Re: Solution Firewall+Passerelle
papyrus a écrit :
> Bonjour,
>
Bonjour,
> étant mutli-tâche (comme windows ? je déconne ;-) je dois mettre en
> place un firewall sur mon réseau d'entreprise.
>
> J'aurais besoin de vous sur deux ou trois points ou j'ai un petit doute :
>
> 1/ La debian Sarge prend'elle en charge un routeur SDSL ?
>
Oui, j'ai deja configuré des SDSL aussi bien en PPP qu'en ethernet de
base (suivant le type de SDSL que tu as souscrit). Le mode PPP peut etre
capricieux, si tu es dans cette configuration, je te conseille d'opter
pour l'achat d'une plage de 2 adresses IP (une pour le routeur du FAI,
une pour ta debian)
> 2/ Dans le cadre d'une passerelle+firewall était'il nécessaire de
> mettre en place une solution de mis à jour avec apt je crois ?
> Personnelement je vois pas l'utilité étant donné que le poste ne fera
> que du filtrage en gros, mais je préfère avoir votre avis pour savoir
> si je dois me plonger dans apt également ?
>
Quel que soit le système (Debian, windows, routeur, switch ...), il faut
assurer les mises a jour.
> 3/ Nous avons un serveur win2003 avec Exchange 2003 qui va bien. Il se
> connecte sur un serveur sur un compte pop3 pour récupérer les mails
> (normal), je voulais savoir si on a une solution pour filtrer les
> mails qui vont donc passé par le firewall ? J'entend par là le satané
> mot SPAM, peut 'on dans les règles de filtrage analysé un message que
> l'on va récupérer sur un serveur et décidé ou non de l'envoyer sur le
> serveur de messagerie. Je commence un peu à potasser la doc nux et il
> existe un soft Ethreal pour analyser les trames ip il me semble,
> peut'on le coupler avec iptables pour surveiller les trams entrantes
> et supprimer tous ce qui contient les mots
> 'viagra,dollar,drug.......etc'. Je sais que sur le serveur à Paris il
> utilise spamassassin (mais à priori celui-ci doit tourner sur le
> serveur de messagerie lui même). Malheureusement les utilisateurs ne
> sont pas trop satisfaits de cette solution car malgré tous ils en
> reçoivent une bonne dizaine par jour en moyenne, à moins qu'à Paris il
> ne l'ont pas régler correctement...
>
Spamassassin s'utilise en inserant une passerelle SMTP entre l'exterieur
et ton serveur exchange, c'est assez efficace mais il y d'autre
solution. Il y a eu une discussion la dessus ici il y a à peine quelques
jours. Pour un filtrage directement sur le flux (sans passerelle SMTP),
tu peux peut etre voir du coté de snort ou equivalent s'il ne peut pas
le faire.
> Je sais qu'il existe un linux-project-router qui tiens sur une
> disquette et qui pourrais presque faire mon affaire, mais n'ayant pas
> d'impératif je me suis décidé à mettre une debian, ça me fera pas de
> mal de potasser un peu et d'élargir mes connaissances à moins que vous
> me conseiller vraiment d'utilisé cette distrib pour mon projet.
>
> La configuration :
>
> - 2 serveurs, 1 win2003 (messagerie, fichier, impression), 1 wintNT4
> (autonome, fichier)
>
> - 1 routeur SDSL
>
> - un parc machine de 80 postes, sous winXP et win2000 (bientôt passé à
> 100 postes)
>
> - Le poste firewall sera surement un P3 500 (pour la ram là j'ai 64 là
> mais ça va être un peu juste je pense) ou un plus gros si besoin (je
> suppose que c'est la RAM qui va définir la vitesse de filtre des
> trames IP ?)
>
> - 2 Cartes réseaux 10/100 non choisies pour l'instant, peut 'on mettre
> du 1000 sous debian ? Car on a pas mal de traffic réseau et j'aimerais
> pas trop que le firewall rame et ralentisse le réseau....
>
Plusieurs cartes gigabits sont supportés par linux. Suivant la qualité
du pilote, tu arrivera plus ou moins a 1 gigabit a condition d'avoir un
lien qui le permette. Avec les 4 Mbits maxi des SDSL, tu es très loin de
saturé une carte 100 (peut-etre une 10!)
> Merci pour vos conseils.
>
De rien.
Reply to: