Forum Linux.général Problématique changement Firewall

Posté par .
Tags : aucun
1
1
sept.
2010
Bonjour,

J'espère poster au bon endroit....

Nous souhaitons remplacer un firewall Microsoft ISA 2004 pour une solution sous Linux mais nous sommes confrontés à quelques problèmes techniques.
(nous sommes encore dans la phase étude)

le problème vient de la publication des sites Internet (IIS).

Actuellement:
Sous ISA nous avons publié plusieurs sites web via une adresse IP publique et un seul port.
Isa utilise uniquement le "header" du protocole http pour rediriger vers le bon site le tout dans un canal sécurisé.

petit dessin.

www.site1.fr (10.10.10.10) port 80 -> ISA -> IIS 192.168.0.1 (site1) port 80
www.site2.fr (10.10.10.10) port 80 -> ISA -> IIS 192.168.0.2 (site2) port 80
www.site3.fr (10.10.10.10) port 80 -> ISA -> IIS 192.168.0.3 (site3) port 80

- Dans ISA nous avons environs 20 sites web définis pour 1 adresse IP publique et 1 seul port.
- Dans IIS nous avons utilisé 1 IP Interne pour 1 site web (tous sont sur le port 80), donc pas de host header sous IIS.
- Au niveau du DNS publique ce ne sont que des alias, ISA arrive à trier tout seul en fonction de l'entête http.

Ma question est :
Sans toucher à IIS peut-on avec une technologie Linux (system+software) reproduire cette fonction de redirection très pratique avec en plus une fonction Firewall performante (payante ou non).

Faut-il regarder du côté des logiciels proxy http ? des Firewalls ? ou de solutions complètes ?

ISA étant un outil global je n'arrive pas à trouver quel service effectue cette tache que j'appellerai moi "multiplexage http".

Merci par avance,

Emmanuel
  • # reverse proxy... that's it !

    Posté par (page perso) . Évalué à 6.

    Hello,

    Au vue de la description fonctionnelle c'est un reverse proxy ! Et on sait faire aussi sous linux, par exemple :
    - avec SQUID ( tapper dans google ; squid reverse proxy pour une foule de tuto )
    - avec Apache
    J'aurai tendance à privilégier squid, qui est un proxy à part entière et amène sont lot de fonctionnalités additionnelles...

    Ensuite ajouter une couche firewall sur une machine linux c'est du iptable, netfilter...
    il y a même des interfaces web de gestion des règles et plein de chose pour être heureux....

    Bref complètement faisable tout ça avec un CD d'install de linux sur une machine et un peu d'huile de clavier !

    Fuse : j'en Use et Abuse !

  • # proxy http + firewall

    Posté par . Évalué à 1.

    Bonjour,

    Cela semble requérir un proxy HTTP (apache peut faire ça) et un firewall en plus.
    En parlant de ça, je pense à HAproxy qui est un load balancer HTTP, peut-être a-t-il aussi des fonctionnalités que tu peux souhaiter avoir... Je m'avance un peu car je ne l'ai jamais utilisé.

    A +
    • [^] # Re: proxy http + firewall

      Posté par . Évalué à 1.

      Effectivement la question ne mentionne pas de clustering pour la haute disponibilité, mais si il en fallait cela devrait être implémenté avec vrrp ( ou ucarp ...) coté parefeu et pourquoi pas en remplaçant apache par ha_proxy comme reverse proxy.

      Avec Linux, il faudrait mettre une machine "netfilter" pour le filtrage (parefeu), qui dirigerait tout le traffic tcp/80 vers un serveur "apache" configuré en reverse proxy (pourquoi pas sur la même machine, le mode reverse proxy ne pose pas trop de problèmes de sécu). Apache saura interpreter les headers HTTP c'est un peu sa spécialité :-).

      En option:
      Tu peux ajouter de la redondance au niveau du parefeu, en mettant deux machines 'parefeu+apache' en vrrp (ou en ucarp) par exemple.

      En option egalement
      Tu peux remplacer le reverse proxy apache par le reverse proxy ha_proxy. C'est peut-etre une bonne idée même sans besoin de redondance ou de load balancing.
      ha_proxy est capable d'interpreter les headers http également, et son "role" est normalement de diriger les requettes vers plusieurs serveurs pour répartir la charge. Comme en plus il sait détecter quand un serveur ne répond plus, il n'y envoie plus de requettes et on a gagné l'aspect haute disponibilité ...
      • [^] # Re: proxy http + firewall

        Posté par . Évalué à 1.

        Merci à tous pour toutes ces infos, je cours lire les doc des différentes solutions que vous m'avez proposé

        Merci

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.