sich wrote:
Tu fais une installe minimale, tu enlèves tout ce dont tu n'as pas besoin (interface graphique par exemple). Tu mets ssh, et tu contrôles tout à distance.Bonsoir, Je vais devoir monter une solution de pare feu dans ma societé. Voici les contraintes :- Impossibilité de toucher au plan d'adressage, on est intégré dans un grand wan et par conséquent impossible d'obtenir ou de modifier les plages ip en place. Par contre on est libre d'utiliser les ips comme bon nous semble à l'intérieur des plages ip dont on dispose. - Utilisation de deux machines en fail over. Au cas où une des machines tombe en rade la 2° prend automatiquement le relais. Un peu comme nos routeur cisco, chacun a son ip (.252 et .253) et à eux deux ils émulent une ip en .254 qui sert de passerelle.- Pose des machines pare feu à l'intérieur d'une seule plage ip... Idées de départ : Pour faire tourner ça je pense à deux debian stable avec noyau 2.4.x.
Concernant le fait de poser les pare feu à l'intérieur d'une plage ip j'ai pensé au bridge. Je ne l'ai jamais mis en oeuvre mais j'ai lu quelques docs. En fait le bridge n'a pas d'ip propre, lorsque l'on fait un traceroute on ne le voit pas, et on ne peux pas le pinger (il n'a pas d'ip). Ce qui lui permet d'être à l'intérieur d'une seule plage en étant à l'écoute des paquets réseau... D'après ce que j'en ai compris pour le moment.Oui et non ... le switch effectivement ne fait que du niveau 2, donc ne gère pas l'IP donc n'a pas d'adresse IP, contrairement au routeur. Voilà pour la théorie. En pratique, les switchs pour être administrables (à distance) peuvent avoir une adresse IP. On peut donc effectuer un ping sur eux. En revanche, je pense qu'un traceroute ne les voit pas étant donné que la gestion des flux ne se fait qu'au niveau 2. D'ailleurs, étant donné que ton switch sous Linux a une pile TCP/IP complète, il peut jouer le rôle de switch, mais effectuer du filtrage au niveau 2 _et_ 3 (http://www.lea-linux.org/reseau/pont-filtrant.html).
Pour le failover je n'ai pas encore d'idée... Peux être qu'avec deux bridges faire en sorte que chaque machine soit autonome mais qu'elles remplissent chacune leur rôle... Et là comment cela se passe t'il pour éviter tout conflit ?Conflit d'adresse IP ? Pas de risque étant donné que tes machines ne font pas passerelle IP. Ce que tu peux faire, c'est faire une boucle :
|machine1|-----/swicth matériel\
| |
| |
________|____ __|__________
/switch linux1\ /switch linux2\
| |
| |
_|___________|_
/switch matériel\-----|machine2|
Attention, le fait d'introduire une boucle t'oblige à installer
du spanning-tree, sinon ton réseau va s'engorger. Le
spanning-tree va établir un chemin unique pour aller de machine1
à machine2. En cas de changement (coupure d'un lien, panne d'un
équipement), le STP (P pour Protocol) va recalculer un nouveau
chemin. Je ne connais pas les temps de basculement en revanche.
Mais dans le schéma simpliste que j'ai fait, on voit qu'il peut y avoir un pb de point unique de défaillance sur les switchs matériels. Donc soit revoir l'architecture pour que les switchs linux soit connectés à des switchs matériels distincts, soit bien superviser ces équipements pour réagir rapidement en cas de panne (snmp ou ping). Si on parle de panne logicielle et pas de panne matérielle pour le failover, regarde du côté de watchdog (logiciel suffit). Je n'ai pas vraiment réussi à le faire fonctionner ... Sinon, hearthbeat.
J'ai installé des firewalls et des VPN en me basant sur GNU/Linux (Debian). La robustesse de cette architecture est impressionnante. Une fois bien configuré, peu de risque que ton firewall tombe et empêchent les 300 personnes de travailler. Petit détail : dans la comparaison entre logiciel/matériel propriétaire et libre, quand ton chef verra qu'il y gagne, ce serait sympa (voir logique) qu'il verse une partie de l'argent/temps gagné à la communauté du logiciel libre :) Free veut pas dire gratuit, mais libre ... aussi dans la façon de "payer" ;)Pour la petite histoire la demande vient de mon chef de service (informatique) très anti linux jusqu'à peu.. J'ai réussi à lui démontrer la fiabilité de linux avec une Debian stable pour faire serveur LAMP, maintenant il est prêt à passer sur un linux pour un service critique (les pare feu qui tombe et c'est un site avec 300 personnes qui ne peuvent plus bosser).
Evidemment je dois étudier trois solutions et les maquetter. A savoir une solution win, une linux et regarder ce qui se fait du coté matériel...Pour ma part je vais continuer mes recherches mais si je pouvais avoir quelques petites pistes supplémentaire ça ne serait pas mal.
C'est fait :) Guillaume