Ou bien tu mets une machine sur une autre plage d'adresse comme ca toutes les bécanes passent par le routeur pour y acceder et on est dans le cas d'une pseudo DMZ, en supposant que les utilisateurs fassent pas de routes a la mano :p
Il faut pouvoir gérer des regles entre le LAN et la DMZ aussi... sinon le fait de passer par un routeur ou non ne change rien à la sécurité...
bichtoubard
Ou bien tu mets une machine sur une autre plage d'adresse comme ca toutes les bécanes passent par le routeur pour y acceder et on est dans le cas d'une pseudo DMZ, en supposant que les utilisateurs fassent pas de routes a la mano :p
Dans ce cas c'est un abus de langage, la DMZ correspond en fait à un routage par défaut de ton NAPT (lorsqu'un flux arrive sur un port qui n'est pas routé explicitement, si cette "DMZ" est spécifiée le flux lui sera redirigé).
C'est bien souvent ca sur les petits routeurs ADSL pas cher !
Rien a voir avec une DMZ donc...
petoulachi
Dans ce cas c'est un abus de langage, la DMZ correspond en fait à un routage par défaut de ton NAPT (lorsqu'un flux arrive sur un port qui n'est pas routé explicitement, si cette "DMZ" est spécifiée le flux lui sera redirigé).
bichtoubard
Peut être qu'il est possible d'ajouter des interfaces réseaux ?
khalys
Je connais ce routeur par coeur, crois-moi. Il ne possede qu'une interface WAN et une interface LAN 192.168.1.0 par defaut.
bichtoubard
Ca doit être un routeur à 3 pattes, qui te proposes 192.168.1.0 pour que ce soit pas sur la même plage d'adresse que le LAN surement.
Donc c'est une vrai DMZ
Le WRT54G n'a pas d'interface DMZ dediee. L'interet est donc sans doute minime : ouvrir tous les ports d'un coup, de facon simple.
petoulachi
Bin yen a pas, ce n'est pas une DMZ mais un énorme trou de sécurité sur son LAN qu'on fait dans ce cas :D
bichtoubard
Quel est l'interet ?
khalys
Oups, je ne pensais plus aux eventuels switchs ou hubs branches sur le routeur. :whistle:
Bon, si ca se trouve, les routeurs qui definissent une DMZ de cette facon font en fait un abus de language et ne font qu'ouvrir tous les ports sans reellement creer une zone isolee.
Bah si, le sens c'est justement d'ouvrir tous les ports pour ce PC. Apres, le routeur peut se debrouiller pour ne pas faire communiquer une telle machine avec le reste du reseau. Ca reste tout a fait envisageable, non ?
Non pas si ton LAN est en 192.168.1.0 et ta machine "en DMZ" en 192.168.1.10... car pas besoinb de passer par le routeur pour communiquer...
khalys
Bah si, le sens c'est justement d'ouvrir tous les ports pour ce PC. Apres, le routeur peut se debrouiller pour ne pas faire communiquer une telle machine avec le reste du reseau. Ca reste tout a fait envisageable, non ?
Pims
Il faut pas confondre en effet. La DMZ dont parle petoulachi c'est la notion pro de DMZ, "la vrai" ou peut dire aussi.
C'est à dire un second LAN derriere un firewall. On peut donc gérer les accès: Internet vers DMZ puis DMZ vers LAN afin d'améliorer la sécurité.
Khalys je pense que tu parle plus des pseudo DMZ sur les petits routeurs domestique ou tu choisis de mettre une de tes machine "en DMZ" ce qui fait que ca place simplement cette machine en direct sur internet, contrairement au reste de ton LAN. Mais ca ce n'est pas une "vrai" DMZ.
petoulachi
Heu dans ce que tu me décris la DMZ n'a plus aucun sens.
Une DMZ est un LAN séparé du reste.
khalys
Dans certains routeurs, tu peux definir une DMZ de facon "logique". Si tout ton reseau local est en 192.168.1.0, tu peux par exemple mettre explicitement une machine 192.168.1.10 en DMZ. J'imagine que dans ce cas il n'est pas necessaire de faire du NAPT en plus pour ce qui concerne cette machine.
petoulachi
Heu je comprends pas ta question :??:
Sur un routeur, qd tu configures une DMZ normalement tu fais ça au niveau d'une de ces interfaces.
khalys
Ok. Il y a DMZ et DMZ, apparemment...
Si, dans le routeur, on specifie explicitement une adresse IP locale d'un serveur a mettre en DMZ (donc ce serveur serait branche sur un port LAN classique et non sur un port physique DMZ dedie), est-il encore necessaire d'ouvrir les ports specifiques a ce serveur pour l'atteindre ?
petoulachi
Non, une DMZ ce n'est juste qu'un LAN séparé du LAN de tes utilisateurs, ce qui te permet de contrôler les flux qui circulent entre les 2.
On peut très bien avec une DMZ et faire du NAPT pour connecter les serveurs de cette DMZ au net.
Il n'y a donc pas de "filtrage" comme pourrait le faire le NAPT (port forwarding), puisque ton routeur redirige absolument tous les flux en destination de ton IP publique vers la machine de ton LAN.
C'est pas le principe exact d'une machine mise en DMZ derriere un routeur ce que tu decris la ?
petoulachi
Le One-To-One, ça te permet de faire du NAT dans le sens propre du terme, c'est à dire pour une adresse IP publique tu fais correspondre une adresse IP de ton LAN.
Donc cette IP Publique ne pourra être utilisée que par le poste de ton LAN que tu as spécifié.
Il n'y a donc pas de "filtrage" comme pourrait le faire le NAPT (port forwarding), puisque ton routeur redirige absolument tous les flux en destination de ton IP publique vers la machine de ton LAN.
Une DMZ n'a rien à voir et peut très bien être utilisé dans le cas du One-To-One.
moldar
Bah le port forwarding c'est pareil, oui, si tu forwardes tous les ports !!
Et la DMZ c'est pareil, oui, mais les machines de la DMZ n'ont pas accès au réseau LAN, ce que ta machine peut faire ici.
khalys
J'ai bien compris, mais tu peux faire ca aussi avec du port forwarding ou une DMZ ! Quel est l'avantage du one-to-one ?
moldar
Le one-to-one te permet simplement de rendre accessible depuis le net une machine de ton LAN.
khalys
Merci, mais ca je l'ai bien compris. Ce que je voudrais savoir, c'est a quoi ca peut bien servir concretement, et eventuellement comment est mise en place cette correspondance des adresses.
Le seul truc que je vois pour l'instant, c'est qu'avec plusieurs one-to-one, on peut faire l'equivalent de plusieurs DMZ derriere un routeur. Mais a part ca ?
Pour le one-to-many, je vois pas grand chose... Ca pourrait avoir un rapport avec le multicast ? :??:
Jef34
One to One
Une adresse IP Public pour un PC interne
One to many
Une adresse IP Public pour plusieurs PC internes
khalys
Salut à tous,
Ma question est simple. Le one-to-one NAT, qu'est-ce que c'est ? Pourriez-vous me donner un exemple qui illustrerait concrètement :
- comment ça marche
- l'intérêt par rapport à une DMZ
Je vais continuer à fouiller sur le web, mais pour le moment, je trouve pas grand chose de satisfaisant.
