RE : Solution Firewall+Passerelle

To: <debian-user-french@lists.debian.org>
Subject: RE : Solution Firewall+Passerelle
From: "Raphael RIGNIER" <raphael@rignier.com>
Date: Thu, 24 Nov 2005 14:56:28 +0100
Message-id: <[🔎] 00ad01c5f0fe$de133f90$0a02a8c0@pedago.cpechartreux.com>
In-reply-to: <[🔎] 9531596.1132828660919.JavaMail.www@wwinf1513>

Bonjour,
étant mutli-tâche (comme windows ? je déconne ;-) je dois mettre en place un
firewall sur mon réseau d'entreprise. 
J'aurais besoin de vous sur deux ou trois points ou j'ai un petit doute :
1/ La debian Sarge prend'elle en charge un routeur SDSL ?
2/ Dans le cadre d'une passerelle+firewall était'il nécessaire de mettre en
place une solution de mis à jour avec apt je crois ? Personnelement je vois
pas l'utilité étant donné que le poste ne fera que du filtrage en gros, mais
je préfère avoir votre avis pour savoir si je dois me plonger dans apt
également ?
3/ Nous avons un serveur win2003 avec Exchange 2003 qui va bien. Il se
connecte sur un serveur sur un compte pop3 pour récupérer les mails
(normal), je voulais savoir si on a une solution pour filtrer les mails qui
vont donc passé par le firewall ? J'entend par là le satané mot SPAM, peut
'on dans les règles de filtrage analysé un message que l'on va récupérer sur
un serveur et décidé ou non de l'envoyer sur le serveur de messagerie. Je
commence un peu à potasser la doc nux et il existe un soft Ethreal pour
analyser les trames ip il me semble, peut'on le coupler avec iptables pour
surveiller les trams entrantes et supprimer tous ce qui contient les mots
'viagra,dollar,drug.......etc'. Je sais que sur le serveur à Paris il
utilise spamassassin (mais à priori celui-ci doit tourner sur le serveur de
messagerie lui même). Malheureusement les utilisateurs ne sont pas trop
satisfaits de cette solution car malgré tous ils en reçoivent une bonne
dizaine par jour en moyenne, à moins qu'à Paris il ne l'ont pas régler
correctement...
Je sais qu'il exsiste un linux-project-router qui tiens sur une disquette et
qui pourrais presque faire mon affaire, mais n'ayant pas d'impératif je me
suis décidé à mettre une debian, ça me fera pas de mal de potasser un peu et
d'élargir mes connaissances à moins que vous me conseiller vraiment
d'utilisé cette distrib pour mon projet.
La configuration :
- 2 serveurs, 1 win2003 (messagerie, fichier, impression), 1 wintNT4
(autonome, fichier)
- 1 routeur SDSL
- un parc machine de 80 postes, sous winXP et win2000 (bientôt passé à 100
postes)
- Le poste firewall sera surement un P3 500 (pour la ram là j'ai 64 là mais
ça va être un peu juste je pense) ou un plus gros si besoin (je suppose que
c'est la RAM qui va définir la vitesse de filtre des trames IP ?)
- 2 Cartes réseaux 10/100 non choisies pour l'instant, peut 'on mettre du
1000 sous debian ? Car on a pas mal de traffic réseau et j'aimerais pas trop
que le firewall rame et ralentisse le réseau....
Merci pour vos conseils.

----------------------------------------------------------------------------
--------
----------------------------------------------------------------------------
--------
Bonjour,

Tout d'abord, pour rectifier, toutes les dérivés de Windows NT (3,4, 2000,
XP) sont multitâches en natif.

1/ Je pense que tu veux dire routeur/modem ou modem tout court?
Si c'est un routeur/modem, pas besoin de pilote particulier c'est ton
routeur qui gère la connexion.
Pour le modem, je pense qu'il est ethernet donc pas besoin non plus, juste
prévoir de faire du NAT sur  ta carte réseau reliée à celui-ci. Faut voir
après quel type de connexion chez ton FAI (PPOE?)... Je ne sais pas trop
pour le SDSL mais c'est certainement géré sous Linux.

2/ Oui il est préférable de faire des apt-get update de temps en temps, ne
serait-ce que pour boucher les failles découverte dans le noyeau.

3/ ethereal ou tcpdump ne te permetera pas de détécter les SPAM sur les
trames qui passent. Ce serait en plus beaucoup trop gourmand en resources.
A mon avis la seule façon de faire cela est d'installer un MTA (postfix,
exim, .... Le choix est large!. Evite quand même sendmail car bien que
puissant, il est assez difficile à configurer.). Tu couples le tout avec
spamassassin correctement configuré et 90% au moins des SPAM (surtout
anglais) ne passeront plus. Tout le reste sera relayé à ton serveur Exange.
Il suffit juste pour cela de rediriger ton port 25 sur ta machine Linux
plutôt que sur Exchange.

La mémoire n'entre pas en compte pour le filtrage de paquet. Seuls le
processeur et la vitesse de ton bus PCI entre en jeu. Un PIII c'est mieux
que la plupart des routeurs boitiers du commerce. Pour le MTA par contre,
64Mo ça risque d'être trop court car le noyeau et tous les services de base
bouffent pas mal de mémoire.

En ce qui concerne tes cartes réseau, OUI on peut mettre du 1000 sous Debian
mais dans ton cas, cela ne sert à rien de prende un débit supérieur à ta
bande passante. Donc une 10/100 c'est suffisant.

Voilà quelques éléments de réponse dans l'espoir de ne pas avoir trop dit de
bêtises.

Raphaël

Reply to:

References:
- Solution Firewall+Passerelle
  - From: papyrus <papyrus-net@wanadoo.fr>

Prev by Date: Re: Solution anti-spam
Next by Date: Re: Problème sur une touche de mon clavier
Previous by thread: Re: Solution Firewall+Passerelle
Next by thread: Lecture d'une carte sd
Index(es):
- Date
- Thread