Bonjour,
Bonjour,
Etant nouveau sur la liste, je vais (très brièvement) me présenter :
Pierre, ingénieur réseaux et systèmes.
Je me tourne vers vous pour une petite (enfin grosse) question :)
Nous prévoyons en ce moment de changer nos vieux PIX en Failover pour
une solutoin de firewalls en actif/actif. On était parti à la base sur
des ASA et finalement j'ai réussi à convaincre mes collègues de tenter
l'expérience Netfilter avant de se décider (rapport qualité prix
incomparable, surtout niveau prix :)).
Voilà donc mon problème, je cherche depuis quelques temps une solution
pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que
je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived,
heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai
du mal à réunir de la documentation et à peser le pour et le contre de
tout ce qui peut se faire.
A vrai dire les documentations n'ont pas l'air de faire légion dans le
domaine (ou alors il va me falloir une formation Google...).
De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me
diriger sur cette voie : je préfère pour l'instant rester sur un système
que je connais bien, surtout pour des firewalls !
Je n'utilise pas ces fonctionnalités actuellement mais m0n0wall et
pfsense (qui est un développement parallèle de m0n0wall et peut être
installé sur disque permettant ainsi d'installer des packages
supplémentaires) offrent la possibilité de faire du carp et pfsync.
Cela tourne sous freebsd. Sur notre campus nous avons m0n0wall (sur
boîtiers wrap) et pfsense (sur des serveur 1U) depuis plusieurs années
et ce sont de superbes logiciels.
Les serveurs sous pfsense nous permettent aussi d'avoir squid "maison" +
un proxycgi "shibolleth'isé"
Interface de gestion graphique, accès shell, ...
Nombreuses fonctionnalités (voir plus bas).
Très stable. Un peu de tuning au début (notamment par rapport à la table
statefull) mais cela tient plusieurs milliers d'utilisateurs simultanés
sans problème (dépend bien sûr de la config hardware).
L'installation se fait à partir d'un livecd en mode console. Une adresse
IP sur l'interface LAN (qui peut être mise dès le départ en 802.1q) et
le reste se fait via GUI. Un fw de base est configuré en moins d'une
heure. Le fichier de config est "sauvegardable/restorable" en xml. Et
la réplication sur d'autres boîtiers (wrap) devient triviale.
(cela peut aussi servir de point d'accès wifi, fw adsl, ...)
Ci-dessous (en mode dépouillé) les différents rubriques accessibles à
partir de l'interface graphique de pfsense :
*
System
o Advanced
o Firmware
o General Setup
o Packages
o Setup wizard
o Static routes
*
Interfaces
o (assign)
o WAN
o LAN
...
*
Firewall
o Aliases
o NAT
o Rules
o Schedules
o Traffic Shaper
o Virtual IPs
*
Services
o Captive portal
o DNS forwarder
o DHCP relay
o DHCP server
o Dynamic DNS
o Load Balancer
o OLSR
o RIP
o SNMP
o UPnP
o OpenNTPD
o Wake on LAN
o Proxy server
*
VPN
o IPsec
o OpenVPN
o PPPoE
o PPTP
*
Status
o CARP (failover)
o DHCP leases
o Filter Reload Status
o Interfaces
o IPsec
o Load Balancer
o Package logs
o Queues
o RRD Graphs
o Services
o Dashboard
o System logs
o Traffic graph
o UPnP
o Proxy report
*
Diagnostics
o ARP Tables
o Backup/Restore
o Command Prompt
o Edit File
o Factory defaults
o Halt system
o Ping
o Reboot system
o Routes
o States
o Traceroute
o Packet Capture
(un package sur la 1.2 et sur la nouvelle version 1.3 (en béta) à venir
offrent un dashboard)
Les packages actuellement disponibles (rien n'empêche par ailleurs
d'installer ces propres logiciels au besoin mais ils ne pourront pas
être gérés via l'interface graphique)
Lcdproc-0.5.2_2
Lightsquid 1.7.1
OpenBGPD 0.4
Zabbix Agent 0.22
arping 2.05
bandwidthd 2.0.1.1
darkstat 3.0.619
diag_new_states 0.2
dns-server 1.0.3
freeradius 1.1.2_1
imspector 0.4
iperf 2.0.2_1
nmap 4.20_1
ntop 3.2_2
nut 2.0.4
pfflowd 0.7
phpSysInfo 2.5.3
siproxd 0.7.1
spamd 4.3.7
squid 2.6.18.1_04
squidGuard 1.2.0_1
sshterm 0.1
stunnel 4.18
widentd 1.03_1
Donc voilà, si quelqu'un avait une petite piste/un avis là dessus, je
serais très content de l'entendre :)
--
Hubert Ulliac - CRI - Université Rennes 2 Haute Bretagne
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
