne fois vous risquez de commettre des erreurs graves sans même en soupçonner l'existence.



  • Merci pour tes réponses ccnet.

    Concernant l'architecture du réseau actuel, je viens d'arriver dans la société et je dois changer le Zywall actuel
    par un Pfsense, je sais bien qu'un serveur Windows dans un domaine qui se trouve dans une DMZ c'est pas le top
    (nombreux ports à ouvrir vers le LAN pour qu'il puisse papoter…), idem pour les problèmes avec IIS et le serveur RIM,
    mais le serveur Proxy/reverse proxy arriveront par la suite.

    En ce qui concerne les ports à ouvrir du WAN vers le LAN, il s'agit d'un module de téléphonie IP, on n'a pas su me dire de quel boitier
    il s'agissait, à terme il ira sans doute en DMZ quand je l'aurai trouvé ;-)

    Voilà en gros pour le moment je dois faire avec l'existant.

    Pour la question sur le Nat, j'ai toujours utilisé du Port forwarding, d'ou mes questions concernant le 1:1 et l'Outbound.

    Donc si j'ai bien compris le NAT 1:1 sert uniquement si on a plusieurs adresses IP publiques ?    Exemple:
      212.56.36.65 -> FTP -> ServeurDMZ 1
      212.56.36.66 -> MAIL -> Serveur DMZ 2

    Concernant le manual Outbound, cela apporte quoi exactement ?



  • Salut,

    Effectivement le nat 1:1 est utilise conjointement avec le Proxy ARP (ip virtuel) et donc pour plusieurs IP public.
    Aussi faire un NAT 1:1 ne veut pas dire laisser tout passer puisque ça passe quand même par les filtres.

    Conseil simple :
    -d'abord crée un alias par serveurs type iplansrvad
    -ensuite crée un alias par services liée au serveur portssrvad
    -ensuite crée une NAT forward (firewall > NAT > Add) et ajout ton alias server et ton alias ports et bingo.
    D'ailleurs, c'est bien pratique de faire tes alias car tu te retrouve avec très peux de règles et une gestion plus facile, plus claire.

    Je te conseille en attendant de taper Ntop ou logé tes NATS (au moins sur la voip) !

    Dernier conseil avec du Windows, crée une règle qui empêche tes pc d'envoyer du mail en direct mais uniquement ton serveur mail !
    C'est la règle bateau au tu peux te faire black listé ton ip on moins de 2h pour un bête spamware.

    En espérant avoir répondu à ta question :)
    Sdnatcher


Locked