Bonjour,
Cela va faire 6 ans que j'utilise un Linux comme routeur/parefeu.
J'envisage de passer à une solution matériel afin de bénéficier d'une solution plus maintenable et mettre en place de la haute disponibilité pour mon PRA car je ne vois pas comment je peux assurer simplement le basculement de mon infrastructure en cas de dis-fonctionnement.
Mes besoins sont les suivant:
- j'interconnecte en gros 40 réseaux avec différentes règles.
- J'ai des piques à 7000 connexions simultanées
- Un proxy transparent ou non (http,https, smtp, pop).
- Antivirus
- IDS
- Un système de log des connexions.
- au moins 8 port Gigabyte sur lequel , je peux mettre au moins 40 VLAN.
- Routage des paquets.
- NAT pour des trucs tordu, genre SNAT ou DNAT qui dépanne quand on a pas la main sur la source ou la destination.
- Une interface en ligne de commande pour scripter l'ensemble.
- Support simple de la haute disponibilité.
- Et pour l'avenir support IPv6.
Vous me recommanderiez quoi ?
Merci d'avance.
# Marque déposée
Posté par nono14 (site web personnel) . Évalué à 3.
s/Gigabyte/gigabit
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: Marque déposée
Posté par syj . Évalué à 1.
Je sais , j'étais un peu exigeant :).
# appliance ou home made ?
Posté par steph1978 . Évalué à 3.
_
En appliance, de sérieux, je connais ça.
c'est du Linux globalement.
faut juste mettre le prix pour avoir la bonne puissance en fonction de tes besoins.
En home made, il y a quelques distributions faîtes pour ça:
pfSense, m0n0wall, IPCope, et surement beaucoup d'autres.
faut investiguer un peu le dynamisme de la communauté pour être sûr d'avoir des réponses en cas de problème et des mise à jour régulière.
[^] # Re: appliance ou home made ?
Posté par Fabien . Évalué à 3.
Je rajoute OpenBSD à la liste, ça tombe bien la 5.0 vient de sortir.
Il peux gérer tous les pré-requis concernant le firewalling et la haute disponibilité.
[^] # Re: appliance ou home made ?
Posté par nono14 (site web personnel) . Évalué à 4.
+1, pf, pfsync, carp...
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: appliance ou home made ?
Posté par syj . Évalué à 1.
Merci, j'ai regardé. Effectivement, cela semble très intéressant.
J'ai commencé à étudier avec des Dell R510 (dont 2 carte Intel 4 port 1Gb/s ethernet) mais il semble que d'autres ont eu des problèmes. Dommage, çà me faisait une solution redondante à 4000 euros Open Source (garanti 3 ans sur site à J+1).
Auriez-vous des recommandations de matériel par exemple. Une configuration HP rackable qui fonctionnerait bien.
[^] # Re: appliance ou home made ?
Posté par maxix . Évalué à 1.
Au moins, y'en a qui ont essayé
[^] # Re: appliance ou home made ?
Posté par Fabien . Évalué à 0.
Sans plus de précisions et sûrement d'envie, il va pas aller loin.
Sinon, il me semble que j'avais des dell 1950 avec des cartes quad port gigabyte qui fonctionnaient bien.
[^] # Re: appliance ou home made ?
Posté par nono14 (site web personnel) . Évalué à 3.
serveur transtec 1U ( 2 port gigabit integrés ) + carte quad port intel 1000 = ( 4 + 2 = 6 ports )
Ajout d'une 2eme carte quad port possible ?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
# C'est pour bientôt
Posté par Zarmakuizz (site web personnel) . Évalué à -2.
Le pare-feu LibreOffice vient enfin d'intégrer le support d'IPv6, le reste devrait suivre tantôt :
http://fr.answers.yahoo.com/question/index?qid=20110519142032AA49PKg
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
# Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: ucarp ?
Posté par Fabien . Évalué à 2.
faisable d'accord, mais simple ...
par contre, pour un cluster HA de firewall (sans perte de connexions), faudra utiliser d'autres outils.
c'est là que se place OpenBSD (faisable avec FreeBSD et peut être avec les autres, mais bon, autant utiliser l'original):
- 1 ligne pour faire de l'aggrégation de liens
- 1 ligne pour monter le partage d'adresses carp
- 1 ligne pour la synchro de la table d'états du firewall
- sûrement beaucoup moins de lignes pf que iptables
pour le reste des prérequis, ça doit être réalisable :
un coup de pflog vers un rsyslog distant fera l'affaire
pour le routage y a tous les outils
...
en plus, du greylisting avec pf, un load balancer utilisant pf (donc HA sans perte de connexions), du vpn ipsec en HA ...
je pense vraiment que cette solution mérite d'être envisagée / testée avant de dépenser un paquet de brouzouf dans l'appliance proposée (quel prix ?).
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.