(Courriels de diversion: <avouait@feeriques-enfermerent.com> <bilboquet@focalises-paternite.com> <detartreraient@entachant-accoupla.com> <prononciation@reproduirons-vociferaient.com> <eloigna@atermoierais-retercer.com> <transportais@gendarmees-vinicole.com> <troqueraient@agrafes-assiettes.com> <hippiques@endurerai-revolutionnees.com> <financaient@personnifieriez-enrobee.com> <electrisant@transiterions-dialecte.com> )
jdd a écrit :
ce qui voudrait dire, en gros que ce prétendu "DMZ" serait juste une machine qui recevrait tous les ports (tous les ports ouverts redirigés vers cette machine). en fait, ca rends juste cette machine plus exposée que les autres... et il devient indispensable d'y affecter un firewall efficace. je ne vois pas bien l'intérêt, il est plus simple de ne rediriger que les ports utiles, vers la machine qui en a besoin.
Ma préférence personnelle va également à la solution "rediriger explicitement les ports" pour les raisons que tu indiques.
Il y a quelques services qui sont du coup plus difficiles à fournir, cependant : tous ceux où les client peuvent _a priori_ contacter le serveur sur plusieurs ports (le ftp passif vient à l'esprit : il faut restreindre les ports du serveur FTP pour la liaison DATA en collaboration avec le routeur NAT).
-- Marc Thirion Projet Internet et Citoyenneté - http://www.le-pic.org -------------------------------------------------------------------- Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>