Forum général.général Serveur SSH sur plusieurs machines, DMZ, Firewall

Posté par  .
Étiquettes :
2
9
juin
2009
Bonsoir tout le monde,

Je suis en train de refaire mon réseau et cherche une solution à un problème somme toute assez simple, j'ai trouvé de la doc par RTFM, man et Google mais j'aimerai quand même avoir votre avis.

J'ai donc une archi réseau classique :

landebian ----|s |
lanfreebsd----| wi |--------||interface1-FIREWALL-interface2||--wan(FREEBOX)---NAINTERNETTE
lanubuntu ----| t | |
lanxp ---------| ch | interface3
|
|
dmz



- Un segment LAN : 4 machines dessus : Une debian, une freebsd, une ubuntu et une xp. (Pardon les modos, ne me banissez pas wink )
- Un firewall Monowall/freebsd, avec 3 interfaces : une LAN (vers un switch tout pourri pour mes 4machines lan), une WAN (vers le modem ilafri ilatoucompri) et une dmz.
- Une dmz (avec un sous reseau différent du lan) donc dans laquelle il n'y a rien encore.

Je voudrai avoir un accès ssh sur l'ensemble de mes 5machines (les 4 lan + la 5eme dmz) à partir de l'extérieur (à partir d'Internet). Et je ne veux pas mettre les machines à l'écoute sur des ports différents.

Je vais donc avoir un accès direct depuis l'extérieur vers une seule machine, celle dans la dmz. (redirection du port22 de wan vers le 22 sur la machine en dmz).

Et la vous me voyez venir, bien sur, avoir accès, à partir de la machine_dmz vers les 4machines lan en ssh. (c'est à dire sur le firewall, ouvrir le 22 de machine_dmz vers les 4machines lan).

Lorsque j'aurai envie d'accéder à une machine sur le lan depuis l'extérieur en ssh, j'accéderai donc, d'abord, en ssh, à machine_dmz, puis depuis machine_dmz, en ssh, à la machine lan que je veux. Voila le topo en gros.


C'est tout à fait CONTRE la philosophie d'une dmz et ouvre des brèches de sécurité que de faire comme j'ai dis : ouvrir des ports de dmz vers lan. Oui, c'est pas bien. Mais, je ne vois pas d'autres solutions. Quelqu'un aurait une idée ? Ou des avis ?

Bien sur, sur la machine_dmz servant de "relai ssh", il n'y aura rien à part un tout petit système de base et un démon sshd, avec toutes les règles de firewall qui vont bien.


Deuxième question (c'est les soldes, deux pour le prix d'une) :
Je voudrais aussi mettre en place dans la dmz, un serveur de donnée pour partager mes données en FTP avec l'extérieur. Mais j'aimerai aussi pouvoir accéder à ces données depuis mon LAN (en mettant en place un partage NFS par exemple). Qu'en pensez-vous ? Est ce une bonne idée de faire comme ca? Ou alors c'est mieux d'avoir un backup sur le lan des données en question et d'utiliser plutot le backup ? Dans ce cas, on a juste déplacé le problème : comment faire le backup sans autoriser des accès dmz vers lan... ?

Merci d'avoir tenu la lecture jusque là ;-) et pour votre aide surtout.

  • # Correction schéma

    Posté par  . Évalué à 1.

    J'ai mal regardé avant de poster : bien sur la dmz n'est pas derrière la machine xp, mais indépendante sur un réseau différent sur l'interface3 du firewall. Autant pour moi...

  • # IPv6

    Posté par  . Évalué à 3.

    en IPv6, pas besoin de faire de translation d'adresse et de port, tu peux avoir une adresse publique pour chaque machine.

  • # VPN

    Posté par  . Évalué à 2.

    Par exemple avec OpenVPN.

    Intéressant dans le cas où tu connais (et a la main sur) les machines à partir desquelles tu compte pouvoir accéder à celles de ton réseau (boulot, PC portable,...)

    Tu installes un serveur VPN sur ta passerelle, et tu t'y connectes à partir de ton poste client.
    Dès lors, tu pourras accéder aux machines de ton réseau comme si tu étais chez toi, sur le même réseau.

    • [^] # Re: VPN

      Posté par  . Évalué à 1.

      Ma passerelle est aussi mon firewall, sous Monowall/FreeBSD, qui n'a pas de support pour OpenVPN, et même s'il en avait un, je ne trouve pas vraiment qu'installer un serveur VPN quel qu'il soit sur un firewall soit une très bonne idée, meme si ca marche très bien.

      Je peux toujours installer le serveur OpenVPN sur une machine dédiée (qui sera forcément en DMZ vu que je ne veux pas d'accès direct WAN -> LAN ) et là, on revient exactement au meme problème ;), on n'a fait que le déplacer : comment accéder au lan à partir de la dmz. :)

      Sans parler du fait d'installer les clients chez les potes, au boulot, etc.

      Sinon j'avais pensé très sérieusement à IPSec, qui marche bien. Le seul problème (oui, sinon c'est pas marrant !) étant d'abord la configuration nécessaire pour le client : mettre en place un racoon et toussa, ca devient lourd ; et ensuite, pas encore de support NAT-T ni XAUTH ni Mode Config dans la version actuelle de Monowall (meme si ca marche dans ipsec-tools), donc forcément, ca va passer par une machine dédiée, sous FreeBSD avec un patch nat-t (toujours pas intégré dans la 7.2, et dans la roadmap de la 8.0 ).

      Bref, trop de trucs lourd, difficilement maintenables...pour finalement juste lancer une cron ou se la péter en montrant un uptime aux potes...

  • # Translation de ports et d'adresses

    Posté par  . Évalué à 2.

    Tu dis que tu ne veux pas mettre tes machines à l'écoute sur des ports différents...
    mais tu n'as qu'une seule IP publique, et en IPv4 (je suppose)...

    En fait, pas la peine de modifier la configuration de chaque service sur chaque machine.
    Il faut effectuer une translation d'adresses et de ports au niveau de la passerelle.

    Par exemple :

    IP_publique:22001 ---> LAN_debian:22
    IP_publique:22002 ---> LAN_freebsd:22
    IP_publique:22003 ---> LAN_ubuntu:22
    ...

    • [^] # Re: Translation de ports et d'adresses

      Posté par  . Évalué à 1.

      Oui, ca marche, mais c'est ce que je ne veux pas parce que je n'ai pas envie d'avoir des ports wan -> lan ouverts. Tout est clos de wan -> lan. Les seuls ports ouverts le sont de wan -> dmz (serveur web, serveur ftp, serveur ssh etc...) tout est en dmz sur un segment réseau indépendant du lan...

      par contre, ce que je peux faire (et c'est la meilleure solution que j'ai trouvé jusqu'a maintenant) c'est sur le firewall:

      redirect du port 22 de wan vers machine_dmz
      puis:
      pass from machine_dmz port_src any to machines_lan port_dst 22

      et faire un $ssh lan_debian à partir de machine_dmz...

      Là, ca va contre la dite-philosophine d'une dmz qui veut qu'il ne doit pas y avoir d'accès dmz to lan pour plus de sécurité...

      • [^] # Re: Translation de ports et d'adresses

        Posté par  (site web personnel) . Évalué à 3.

        Bonjour,

        je te recommande quand même de changer le port 22 par autre chose, vue de l'extérieur, ça t'évitera un pourrissement des logs par toutes les tentatives sur le port 22.

        ton IP publique port 21552 ---> ton dmz port 22
        par exemple, comme ça, toutes tes machines à l'intérieur du réseau sont accessible depuis le poste DMZ sur le port 22, et ton DMZ n'a pas trop de requêtes sur le port ssh.

        Tu peux aussi regarder les scripts Knockd, ça permet de fermer les ports (tous) et d'ouvrir un port comme convenu, pour une IP au moment voulu.

        A bientôt
        Grégoire

        Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # le role de la DMZ

    Posté par  . Évalué à 2.

    il me semble que le role de la DMZ s'est jsutement de permettre un acces depuis l'exterieur à des machines qui sont "dedans", sans pour autant ouvrir tout ton reseau

    et comme tu as encore un parefeu entre ton LAN et ta DMZ,
    ben tu peux choisir qui fait quoi.

    pour les fichiers à mettre disponible sur internet, dans la DMZ c'est sa place
    la synchro avec le lan ? sshfs/rsync/sftp (par le ssh deja installé)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.