conseil pour achat serveur firewall

classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

conseil pour achat serveur firewall

Mikael Kermorgant-2
Bonjour,

Envisageant de remplacer un firewall propriétaire vieillissant par un
cluster de 2 openbsd+pf+carp+pfsync sur du hardware neuf, je cherche à
déterminer les caractéristiques du futur serveur (J'espère ne pas être
hors sujet...).

Il devra protéger un parc d'environ 200 machines (école) et selon la
topologie retenue (je ne suis pas fixé sur ce point), faire le
filtrage inter-vlan, et rentrer dans un rack.
Les caractéristiques :

* réseau à plusieurs vlans, dont une dmz et un vlan serveur
* sortie à 100Mb
* réseau interne GB

Auriez-vous une idée de ce qui conviendrait par rapport à votre expérience ?
Comme base de discussion, le prix de la config suivante me
conviendrait assez bien :

- Processeur intel celeron 430 (1.8GHz)
- 1Go de mémoire  DDR2 SDRAM 667MHz
- 2 Carte réseau Intel PRO 1000PT double interface

Merci d'avance
--
Mikael Kermorgant
Reply | Threaded
Open this post in threaded view
|

Re: conseil pour achat serveur firewall

Vnagot.Cbe
Bonsoir,
/mode prosel ON
Regarde un peu par là : http://www.kd85.com/
/mode prosel OFF
Aprés c'est à toi d'étudier la chose, mais je pense que c'est le genre
piste que tu dois suivre, tu peux mail "wim" (en francais ou anglais,
...) c'est une personne "accessible" si tu as des questions.
Bonne soirée


Vincent

2008/4/7 Mikael Kermorgant <[hidden email]>:

> Bonjour,
>
>  Envisageant de remplacer un firewall propriétaire vieillissant par un
>  cluster de 2 openbsd+pf+carp+pfsync sur du hardware neuf, je cherche à
>  déterminer les caractéristiques du futur serveur (J'espère ne pas être
>  hors sujet...).
>
>  Il devra protéger un parc d'environ 200 machines (école) et selon la
>  topologie retenue (je ne suis pas fixé sur ce point), faire le
>  filtrage inter-vlan, et rentrer dans un rack.
>  Les caractéristiques :
>
>  * réseau à plusieurs vlans, dont une dmz et un vlan serveur
>  * sortie à 100Mb
>  * réseau interne GB
>
>  Auriez-vous une idée de ce qui conviendrait par rapport à votre expérience ?
>  Comme base de discussion, le prix de la config suivante me
>  conviendrait assez bien :
>
>  - Processeur intel celeron 430 (1.8GHz)
>  - 1Go de mémoire  DDR2 SDRAM 667MHz
>  - 2 Carte réseau Intel PRO 1000PT double interface
>
>  Merci d'avance
>  --
>  Mikael Kermorgant
>

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/ml

Reply | Threaded
Open this post in threaded view
|

Re: conseil pour achat serveur firewall

Mikael Kermorgant-2
J'aime beaucoup l'idée de consommer si peu de courant !!!
(Ca fait 25w contre 350 avec le serveur que j'avais regardé).

Je vais donc creuser la question, merci pour le tuyau !

Mikael

2008/4/7 Vincent NAGOT <[hidden email]>:

> Bonsoir,
>  /mode prosel ON
>  Regarde un peu par là : http://www.kd85.com/
>  /mode prosel OFF
>  Aprés c'est à toi d'étudier la chose, mais je pense que c'est le genre
>  piste que tu dois suivre, tu peux mail "wim" (en francais ou anglais,
>  ...) c'est une personne "accessible" si tu as des questions.
>  Bonne soirée
>
>
>  Vincent
>
>  2008/4/7 Mikael Kermorgant <[hidden email]>:
>
>
> > Bonjour,
>  >
>  >  Envisageant de remplacer un firewall propriétaire vieillissant par un
>  >  cluster de 2 openbsd+pf+carp+pfsync sur du hardware neuf, je cherche à
>  >  déterminer les caractéristiques du futur serveur (J'espère ne pas être
>  >  hors sujet...).
>  >
>  >  Il devra protéger un parc d'environ 200 machines (école) et selon la
>  >  topologie retenue (je ne suis pas fixé sur ce point), faire le
>  >  filtrage inter-vlan, et rentrer dans un rack.
>  >  Les caractéristiques :
>  >
>  >  * réseau à plusieurs vlans, dont une dmz et un vlan serveur
>  >  * sortie à 100Mb
>  >  * réseau interne GB
>  >
>  >  Auriez-vous une idée de ce qui conviendrait par rapport à votre expérience ?
>  >  Comme base de discussion, le prix de la config suivante me
>  >  conviendrait assez bien :
>  >
>  >  - Processeur intel celeron 430 (1.8GHz)
>  >  - 1Go de mémoire  DDR2 SDRAM 667MHz
>  >  - 2 Carte réseau Intel PRO 1000PT double interface
>  >
>  >  Merci d'avance
>  >  --
>  >  Mikael Kermorgant
>  >
>
>  ________________________________
>  French OpenBSD mailing list
>  [hidden email]
>  http://www.openbsd-france.org/ml
>
>



--
Mikael Kermorgant
Reply | Threaded
Open this post in threaded view
|

Re: conseil pour achat serveur firewall

Mikael Kermorgant-2
In reply to this post by Vnagot.Cbe
2008/4/7 Vincent NAGOT <[hidden email]>:
> Bonsoir,
>  /mode prosel ON
>  Regarde un peu par là : http://www.kd85.com/
>  /mode prosel OFF
>  Aprés c'est à toi d'étudier la chose, mais je pense que c'est le genre
>  piste que tu dois suivre, tu peux mail "wim" (en francais ou anglais,
>  ...) c'est une personne "accessible" si tu as des questions.
>  Bonne soirée

Après qqs échanges, la solution tendrait plus vers qqchose comme un
nexcom 1083 mieux équipé au niveau du cpu, plus adapté à un réseau en
gigabit.
Si vous connaissez d'autres types de matériels qui fonctionne
également avec openbsd, je suis plus que preneur d'infos !

Par ailleurs, pour la topologie de réseau, il me semble qu'il vaut
mieux (pour des aspects de gestion), séparer les fonctions de firewall
en sortie de réseau et de filtrage inter-vlan (illustré ici
http://kgt.free.fr/objectif-net.png)

Bonne soirée,

Mikael
Reply | Threaded
Open this post in threaded view
|

Re: conseil pour achat serveur firewall

Julien C-2
Bonjour a tous,

J'aurais souhaité savoir si une personne avait deja fais de l'analyse de
flux via OpenBSD ?
Nous avons actuellement un Firewall Frontal sous OpenBSD, sur lequel
j'aimerais analyse via un antivirus, le flux http.
Le proxy se trouve en DMZ derriere un Second FW (un Netasq F200). Meme si
cela serait plus simple de filtrer sur le proxy, ben non
faut que je le fasse sur le Front.

Mais j'ai pu trouvé cela pour du mail avec Amavisd-new, clam-av, mais a ton
la meme chose pour un flux http, sachant que le flux est destiné a un autres
proxy.??
J'ai trouvé sur le site kernel-panic un paper mais c'est du squidclamav,
donc redirection du flux dans un proxy local, qui devrait forward sur le
second.
==> http://www.kernel-panic.it/openbsd/proxy/proxy5.html

Derniere chose : Antivirus OBSD ?? meme si l'interet n'y est que minime.(
inexistant with great Puffy ??? ^^)
Bonne journée

Julien
Reply | Threaded
Open this post in threaded view
|

Re: conseil pour achat serveur firewall

Julien Cabillot-2


On mer, 2008-04-09 at 11:35 +0200, julien c wrote:
> Mais j'ai pu trouvé cela pour du mail avec Amavisd-new, clam-av, mais a ton
> la meme chose pour un flux http, sachant que le flux est destiné a un autres
> proxy.??
> J'ai trouvé sur le site kernel-panic un paper mais c'est du squidclamav,
> donc redirection du flux dans un proxy local, qui devrait forward sur le
> second.
> ==> http://www.kernel-panic.it/openbsd/proxy/proxy5.html

Apres avoir regardé un peu ça semble correspondre à ce que tu
recherches. Utiliser 2 proxys à la suite ne pose "normalement" pas de
problème.

> Derniere chose : Antivirus OBSD ?? meme si l'interet n'y est que minime.(
> inexistant with great Puffy ??? ^^)

Quel est l'interet d'un antivirus sous openbsd utilisé en firewall ?
Tu t'y connectes pour modifier ton pf.conf et d'autres services. T'as
aucune raison d'executer depuis ton firewall un fichier qu'un inconnu
([hidden email]) t'aurais envoyé par mail.
Apres si d'autres personnes ont accès à la machine en non-root, la pire
chose qu'il puisse se passer c'est qu'ils perdent leur home (un simple
fichier bash rm -rf ~/ est un tres bon virus :)), ils ne pourront pas
atteindre ton systeme.


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/ml

Reply | Threaded
Open this post in threaded view
|

Re: conseil pour achat serveur firewall

Julien C-2
Merci de votre reponse.

J'ai maquetter cela hier, proxy squid, squiclamav, clamd, freshclam.
Ca fonctionne mais !! 99%load by Clamd...

Une fois installer CLamd tourne a 99%Cpu, j'ai modifier la conf et en ne lui
laissant que trés peu de fonctionnalité.. celui descend a
peine a 85%CPU. donc ..
J'avais deja utilisé clamd sur de la 4.1, sans soucis, la je suis sur une
4.2 et petit probleme.
L'antivirus servait essentielement, a un scan de flux http.
Quelqu'un a dej

Le 10/04/08, Julien Cabillot <[hidden email]> a écrit :

>
>
>
> On mer, 2008-04-09 at 11:35 +0200, julien c wrote:
> > Mais j'ai pu trouvé cela pour du mail avec Amavisd-new, clam-av, mais a
> ton
> > la meme chose pour un flux http, sachant que le flux est destiné a un
> autres
> > proxy.??
> > J'ai trouvé sur le site kernel-panic un paper mais c'est du squidclamav,
> > donc redirection du flux dans un proxy local, qui devrait forward sur le
> > second.
> > ==> http://www.kernel-panic.it/openbsd/proxy/proxy5.html
>
>
> Apres avoir regardé un peu ça semble correspondre à ce que tu
> recherches. Utiliser 2 proxys à la suite ne pose "normalement" pas de
> problème.
>
>
> > Derniere chose : Antivirus OBSD ?? meme si l'interet n'y est que
> minime.(
> > inexistant with great Puffy ??? ^^)
>
>
> Quel est l'interet d'un antivirus sous openbsd utilisé en firewall ?
> Tu t'y connectes pour modifier ton pf.conf et d'autres services. T'as
> aucune raison d'executer depuis ton firewall un fichier qu'un inconnu
> ([hidden email]) t'aurais envoyé par mail.
> Apres si d'autres personnes ont accès à la machine en non-root, la pire
> chose qu'il puisse se passer c'est qu'ils perdent leur home (un simple
> fichier bash rm -rf ~/ est un tres bon virus :)), ils ne pourront pas
> atteindre ton systeme.
>
>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/ml
>
>