Gestion des flux réseau entrant et sortant sur le serveur Kwartz

Présentation
Le serveur ‘Kwartz’ dispose de fonctionnalités permettant de gérer les flux réseau entrant (qui proviennent de
l’Internet : WAN) et à destination des divers services s’exécutant sur le serveur ou sur les postes du réseau local
(LAN) mais aussi les flux sortant du serveur vers l’Internet : c’est-à-dire ceux provenant de l’un des services
hébergés par le serveur ‘Kwartz’ (proxy, messagerie, etc.) ou de tout ou partie des postes du réseau local (LAN).
Parmi ces fonctionnalités on trouve :
- La gestion des flux par l’intermédiaire du pare-feu (services usuels et autres services).
- La redirection de ports.
- La gestion du trafic entre deux réseaux.
- Les règles d’accès à l’Internet.
Il est essentiel pour le gestionnaire du réseau de bien comprendre le fonctionnement de ces composants.
Nous détaillerons ci-dessous certains de ces services et donnerons quelques exemples à suivre (et d’autres qui
doivent être évités car potentiellement dangereux…).
N’oubliez pas que votre fonction de PRTICE/PRNUM vous donne certaines responsabilités (qui vous sont
déléguées par votre chef d’établissement) et que vis-à-vis de la loi et des usages d’Internet qui s’effectuent sur
votre réseau, vous êtes le premier garant de la sécurité de votre serveur et des postes de votre réseau local.

Remarques importantes concernant l’ouverture des ports du pare-feu (services usuels et autres).
a) Organisation
Dans l’option « Pare-feu » du menu « Sécurité » de ‘Kwartz~Control’, le pare-feu s’organise en 3 colonnes dont
les 2 premières correspondent à la carte réseau 2 (réseau étendu : WAN) et dont la dernière correspond à la
carte réseau 1 (réseau local : LAN).

L’organisation est donnée ci-dessous :

b) Concernant la carte 1 du serveur (LAN).

Cette carte permet au serveur de dialoguer avec les équipements installés sur le réseau local (et
inversement).
Au niveau du pare-feu, aucune action sur la carte réseau 1 n’est nécessaire pour que les postes du réseau
local accèdent aux divers services proposés par le serveur ‘Kwartz’ car tous les ports disponibles en écoute
(donc les services proposés) sur le serveur sont accessibles depuis le réseau local.
Daip Page 1 sur 9 13/11/2018
 Cette colonne concernera donc « TOUS LES POSTES » ou « UN POSTE PARTICULIER » du réseau local pour un
accès DIRECT vers l’Internet et donc sans aucun filtrage du(des) port(s) concerné(s).
On comprend donc qu’il n’est absolument pas recommandé d’ouvrir les ports http (port 80) et https (port
443) pour tout ou partie des postes du réseau et qu’il faudra plutôt utiliser les règles d’accès Internet afin
d’obtenir l’effet désiré…).
c) Concernant la carte 2 du serveur (WAN).
1) En sortie pour le serveur.

Cela concerne uniquement les services et applicatifs s’exécutant sur le serveur ‘Kwartz’ et qui
demandent un accès vers l’Internet sur un port ou plusieurs ports spécifiques (messagerie, Proxy pour
l’accès http, https, etc.).
2) En entrée sur le serveur.

Cela concerne uniquement l’accès aux services s’exécutant sur le serveur ‘Kwartz’ et qui devront être
accessibles depuis l’Internet.
Nota 1 :
Il ne sert à rien d’ouvrir un port spécifique en entrée sur le serveur si aucun service fonctionnant sur le
serveur n’est en écoute sur ce port.
De même, il est inutile d’ouvrir un port en entrée sur le serveur si vous effectuez une redirection de port.
Nota 2 :
Il est possible d’installer plus de 2 cartes réseau dans le serveur mais nous n’aborderons pas ce cas dans ce
document.

Le pare-feu : Les services usuels.

L’interface ‘Kwartz~control’ dispose d’un grand nombre de services qui peuvent être mis à la disposition des
usagers du réseau local (LAN) mais aussi à disposition des usagers externes (WAN).
Dans ce dernier cas le gestionnaire du réseau devra être très attentif aux accès qu’il va autoriser.
Les services usuels sont présentés ci-dessous :

Daip Page 2 sur 9 13/11/2018

 Les services sont associés à un ou plusieurs ports et/ou à un ou plusieurs protocoles particuliers.
Le tableau ci-dessous donne la correspondance pour certains services usuels du pare-feu.

Service Protocole et/ou port(s) associé(s)

Ping Protocole ICMP
Web, pages internet (http, https) Port 80/TCP protocole HTTP, Port 443/TCP protocole HTTPS
Extranet Kwartz non sécurisé (http) Port 8080/TCP protocole HTTP
Extranet sécurisé (https) Port 4443/TCP protocole HTTPS
Transfert de fichiers (ftp) Ports 20/TCP, Port 21/TCP protocole FTP
Réception de courrier (pop3, Imap) Port 110/TCP protocole POP3, Port 143/TCP protocole IMAP
Réception de courrier (pop3s, imaps) Port 995/TCP protocole POP3S, Port 993/TCP protocole IMAPS
Forum (nntp) Ports 119/TCP protocole NNTP
Partage de fichiers (smb) Ports 137/UDP, 138/UDP, 139/TCP, 445/TCP protocole SMB
Annuaire LDAP Port 389/TCP protocole LDAP
Connexion sécurisée à distance (ssh) Port 22/TCP protocole SSH
KWARTZ~Control Port 9999/TCP protocole HTTPS
Console KMC Port 4443/TCP protocole HTTPS
Connexion réseau privé virtuel (pptp) Port 1723 – TCP – Protocoles GRE, PPTP
Maintenance Iris (ssh) Port 22/TCP pour une adresse IP spécifique
Nota :
Le protocole NTP (service de temps sur le port 123/UDP) n’est pas visible dans cette liste mais est ouvert en
sortie par défaut. Nous conseillons d’utiliser, pour les équipements du réseau, la synchronisation horaire avec
le serveur (script ‘logon.bat’).

On distingue plusieurs colonnes :

a) Pour le serveur : en entrée.
Cette colonne concerne la carte réseau 2 du serveur ‘Kwartz’ (qui permet l’accès depuis l’Internet : WAN).
L’activation des services dans cette colonne permet de mettre à disposition des usagers de l’Internet un ou
plusieurs services fonctionnant SUR le serveur ‘Kwartz’.
Nous allons détailler les différents services usuels proposés pour l’accès au serveur depuis l’Internet.
Option proposée par
Remarques concernant l’activation.
le serveur ‘Kwartz’
L’activation de cette option permet à un usager de l’Internet de tester si le serveur
est joignable depuis le réseau étendu (WAN).
Ping
Il est déconseillé d’activer cette option qui est très souvent utilisée par les pirates
informatiques pour tester la présence d’une machine depuis l’Internet.
Si cette option est active, elle met à disposition des usagers de l’Internet le service
http (fonctionnant sur le port 8080/TCP) du serveur qui permet d’accéder aux sites
Extranet ‘Kwartz’
web stockés sur le serveur ‘Kwartz’ (Extranet).
non sécurisé (http)
Les propriétés de l’option « Services web » du menu « Services » de
‘Kwartz~Control’ permettent de paramétrer ce type d’accès.
Si cette option est active, elle met à disposition des usagers de l’Internet le service
https (fonctionnant sur le port 8443/TCP) du serveur qui permet d’accéder de
manière sécurisée (transmission chiffrée) aux sites web stockés sur le serveur
‘Kwartz’.
Extranet ‘Kwartz’
On utilisera ce type d’accès à partir du moment où l’on transmettra des données
sécurisé (https)
confidentielles au travers du réseau (page d’authentification par compte et mot de
passe par exemple).
Les propriétés de l’option « Services web » du menu « Services » de
‘Kwartz~Control’ permettent de paramétrer ce type d’accès.
Si cette option est active, elle permettra aux usagers de l’Internet d’accéder aux
fichiers stockés sur le serveur (du moins, ceux qui sont autorisés à l’usager).
Transfert de fichiers Nous déconseillons l’ouverture de ce service car il demande une authentification qui
(ftp) circulera ‘en clair’ sur le réseau. Nous vous conseillons d’utiliser ‘Owncloud’ ou un
client ‘WebDAV’ (https) pour déposer/récupérer des fichiers de votre espace de
stockage sur le serveur ‘Kwartz’. Ce service utilise les ports standards 20 et 21/TCP.

Daip Page 3 sur 9 13/11/2018

 L’activation de cette option permet à un usager de l’Internet d’utiliser le service de
Réception de
réception de courriers (Pop-3 : port 110/TCP et/ou Imap ; port 143/TCP) s’exécutant
courrier pop-3,
sur le serveur ‘Kwartz’ (lecture des messages stockés sur le serveur).
Imap)
Nous vous déconseillons d’ouvrir ce service.
L’activation de cette option permet à un usager de l’Internet d’utiliser le service de
Réception de
réception de courriers (Pop3s : port 995/TCP et/ou Imaps ; port 993/TCP)
courrier sécurisée
s’exécutant sur le serveur ‘Kwartz’.
(pop3s, imaps)
Nous vous déconseillons d’ouvrir ce service (Utilisez plutôt Owncloud).
L’activation de cette option permet de mettre à disposition des utilisateurs du Wan
Partage de fichiers les partages réseau Microsoft du serveur (dont le partage ‘ProgRW’ accessible à
(smb) tous en lecture/écriture et sans restriction).
Nous vous déconseillons d’ouvrir ce service.
L’annuaire est un service d’authentification qui ne doit être accessible que sur le
Annuaire LDAP réseau local (port 389/TCP et port 3268/TCP pour Active directory).
Il est très fortement déconseillé d’activer ce service.
L’activation de cette option permet à un usager de l’Internet de s’authentifier de
manière sécurisée (https sur le port 9999/TCP) afin d’accéder à l’interface de
gestion du serveur. Cette option permet à la PRTICE de pouvoir gérer le serveur à
‘Kwartz~Control’ distance. Cette option est active par défaut et le mot de passe utilisé doit être
complexe.
Une alerte de sécurité apparaîtra si le certificat du serveur ‘Kwartz’ est autosigné
(non validé par une autorité de certification externe).
L’activation de cette option permet à un usager de l’Internet de s’authentifier de
manière sécurisée (https sur le port 4443) afin d’accéder à l’interface de gestion des
tablettes de l’établissement. Cette option est active par défaut si le module ‘KMC’ a
Console ‘KMC’
été acquis.
Une alerte de sécurité apparaîtra si le certificat du serveur ‘Kwartz’ est autosigné.
(non validé par une autorité de certification externe).
Cette option permet à un poste de l’Internet (après authentification sécurisée de
Connexion réseau
l’usager) d’établir un tunnel sécurisé pour accéder au réseau de l’établissement.
virtuel (pptp)
Cette option ne doit être active qui si vous utilisez cette fonctionnalité.
Cette option permet à l’éditeur de la solution ‘Kwartz’ d’établir une connexion
Maintenance Iris sécurisée avec votre serveur. Cette connexion sécurisée est utilisée dans le cadre
(ssh) des maintenances et mises à jour pouvant intervenir.
Cette option doit toujours être active.

b) Pour le serveur : en sortie.

Cette colonne concerne la carte réseau 2 du serveur qui permet l’accès à l’Internet pour les services
s’exécutant sur le serveur ‘Kwartz’.
L’activation des services dans cette colonne permet au serveur ‘Kwartz’ de se connecter sur des services
externes disponibles sur l’Internet.
Nous allons détailler les différents services usuels proposés pour l’accès du serveur vers l’Internet.
Option proposée par
Remarques concernant l’activation.
le serveur ‘Kwartz’
Ping Par défaut, le serveur peut effectuer un ‘ping’ sur les machines du Wan.
Cette option, qui doit être active, permet au service Proxy exécuté par le serveur
Web, pages internet
‘Kwartz’ de transmettre les demandes des postes du LAN pour les accès Internet en
(http, https)
http (port 80/TCP) et https (port 443/TCP).
Extranet ‘Kwartz’
Le serveur Kwartz peut-il effectuer des requêtes http (port 8080/TCP) ?
non sécurisé (http)
Extranet ‘Kwartz’
Le serveur Kwartz peut-il effectuer des requêtes https (port 4443/TCP) ?
sécurisé (https)
Transfert de fichiers Le serveur ‘Kwartz’ peut-il effectuer des requêtes FTP (port 20 et 21/TCP) sur les
(ftp) machines du WAN ?

Daip Page 4 sur 9 13/11/2018

 Le serveur ‘Kwartz’ peut-il se connecter à un serveur de l’Internet pop3 (port 110)
Réception de
et/ou Imap (port 143) afin de rapatrier les courriers externes de ses utilisateurs ?
courrier pop-3,
Cette option sera dépendante de votre configuration.
Imap)
Dans la majorité des cas cette option sera désactivée.
Le serveur peut-il se connecter à un serveur de l’Internet pop3s (port 995) et/ou
Réception de
Imaps (port 993) afin de rapatrier le courrier externe de ses utilisateurs ?
courrier sécurisée
Cette option sera dépendante de votre configuration.
(pop3s, imaps)
Dans la majorité des cas cette option sera désactivée.
L’activation de cette option permet au serveur ‘Kwartz’ d’accéder aux partages
Partage de fichiers
réseau Microsoft des machines du Wan.
(smb)
Dans la majorité des cas cette option sera désactivée.
L’activation de ce service permet au serveur ‘Kwartz’ de se connecter à des
Annuaire LDAP annuaires externes sur les ports 389/TCP et 3268/TCP pour Active directory.
Dans la majorité des cas, cette option sera désactivée.
Permet au serveur ‘Kwartz’ de se connecter en ssh (port 22/TCP) sur des serveurs
Connexion sécurisée
externes. Par exemple, l’option « Assistance à distance » de ‘Kwartz~Control’
à distance (ssh)
permet de gérer cela. Dans la majorité des cas cette option sera activée.
Permet au serveur ‘Kwartz’ de se connecter en https sur le port 9999/TCP sur
‘Kwartz~Control’ d’autres services ‘Kwartz~Control ‘disponibles sur l’Internet.
Dans la majorité des cas cette option sera désactivée.
Permet au serveur ‘Kwartz’ de se connecter en https sur le port 4443/TCP sur
Console ‘KMC’ d’autres services ‘Kwartz~KMC’ disponibles sur l’Internet.
Dans la majorité des cas cette option sera désactivée.
Cette option permet au serveur ‘Kwartz’ d’établir un tunnel sécurisé pour accéder à
Connexion réseau
un poste du WAN.
virtuel (pptp)
Utilisez l’option par défaut pour ce service.
c) Pour tous les postes
Cette colonne concerne la carte réseau 1 du serveur ‘Kwartz’ et permet la communication de TOUT OU PARTIE
DES POSTES du réseau local avec l’extérieur (WAN).
L’activation des services dans cette colonne permet à l’ensemble des postes du réseau local (LAN) de se
connecter directement sur des services externes disponibles sur l’Internet.
Nous allons détailler les différents services usuels proposés pour l’accès du serveur vers l’Internet.
Option proposée par
Remarques concernant l’activation.
le serveur ‘Kwartz’
Ping Les postes du réseau local peuvent-il effectuer un ‘ping’ sur les postes du WAN ?
Extranet ‘Kwartz’ L’ensemble des postes du réseau local (LAN) peuvent-il effectuer des requêtes http
non sécurisé (http) sur le port 8080/TCP ?
Extranet Kwartz L’ensemble des postes du réseau local (LAN) peuvent-il effectuer des requêtes https
sécurisé (https) sur le port 8443/TCP ?
L’ensemble des postes du réseau local (LAN) peuvent-il effectuer des requêtes FTP
Transfert de fichiers
(port 20 et 21/TCP) sur les machines du WAN ?
(ftp)
Nous déconseillons d’utiliser ce protocole qui n’est pas sécurisé.
L’ensemble des postes du réseau local (LAN) peuvent-il se connecter à un serveur de
messagerie de l’Internet en pop3 (port 110) et/ou Imap (port 143) afin de rapatrier
Réception de du courrier externe ?
courrier pop-3, Cette option sera dépendante de votre configuration.
Imap) En cas d’activation, il sera probablement nécessaire d’activer le port SMTP 25/TCP
afin que ces postes puissent aussi envoyer du courrier sans passer par
l’intermédiaire du serveur ‘Kwartz’. Ces protocoles ne sont pas forcément sécurisés.
L’ensemble des postes du réseau local (LAN) peuvent-il se connecter de manière
sécurisés à un serveur de messagerie de l’Internet en pop3s (port 995/TCP) et/ou
Réception de Imap (port 993/TCP) afin de rapatrier du courrier externe ?
courrier sécurisée Cette option sera dépendante de votre configuration.
(pop3s, imaps) En cas d’activation, il sera probablement nécessaire d’activer les ports SMTPS
465/TCP (SSL) et/ou 587/TCP (TLS) afin que ces postes puissent aussi envoyer de
manière sécurisée du courrier sans passer par l’intermédiaire du serveur Kwartz.
Daip Page 5 sur 9 13/11/2018
 L’activation de cette option permet à l’ensemble des postes du réseau d’accéder
MSM / Windows Live
aux services MSM/Messenger situés sur l’Internet.
Messenger
En général, cette option est désactivée.
Cette option permet à l’ensemble des postes du réseau local de se connecter aux
Forum (nntp) serveurs de news (nntp sur le port 119/TCP et/ou 563/TCP) de l’Internet.
Cette option est désactivée par défaut.
L’activation de cette option permet à l’ensemble des postes du réseau local (LAN)
Partage de fichiers
d’accéder aux partages réseau ‘Microsoft’ des machines du Wan.
(smb)
Nous vous déconseillons d’ouvrir ce service.
L’activation de ce service permet à l’ensemble des postes du réseau local (LAN) de
se connecter à des annuaires LDAP ou active directory du WAN (sur les ports
Annuaire LDAP
389/TCP et 3268/TCP pour Active directory).
Cette option est généralement désactivée.
Permet à l’ensemble des postes du réseau local (LAN) de se connecter en ssh (port
Connexion sécurisée
22/TCP) sur des serveurs externes.
à distance (ssh)
Cette option est généralement désactivée.
Cette option permet à l’ensemble des postes du réseau local (LAN) de se connecter
en https sur le port 9999/TCP sur l’interface ‘Kwartz~Control’ des serveurs
‘Kwartz~Control’
disponibles sur l’Internet.
Cette option est généralement désactivée.
Permet à l’ensemble des postes du réseau local (LAN) de se connecter en https sur
Console ‘KMC’ le port 4443/TCP sur d’autres services ‘KMC’ disponibles sur l’Internet.
Cette option est généralement désactivée.
Cette option permet à l’ensemble des postes du réseau local (LAN) d’établir un
Connexion réseau
tunnel sécurisé PPTP pour accéder à un poste de l’Internet.
virtuel (pptp)
Cette option est généralement désactivée.
Le pare-feu : Les autres services
Cette rubrique vous permet de créer vos propres règles d’accès.
Nous vous mettons en garde concernant la création de ces règles car il est facile de créer des règles qui peuvent
être potentiellement dangereuses pour votre serveur/réseau (ouverture de port en entrée sur le serveur) ou des
règles qui ne correspondent pas à la législation en vigueur (Sécurité des mineurs : filtrage d’accès, obligation de
garder les traces des connexions, etc.).
Pour pouvoir créer de manière efficace une règle personnalisée, il vous faudra vous poser les questions
suivantes :
« Qu’est-ce que je veux faire exactement ? ».
« Quelle est(sont) la(les) machine(s) du réseau local concernée(s) ? ».
« Le serveur ‘Kwartz’ est-il aussi concerné par cette action ? ».
« Quelle méthode vais-je utiliser afin de pouvoir exploiter le service envisagé ? »
« Cette méthode va mettre en œuvre une communication réseau :
- Quel(s) sera(seront) le(s) émetteur(s)/initiateur(s) de la communication ?
- Quel sera le récepteur de la communication ?
- Quels seront les ports de communication et protocoles concernés pour l’émetteur (et quelquefois du
récepteur) ? »
Remarque importante
Il ne faut absolument pas ouvrir tous les ports et tous les protocoles pour un ou plusieurs postes du réseau
local.
Afin de donner accès à certains services du web pour un poste ou pour un usager spécifique, on utilisera
l’option « Accès à Internet » du menu « Sécurité » de ‘Kwartz~Control’ (profil des postes, profil des
utilisateurs).
Cette possibilité d’ouverture complète devra être utilisée uniquement dans le cadre de tests particuliers
(mise au point d’une règle par exemple) mais devra être supprimée (ou désactivée) dès que possible.
N’oubliez jamais que vous n’êtes pas seul sur Internet et que si vous pouvez accéder à des machines/services
du Net, les usagers du Net peuvent aussi potentiellement accéder à votre serveur et vos postes.

Daip Page 6 sur 9 13/11/2018

 Quelques exemples :
a) Je veux que l’ensemble des postes de mon réseau local (postes professeurs) puisse se connecter au serveur
‘Pronote’ figurant sur le DMZ (patte N° 4 du boîtier ‘Fortinet’).
1) Pour cela, un professeur doit pouvoir se connecter sur l’un des postes du réseau local (LAN).
=> Tous les postes sont potentiellement concernés (colonne 3 active)
2) Le serveur ‘Kwartz’ n’est pas concerné par cette action car aucun service du serveur ‘Kwartz’ n’accède au
serveur Pronotes.
=> Colonne 2 non active.
3) Le professeur va utiliser un logiciel (client Pronote) pour pouvoir se connecter au serveur Pronote.
4) Le client Pronote se connecte sur le port 49300/TCP (par défaut) du serveur ‘Pronote’ (j’ai consulté la
documentation technique pour savoir cela…).
=> Port 49300 en TCP.
La réciproque n’est pas vraie : le serveur Pronote ne se connecte pas sur le serveur Kwartz (Il n’existe pas
d’applicatif utilisant le port 49300 sur le serveur : ce port n’est pas en écoute sur le serveur).
=> Colonne 1 non active.
Je vais créer la règle qui permettra aux postes du réseau local d’accéder à mon serveur Pronote en DMZ.

b) Je désire que le poste du documentaliste puisse bénéficier des services externes ‘e-sidoc’ (duplication des
bases BCDI) installés sur son poste.
1) Cela ne concerne que le poste du documentaliste.
=> Colonne 3 pour le documentaliste (l’adresse IP de son poste). Les autres colonnes ne seront pas
concernées.
2) La documentation technique mentionne que pour exploiter ces services le poste concerné doit accéder à
des ressources de l’Internet par :
- L’ensemble des ports 1024 à 1028/TCP.
 Il faudra créer une règle pour le poste du documentaliste qui permettra la sortie en TCP sur les
ports 1024 à 1028.
(IP du poste du documentaliste)
- Le port de connexion 990/TCP devra être utilisé pour le transfert FTPS depuis le poste concerné.
 Il faudra créer une règle pour le poste du documentaliste (colonne 3) qui permettra la sortie en
TCP sur le port 990/TCP.
(IP du poste du documentaliste)
- Une connexion web sur les ports 80/TCP est 443/TCP devra aussi être possible à partir du poste
concerné.
 Ici les accès sur les ports 80/TCP et 443/TPC s’effectuent déjà pour tous les postes du réseau par
l’intermédiaire du service proxy du serveur ‘Kwartz’. Il faudra donc s’assurer que le système du poste du
documentaliste utilise bien le serveur proxy du serveur ‘Kwartz’ sur le port 3128.
On s’assurera ensuite que le service ‘e-sidoc’ est fonctionnel sur le poste du documentaliste en activant
l’application.

Daip Page 7 sur 9 13/11/2018

La redirection des ports
La redirection de ports permet de rendre disponible à partir d’Internet un service s’exécutant sur un poste du
réseau local. Le schéma ci-dessous illustre cette fonctionnalité.

Remarque importante :
Il est impératif de ne pas utiliser un port d‘entrée qui est déjà utilisé par un service s’exécutant sur le serveur
‘Kwartz’ (80, 8080, 443, 4443, 9000 : serveur ‘BCDI’, etc.).
Il est recommandé de prêter une attention particulière lors de la création d’une redirection car une mauvaise
configuration peut potentiellement mettre en danger la machine cible (voire le réseau local).
Un exemple de redirection.
M. Dupont, professeur de technologie, me demande de mettre en place un accès à partir d’Internet à un
applicatif Web d’un serveur du réseau local qui permet le pilotage d’un équipement industriel. Cette
application demande une authentification avant accès.
Cet accès est déjà opérationnel à partir du réseau local mais pas à partir d’Internet.
Cet applicatif utilise le protocole https sur le port standard (443/TCP).
Cet accès ne concerne que l’enseignant et permettra la préparation des travaux des élèves.
Dans ce cas de figure, il faudra :
- S’assurer que le service utilisable sur le poste soit suffisamment sécurisé pour être exposé sur le Net :
mise à jour du système, des applicatifs installés, de l’antivirus, un pare-feu n’autorisant que les accès
entrant nécessaires, etc., mot de passe d’accès au service.
- Etre certain que les accès depuis le Net s’effectueront uniquement à partir du poste personnel de
l’enseignant (adresse IP qui ne changera pas).
- Se demander quel sera le port d’entrée à utiliser au niveau du serveur et vers quel port d’entrée
rediriger au niveau de l’équipement sur le réseau local.
Suivant ce qui a été dit ci-dessus, j’ai effectué les opérations suivantes :
a) Sur le poste du réseau local (LAN) qui sera exposé sur l’Internet.
- Mise à jour du système (et vérification du bon fonctionnement).
- Mise à jour des applicatifs installés (et vérification du bon fonctionnement).
- Mise à jour (et vérification du bon fonctionnement) des mises à jour antivirales.
- Ouverture en entrée du port 443 dans le pare-feu (et suppression des règles d’entrée en ouverture
inutiles).
- Vérification que le mot de passe d’accès à l’applicatif utilise un mot de passe fort (exemple : 8
caractères minimum, 1 majuscule minimum, 1 minuscule minimum, 1 chiffre minimum, 1 symbole
minimum).
- J’ai relevé l’adresse IP du poste (qui doit être une adresse réservée allouée par le serveur : poste
client). Ici 172.16.254.200.
b) Sur le poste du professeur (à son domicile).
- J’ai récupéré l’adresse IP publique fixe du poste de l’enseignant. Ici 194.195.196.198.

Daip Page 8 sur 9 13/11/2018

 c) Sur le serveur ‘Kwartz’.
- J’ai vérifié que le port 443 n’est pas utilisé. Cela n’est pas le cas car le service Web sécurisé du
serveur ‘Kwartz’ l’utilise (port 4443 avec redirection vers le port 443 pour les accès à Owncloud,
horde3, sites web, etc.).
J’ai donc choisi le port d’entrée 3333 qui est supérieur à 1024 (ports standards du système) et qui
n’est pas utilisé par le serveur.
- J’ai mis en place la redirection suivante :

- Le professeur testera la bonne connexion à partir de son domicile.

Le trafic entre deux réseaux
Nous n’évoquerons pas cette fonctionnalité dans ce document car cela concerne essentiellement des
configurations matérielles comportant plus de 2 (ou 3) cartes réseau (ce qui n’est pas la majorité des cas).
Si vous disposez d’une telle configuration, nous vous conseillons de vous rapprocher de votre Baip afin de
configurer cette fonctionnalité suivant vos besoins.
Les accès Internet
Un prochain document portera sur les accès Internet à partir des équipements du réseau local afin de ne pas
surcharger ce document. Nous vous conseillons de vérifier régulièrement la présence de nouveaux documents
techniques sur notre site web : https://webdaip.ac-lille.fr rubrique « SI et numérique » / « Fiches techniques »..
Conclusion
Nous espérons que ce document vous aura permis de mieux appréhender la configuration des accès à l’Internet
de votre serveur.
Vous pouvez laisser vos commentaires et questions sur notre forum : https://forums-daip.ac-lille.fr.

Daip Page 9 sur 9 13/11/2018