• [^] # Re: pinholes

    Posté par . En réponse au message DMZ et ipcop. Évalué à 2.

    Je dis peut-être une bêtise, mais il me semble que les pinholes n'ont rien à voir avec Internet (réseau rouge).
    Les pinholes servent à autoriser un pc de la zone orange (donc DMZ) à se connecter à une machine de la zone verte, en gros un serveur sur la zone verte qui doit être accessible depuis la zone orange. Au niveau sécurité, cela pose problème, puisqu'en théorie, seules les données publiques sont sur la zone orange, et les données confidentielles sont sur la zone verte (qui n'est pas du tout accessible de l'exterieur). Ouvrir un pinhole revient à donner un accès à la zone verte à des attaquants potentiels, donc accès aux données confidentielles. Un attaquant qui prend le contrôle de la zone orange n'est pas "grave", puisqu'il n'a accès qu'à des données publiques, ou au moins peu confidentielles.
    Il me semble que sous IPCOP, la DMZ a accès à Internet out of the box.
    Vérifie plutôt que la machine en DMZ utilise bien la machine IPCOP en passerelle :
    # /sbin/route
    Destination Gateway Genmask Flags Metric Ref Use Iface
    192.168.20.0 * 255.255.255.0 U 0 0 0 eth0
    default 192.168.20.1 0.0.0.0 UG 0 0 0 eth0
    et que les DNS sont bien configurés :
    # cat /etc/resolv.conf
    nameserver 192.168.20.1