Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 08-03-2017 23:46:37

Swake
Membre
Inscription : 22-01-2017

Sécuriser ce réseau?

Bonsoir, voici le schéma de mon réseau actuel qui je le précise ne peux être fonctionnel en l'état bien évidement.

Le server fait tourner un client Torrent, Plex, TimeMachine et autre sauvegarde et chose divers. Je souhaiterais l'exposer sur le net mais
aussi protéger le reste de mon réseau.

Suite à quelques lecture il en ressort que de placer le Server dans une DMZ ferait partie d'une solution. Mais je suppose que d'autre doivent être
possible à mettre en oeuvre.

Quelles seraient les pistes vers lequel vous pourriez m'orienter?

Merci

863796Schema.png

Hors ligne

#2 09-03-2017 08:22:06

mizapar
Membre
Distrib. : nutyx/debian8/ubuntu
(G)UI : openbox
Inscription : 26-10-2016

Re : Sécuriser ce réseau?

heu tu veut mettre quoi en public?
le client torrent est un client donc n'est pas sur le public...
tu as un jolie schema mais je ne vois pas ce que tu veut avoir d'accessible via internet.
et il me semble qu'une dmz renvoie tout et n'importe quoi sur l'ip que tu souhaite, alors que tu peut juste faire des redirections de ports sur un ip specifique (rediriger le port 80.443....).

Hors ligne

#3 09-03-2017 11:45:17

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : Sécuriser ce réseau?

hello
de ce que j'ai compris le serveur est en haut à droite, ligne verte.

[mode aéré]

Hors ligne

#4 09-03-2017 12:43:22

Swake
Membre
Inscription : 22-01-2017

Re : Sécuriser ce réseau?

Tout à fait, le Server c'est la ligne verte wink

Les interfaces eth1 et eth2 ce paramètre depuis cette onglet dans l'ERL.

Est ce que la création de ces deux sous réseau pourrait être une alternative à une DMZ ?

Il me suffirait ensuite de créer des routes entre ces deux interfaces pour que les machines sur eth1 puissent initier
des connexions sur le Server (Plex, TM, etc..).

636989ETH12.png

Hors ligne

#5 09-03-2017 19:20:13

mizapar
Membre
Distrib. : nutyx/debian8/ubuntu
(G)UI : openbox
Inscription : 26-10-2016

Re : Sécuriser ce réseau?

bon pour la redirection des port, nous avons dans les parametre de la box quelquechose comme
reseau/ "NAT/PAT" avec cela on a souvent une preconfiguration par exemple TM doit deja y etre; on lui colle l'ip du serveur et on peut lire cela.
meme si on a 2 sous reseau ils communiquent ensemble normalement.

j'espere que je ne repond pas a coté, car je ne vois pas trop l'interet d'une telle configuration reseau.

Hors ligne

#6 09-03-2017 19:49:41

Swake
Membre
Inscription : 22-01-2017

Re : Sécuriser ce réseau?

En faite j'aimerais pouvoir avoir accès à mon Server depuis l'extérieur sans compromettre le reste de mon réseau en cas d'intrusion.

Mon idée serait de "rejeter" toute tentative d'entrée sur eth1 sauf bien évidement les connexions distance initier depuis les postes s'y trouvant et ouvrir que
ce qui est nécessaire sur eth2 (Server). Sachant qu'un Server ne peux initier une connexion vers un client, il ne pourrais donc pas en cas d'intrusion
servir de "passerelle" pour aller vers le Lan (eth1).

Mais peu être que je me trompe complètement et dans ce cas je suis ouvert à vos remarques smile

Hors ligne

#7 09-03-2017 21:53:39

mizapar
Membre
Distrib. : nutyx/debian8/ubuntu
(G)UI : openbox
Inscription : 26-10-2016

Re : Sécuriser ce réseau?

oui bah la box fait ca d'office, le nat permet justement de laisser passer certains port vers l'ip.

les logiciels sur le serveur devrons aussi demander un login et mot de passe lors des connexions exterieur. (pour tester utilise un proxy si tu est sur ton reseau).

regardes si ca fonctionne en reseau local; ajoute tes redirections de ports et regarde si tu as acces via une autre connexion internet (ou proxy) et reverifie que tu a acces en local.

il est peut etre possible d'approfondir, en verifiant les connexions externe (quel ip quand...) et selon sur le seveur ajouter un fail2ban , verifier les historique, desactiver le compte root s'il y en a un
ou plutot donner un privileges a un nom d'utilisateur autre que root ou admin...

mais je ne pense pas qu'il y ai a se poser des questions sur la securité entre les deux reseau, juste a voir s'il y a une configuration specifique dans les options du modem.

apres j'ai de la lecture pour avoir une idée d'ensemble:
https://web.developpez.com/cours/serveur-web-chez-soi/
https://guide.boum.org/tomes/1_hors_con … ptographie

Hors ligne

Pied de page des forums