Journal Le firewall sans disque qui boot par le reseau et qui sent bon

Posté par rangzen (site web personnel) le 07 avril 2004 à 10:46.

Étiquettes : aucune

avr.

2004

Hello again !
suite au journal suivant Firewall ET serveur web http://linuxfr.org/~rangzen/11372.html(...) je penche quand même un peu pour un firewall séparé.
Je me suis intéressé au boot by lan et je me suis dis qu'il serait intéressant d'avoir un firewall bootant par réseau, sans disque dur à partir d'un poste (le mien).
Si je ne suis pas là et que le réseau tombe, pas de net puisque le firewall doit booter de mon poste qui sera éteint.
Pas de disque dur donc moins de bruit.
Pas de lecteur de CD-rom ou de disquette.

Est ce possible (j'ai pas trouvé exactement ce cas de figure) ?
Dangereux puisque qu'il faut exporter les journaux ?
Des retours d'expèriences ?

# Boot sur réseau...

Posté par Quzqo le 07 avril 2004 à 11:11. Évalué à 2.

Quelques pistes que tu peux explorer :
+ le HOWTO root-NFS : http://fr.tldp.org/HOWTO/lecture//Diskless-root-NFS-HOWTO.html(...)
+ Diskless : http://www.tldp.org/HOWTO/Diskless-HOWTO.html(...)
+ BOOTP : http://www.tldp.org/HOWTO/Clone-HOWTO/index.html(...)
+ serveur de logs : http://www.debian.org/doc/manuals/securing-debian-howto/ch4.en.html(...)

Pour une sécurité plus globale, je te recommande la lecture de : http://www.debian.org/doc/manuals/securing-debian-howto/index.en.ht(...)
Un poil long mais beaucoup d'enseignements à tirer ;o)

Dernière possibilité : une distribution LiveOnCD type IpCop ou autre personnalisée : il faut juste un lecteur CDRom (et éventuellement un support clef USB pour stocker ses paramètres).
- [^] # Re: Boot sur réseau...
  
  Posté par rangzen (site web personnel) le 07 avril 2004 à 11:20. Évalué à 1.
  
  J'avais déja tout lu sauf le serveur de logs, il n'y a pas d'exemple qui fait firewall, en fait a chaque fois le systeme de fichier est par réseau mais pas en ram
  
  Pour la distribution par CD, j'avais regardé et IPCop faisait tourné le CD en permanence donc pour un firewall 24/24 ... Faudrait que je reteste ...
# Re: Le firewall sans disque qui boot par le reseau et qui sent bon

Posté par gilles renault (site web personnel, Mastodon) le 07 avril 2004 à 11:21. Évalué à 3.

Est ce possible (j'ai pas trouvé exactement ce cas de figure) ?
Oui :

- serveur pxe sur ta machine.
- sur la machine firewall, 2 cartes reseau, une pour le net et une pour reseau local.
- tu te crées une disquette linux/firewall avec CoyoteLinux (http://www.coyotelinux.com(...))
- tu fais un fichier image de cette disquette (dd if=/dev/fd0 of=/ce/que/tu/veux.img)
- tu configure le serveur pxe pour qu'il distribue ton image de boot
- la carte reseau local de ton firewall boot sur le reseau grace à pxe, charge l'image de coyote en ram, et c'est parti!!!!
- [^] # Re: Le firewall sans disque qui boot par le reseau et qui sent bon
  
  Posté par gilles renault (site web personnel, Mastodon) le 07 avril 2004 à 11:23. Évalué à 1.
  
  Aussi, avec coyote, tu peux stocker les logs sur une autre machine par montage nfs
- [^] # Re: Le firewall sans disque qui boot par le reseau et qui sent bon
  
  Posté par rangzen (site web personnel) le 07 avril 2004 à 11:29. Évalué à 1.
  
  ??? Ben justement j'avais vu cette solution mais sur les forums ils disaient que ça demandait beaucoup de travail car coyote n'etait pas prévu pour ça ???
  Bizarre
  - [^] # Re: Le firewall sans disque qui boot par le reseau et qui sent bon
    
    Posté par gilles renault (site web personnel, Mastodon) le 07 avril 2004 à 11:34. Évalué à 1.
    
    Je n'ai jamais booter coyote avec pxe, mais les tests de pxe que j'ai effectuer, me permettaient de démarrer n'importequoi à partir tant que l'on part d'une image disquette. Comme coyote est conçue pour fonctionner sans accès en écriture sur la disquette, je ne vois pas ou est l'embrouille. À tester.
# Commentaire supprimé

Posté par Anonyme le 07 avril 2004 à 11:57. Évalué à 1.

Ce commentaire a été supprimé par l’équipe de modération.
# Re: Le firewall sans disque qui boot par le reseau et qui sent bon

Posté par Krunch (site web personnel) le 07 avril 2004 à 16:24. Évalué à 2.

diskless(8) http://www.openbsd.org/cgi-bin/man.cgi?query=diskless&apropos=0(...)
newfs(8) http://www.openbsd.org/cgi-bin/man.cgi?query=mount_mfs&apropos=(...)
Ya pleins d'articles sur OpenBSD et pf(4) sur http://www.onlamp.com/(...) sinon voir la dépèche de seconde page d'hier à propos de Deadly.org pour d'autres liens

Pour allumer (pas booter) un PC par le réseau (wake-on-LAN), apparement ça a rien à voir avec l'OS donc il te suffit d'avoir la carte réseau/mère qui va bien et le programme adéquat sur ton poste (ya un package Debian qui fait ça je pense).

Pour un mini PC silencieux qui fait tourner OpenBSD, ya Soekris: http://soekris.kd85.com/(...)

PF on a floppy (si je me souviens bien, il charge tout en RAM, donc pas d'accés à la disquette après le boot): http://deadly.org/article.php3?sid=20030722201619(...)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# warewulf

Posté par Juke (site web personnel) le 08 avril 2004 à 09:22. Évalué à 1.

regarde peut etre ici:
http://freshmeat.net/projects/warewulf/(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.