Hello,
 
Je me pose une question certainement toute bête mais je ne trouve pas la réponse.
 
Comment poser un firewall en frontal d'un réseau public ?
 
Je m'explique:
Je dispose de 8 ip publiques que j'associe chacune à un serveur (chaque serveur est dédié à un client et fait tourner par exemple un serveur web et un service FTP). Je rajoute un service d'admin à distance mais uniquement pour moi. Pour faire simple je décide de poser un FW à l'entrée qui bloque tout sauf le port 80 accessible à tous et le port 8000 par exemple pour moi uniquement. Soit une architecture :
 

 
Est-ce qu'il est possible d'avoir un adressage public au-delà du FW ? Ou est-ce qu'il faut assigner toutes les ip pub au FW puis rediriger en conséquence sur un réseau à adressage privé (faire du port forwarding en definitive) ?

tu fais du NAT tout simplement!
 
une requete sur l'IP publique 1 arrive à ton firewall qui la retransmet au serveur 1 etc...
même chose pour les IP 2, 3 etc...

 
EN fait t'as pas 8 IPs mais seulement 6 utilisables, car la première c'est l'adresse réseau et la dernière l'adresse de broadcast.
 
Ensuite un IP pour le routeur.
Une IP pour le FW côté Internet.
Après du peut faire du NAT statique (1 IP publique vers 1 IP privée de ta DMZ)
Et tu peut faire aussi du PAT (Port forwarding):
@IP1 sur le port 8000   vers @ IP privée 1
@IP1 sur le port 8001   vers @ IP privée 2
@IP1 sur le port 8003   vers @ IP privée 3
...
 
VOilà

Chez les gros hébergeurs, ils mettent donc autant de règles de NAT qu'ils ont de serveurs ?

non...Virtual host 1 NAT mais x server web derrière...
C'est l'url qui joue après...

 
Tu pourrais detailler un petit peu, stp ?
 
Par exemple, j'ai deux serveurs chez un hébergeur. Sur le premier j'ai www.un.fr (62.210.153.160) et sur l'autre www.deux.fr (62.210.153.161)(les IP sont au pif).
 
Le FW a donc les deux IP publiques et après ?

 
Le FW n'a qu'une IP pub.
62.210.153.159 (ex)
 
Pour les ips 62.210.153.160 et 62.210.153.161 il effectue de la translation d'adresse.
ex:
62.210.153.160   vers @IP privée 192.168.20.160
62.210.153.161   vers @IP privée 192.168.20.161
 
Il joue le rôle de proxy ARP, c'est à dire quand le routeur d'accès Internet de ton hébergeur va vouloir envoyer le paquet a l'adresse 62.210.153.160, ton Firewall va répondre à la requête ARP (Proxy ARP) et prendre le paquet en charge. Il effectue ensuite de la translation d'adresse vers les IPs précédemment citées.
 
Mais tu peux avoir aussi le cas de figure où ton ISP fait:
62.210.153.160   www.un.fr
62.210.153.160   www.deux.fr
 
dans ce cas, même principe, proxy ARP, translation d'adresse, envoie de la requête à @IP privée 192.168.20.160, mais la différence va se faire sur l'URL. IIS ou Apache gère la notion de "Virtual Host" le serveur Web va savoir quelle page afficher grâce à l'URL.
Tu peux ainsi mutualiser plusieurs sites sur une même machine avec une IP privée qui sera vue avec une seule IP publique depuis internet.
 
I Hope it will help.
 

J'ai tout compris
Merci

U're welcome.