Forum général.cherche-matériel Parefeu

Posté par .
Tags :
0
2
nov.
2011

Bonjour,
Cela va faire 6 ans que j'utilise un Linux comme routeur/parefeu.

J'envisage de passer à une solution matériel afin de bénéficier d'une solution plus maintenable et mettre en place de la haute disponibilité pour mon PRA car je ne vois pas comment je peux assurer simplement le basculement de mon infrastructure en cas de dis-fonctionnement.

Mes besoins sont les suivant:
- j'interconnecte en gros 40 réseaux avec différentes règles.
- J'ai des piques à 7000 connexions simultanées
- Un proxy transparent ou non (http,https, smtp, pop).
- Antivirus
- IDS
- Un système de log des connexions.
- au moins 8 port Gigabyte sur lequel , je peux mettre au moins 40 VLAN.
- Routage des paquets.
- NAT pour des trucs tordu, genre SNAT ou DNAT qui dépanne quand on a pas la main sur la source ou la destination.
- Une interface en ligne de commande pour scripter l'ensemble.
- Support simple de la haute disponibilité.
- Et pour l'avenir support IPv6.

Vous me recommanderiez quoi ?

Merci d'avance.

  • # Marque déposée

    Posté par (page perso) . Évalué à 3.

    s/Gigabyte/gigabit

    Système - Réseau - Sécurité Open Source

  • # appliance ou home made ?

    Posté par . Évalué à 3.

    _

    En appliance, de sérieux, je connais ça.
    c'est du Linux globalement.
    faut juste mettre le prix pour avoir la bonne puissance en fonction de tes besoins.

    En home made, il y a quelques distributions faîtes pour ça:
    pfSense, m0n0wall, IPCope, et surement beaucoup d'autres.
    faut investiguer un peu le dynamisme de la communauté pour être sûr d'avoir des réponses en cas de problème et des mise à jour régulière.

    • [^] # Re: appliance ou home made ?

      Posté par (page perso) . Évalué à 3.

      Je rajoute OpenBSD à la liste, ça tombe bien la 5.0 vient de sortir.
      Il peux gérer tous les pré-requis concernant le firewalling et la haute disponibilité.

      • [^] # Re: appliance ou home made ?

        Posté par (page perso) . Évalué à 4.

        +1, pf, pfsync, carp...

        Système - Réseau - Sécurité Open Source

        • [^] # Re: appliance ou home made ?

          Posté par . Évalué à 1.

          Merci, j'ai regardé. Effectivement, cela semble très intéressant.

          J'ai commencé à étudier avec des Dell R510 (dont 2 carte Intel 4 port 1Gb/s ethernet) mais il semble que d'autres ont eu des problèmes. Dommage, çà me faisait une solution redondante à 4000 euros Open Source (garanti 3 ans sur site à J+1).

          Auriez-vous des recommandations de matériel par exemple. Une configuration HP rackable qui fonctionnerait bien.

          • [^] # Re: appliance ou home made ?

            Posté par . Évalué à 1.

            Au moins, y'en a qui ont essayé

            • [^] # Re: appliance ou home made ?

              Posté par (page perso) . Évalué à 0.

              Sans plus de précisions et sûrement d'envie, il va pas aller loin.
              Sinon, il me semble que j'avais des dell 1950 avec des cartes quad port gigabyte qui fonctionnaient bien.

              • [^] # Re: appliance ou home made ?

                Posté par (page perso) . Évalué à 3.

                serveur transtec 1U ( 2 port gigabit integrés ) + carte quad port intel 1000 = ( 4 + 2 = 6 ports )
                Ajout d'une 2eme carte quad port possible ?

                Système - Réseau - Sécurité Open Source

  • # C'est pour bientôt

    Posté par (page perso) . Évalué à -2.

    Le pare-feu LibreOffice vient enfin d'intégrer le support d'IPv6, le reste devrait suivre tantôt :
    http://fr.answers.yahoo.com/question/index?qid=20110519142032AA49PKg

    Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

  • # Commentaire supprimé

    Posté par . Évalué à 2.

    Ce commentaire a été supprimé par l'équipe de modération.

    • [^] # Re: ucarp ?

      Posté par (page perso) . Évalué à 2.

      faisable d'accord, mais simple ...

      par contre, pour un cluster HA de firewall (sans perte de connexions), faudra utiliser d'autres outils.
      c'est là que se place OpenBSD (faisable avec FreeBSD et peut être avec les autres, mais bon, autant utiliser l'original):
      - 1 ligne pour faire de l'aggrégation de liens
      - 1 ligne pour monter le partage d'adresses carp
      - 1 ligne pour la synchro de la table d'états du firewall
      - sûrement beaucoup moins de lignes pf que iptables

      pour le reste des prérequis, ça doit être réalisable :
      un coup de pflog vers un rsyslog distant fera l'affaire
      pour le routage y a tous les outils
      ...

      en plus, du greylisting avec pf, un load balancer utilisant pf (donc HA sans perte de connexions), du vpn ipsec en HA ...

      je pense vraiment que cette solution mérite d'être envisagée / testée avant de dépenser un paquet de brouzouf dans l'appliance proposée (quel prix ?).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.