Home (autres pages) Léa Linux TrustOn Me OpenVPN French Linux Doc Project

Architecture

Présentation

Je propose de mettre en oeuvre l'architecture suivante :

On retrouve ce que j'ai cité précédemment. J'ai donc plusieurs sous-réseaux définis et j'ai une passerelle par DMZ. Ma machine physique ne possèdera pas d'adresse IP du côté Internet.

Note : Pour le moment, même si la zone d'exploitation est montrée, je n'en tiendrais pas compte pour le moment.


Description des zones

On définit donc trois zones :

  • la zone internet. Il s'agit bien de la zone "non sûre".
  • la zone publique qui hébergera des services accessibles depuis l'internet. Ces services ne seront pas "directement" accessibles car cette zone publique n'est pas connectée à l'Internet.
  • la zone privée qui hébergera des ressources "privées" qui ne seront pas accessibles depuis l'Internet.
  • la zone interne qui hébergera des ressources visibles seulement depuis le LAN. Cette zone est notre zone de confiance.


Description des machines

Le Pare-feu

Cette machine virtuelle hébergera le doma}ine "pare-feu" ou dom_fw. En fait, elle possèdera une interface dans chaque zone définie précédemment.

[u]Interfaces vers :

  • l'Internet : outside
  • la zone publique : public
  • la zone privée : private
  • la zone interne : inside

Les autres machines virtuelles

Les autres machines virtuelles, en fonction de leur rôle, seront connectées à une seule zone


L'interconnexion entre machines

Afin d'interconnecter les machines, on va créer des "hubs" de connexion.

Les ponts (ou bridges)

Un pont est un équipement qui permet l'interconnexion de différents sous-réseaux, généralement lorsque ces sous-réseaux sont basés sur des technologies différentes. En général, on utilisait des ponts pour relier des réseaux TokenRing à des réseaux Ethernet.

Comme nous allons devoir passer d'une interface physique à une interface virtuelle, in fine, il y a bien un changement de technologie. Donc nous allons devoir utiliser un pont pour les interfaces physiques. Ensuite, nous “créer” une sorte de concentrateur (ou “hub”) entre le pare-feu et les machines virtuelles, et pour cela nous allons aussi créer un pont dans lequel nous allons ajouter les interfaces strictement nécessaires.

Comment cela fonctionne t'il ?

Eh bien sur la machine physique, ou dom0, on crée des ponts (ou bridge). On inclue les interfaces virtuelles des machines virtuelles qui doivent discuter entre elles dans le même pont. Ceci créera des interfaces virtuelles dans la machine physique, ou Dom0, qui seront alors liées.

Donc nous avons un "hub" par zone :

  • br_outside,
  • br_inside,
  • br_private,
  • br_public.

Et donc une interface par machine virtuelle y est connectée alors que l'ensemble des interfaces du pare-feu y est connecté.

Me contacter | ©2004-2005 Raum