Forum Clubic

2 cartes réseau dans un PC sous Win 2000 - Pour avoir 1 partie publique et 1 privée

Hello

Alors voilà…

j’ai :

  • 1 routeur ADSL
    192.168.1.1

  • 1 Serveur sous linux (faisant office de pare feu) doté de 2 cartes réseau
    1 carte réseau est reliée au routeur ADSL et a pour IP 192.168.1.255
    1 carte réseau est relié au switch principal (sur lequel est branché le serveur de domaine) et a pour IP 10.0.0.1

  • 1 Serveur sous Win 2003
    relié lui aussi au switch principal et a pour IP 10.0.0.2

  • et donc, 1 fameux Switch "principal" 3COM Gigabit manageable

tout ça fonctionne sans probleme

mais, je souhaiterais installer un serveur WEB/MAIL/FTP en parallèle de tout ça
ce serveur existe déjà sur un site distant (hors du réseau de l’entreprise donc) et est dores et déjà vérouillé par un pare feu logiciel (kerio), j’ai fait tous les tests que j’ai pu, il n’y a pas de probleme il est “stealth” et ne répond pas aux ping
de meme qu’il s’avère peu locace lors des “scan de ports” que j’ai pu effectuer (si on a réglé le logiciel de scan pour qu’il n’insiste pas trop trop)

je veux relier ce serveur à notre réseau
j’ai donc pensé le brancher directement sur le routeur ADSL (en parallèle du pare feu sous linux)
il aurait alors pour IP 192.168.1.2 par exemple

ce qui me pose problème c’est pour le lier à un groupe de travail et ainsi avoir accès aux disques du serveur et faciliter le déploiement, la maintenance, la lecture des logs, mais également créer un relai SMTP totalement invisible depuis internet
si le réseau windows transite par le routeur ADSL, je sens les embrouilles venir :smiley:

alors j’ai pensé rajouter une carte réseau dans ce serveur
lui affecter l’IP 10.0.0.3
le brancher sur le “switch principal”
je sais plus quel port est necessaire pour le reseau windows mais dans le principe, je m’imaginais pouvoir vérouiller le 10.0.0.3 et n’autoriser que le réseau windows (+ le 53 pour DNS et le 25 pour faire un relai SMTP)
ceci constituerait la partie privée de ce serveur

et conserver les règles que j’avais crée pour la partie publique du serveur

c’est peut etre un peu confus :paf: mais j’aimerais confronter ma reflexion à celle de personnes qui ont l’habitude de ce genre de trucs un peu tordus :ane:

je précise que nous ne voulons pas prendre 2 accès ADSL
et oui, association…petits moyens :ane:

Pourquoi ne pas mettre le serveur sur le switch après le FW ? Il serait sur le même réseau que le contrôlleur de domaine, et tu n’aurais juste qu’à redirigé correctement les ports (et bloquer tous les autres) grâce à ton FW !
Ou alors tu connectes le serveur directement au FW, dans une zone DMZ. Après tu n’auras qu’à ouvrir une fenêtre dans ton parfeu pour que le serveur soit visible de ton réseau.
IpCop gère très bien cela :wink:

j’aime bien la premiere solution

le probleme c’est que j’utilise shorewall et que sorti de l’utilisation basique (bloquer autoriser), je suis un peu largué

par exemple, si je veux autoriser les requetes POP à passer à travers le pare feu et à aller sur la machine 192.168.1.2 (le serveur mail/web que je veux rajouter)

dans shorewall, je crée une règle :

Action : ACCEPT
Source Zone : wan
Destination zone ou port : lan avec restriction "seulement les machines avec les adresses" : 192.168.1.2
Protocole : TCP
Source Ports : Tous
Destination Ports : 110

j’ai l’impression que c’est bon, non ?
mais j’avoue que ça me fait un peu peur quand meme que la machine soit sur le switch “principal”, y a aucun risque ?