[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] RE: creation d'un firewall - 8 cartes reseaux
hello ...
Mmm pas trop daccord ... je partirais aussi pour le .2.2 a cet instant. Le
2.4 est encore trop instable: ils viennent de mettre une nouvelle gestion
VM, autant dire que les bugs vont commencer a sortir. Quand on voit la
vitesse des releases, ca démontre bien le fait. Le seul et unique probleme
est le fait de ne pas avoir de statefull firewalling. Mais je reste
concaincu que ce n'est pas suffisant que pour faire le saut. Le kernel 2.2
est toujours tres bien maintenu, c'est juste qu'il n'y a rien a faire car
pas de bugs ou pas trop (plus de nouvelles features non plus). Debian est
encore a 2.2 dans sa flavor stable et c'est décidé "on purpose". Je
travaille dans une société qui construit des firewall / boite de connection
internet et on est todi en 2.2 pour ca. Ah oui, autre détail, je bosse a 2
metres du mainteneur officiel débian pour le kernel i386 et on est daccord
sur le point....
Pour le nombre d'interfaces, ca ne devrait pas poser de problemes, il faut
juste faire attention a quelques points d'architecture interne: pour avoir
8 ports (tous ethernet si je comprends bien), il va falloir que tu passe par
des cartes multi port (genre dlink ou intel). Tu dois essayer de connecter
les LAN sur differentes cartes PCI et pas sur les meme ports d'une meme
carte car tu partage le bus PCI entre les ports et les LANS vont tirer de la
puissance car tu va devoir router et firewaller a 10 ou 100 meg max se qui
est bcp. Pour les connection itnernet, se n'est pas grave car ce n'est
souvent que kk mbit maximum je pense ...
Les services réseaux peuvent tourner sans probleme, mais j'éviterais tout
service d'utilisateur et d'acces au HDD pour stocker leurs données. Les hdd
seront assez busy comme ca avec squid et potentiellement squidguard
(excellent dailleur ce bloquer d'url).
Niveau distros, on utilise debian et c'est clairement le meilleur choix pour
la gestion des packages via le reseau,ca fonctionne super bien, vraiment. Je
ne changerai plus
Bon, on a pas trop fait de recherches vers openBSD, mais bon... c'est a voir
et je sais que c'est un tres bon OS réputté secure.
Voila,
hope that help;,
JeF
----- Original Message -----
From: "Pascal Bleser" <pascal.bleser@atosorigin.com>
To: <linux@lists.unixtech.be>
Sent: Friday, November 16, 2001 10:29 PM
Subject: Re: [linux] RE: creation d'un firewall - 8 cartes reseaux
> ...
> > Cette machine s'occupe de la gestion des utilisateurs,
> > le serveur de fichiers , dhcpd , dns , un serveur
> > web ( +ssl ) , proxy + FIREWALL . Il y a + de 250 utilisateurs .
> > Il n'y a PAS de serveur novell de 'secours' et il ne compte pas
> > en rajouter un .
>
> Ouais, je vois le topo ;)
>
> ...
> > Il est revenu vers moi .
> > Je lui ai explique qu'il serait preferable de placer le novell
> > dans la dmz et qu'il s'occupe uniquement la gestion
> > des utilisateurs et du serveur de fichier .
> Evidemment.
>
> > J'ai +|- carte blanche qd a la conception du firewall,
> > en sachant qu'il apprecierait que j'utilise un kernel 2.2 avec ipchains
.
> Pourtant, prends un kernel 2.4 avec iptables:
> - connection tracking: simplifie fortement la conception des règles du
> firewall et est nettement plus sécurisé
> - pas mal de modules permettant une plus grande flexibilité de
configuration
> (accès selon l'heure, logs, limites, ...)
> - kernel 2.2 n'est plus vraiment maintenu, le kernel stable est 2.4 depuis
> un certain temps: nettement plus performant (surtout sur des machines
> multi-processeurs), plus stable (àpd. 2.4.10 du moins (je parle du VM)
;)),
> plus sécurisé, reiserfs, LVM, iptables (ben oui), ...
>
> Non, franchement, prends iptables...
>
> --
> -o) Pascal Bleser ATOS Origin/Aachen(DE) |
> /\\ <pascal.bleser@atosorigin.com> |
> _\_v <guru@linuxbe.org> |
> ---------------------------------------------|
> Jesus saves,Buddha makes incremental backups :
> ---------------------------------------------'
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> [ le type de demande... ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
> [ http://unixtech.be Contact: listmaster@unixtech.be ]
>
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]