sich wrote:
Bonsoir,
Je vais devoir monter une solution de pare feu dans ma societ�.
Voici les contraintes :
- Impossibilit� de toucher au plan d'adressage, on est int�gr� dans un
grand wan et par cons�quent impossible d'obtenir ou de modifier les
plages ip en place. Par contre on est libre d'utiliser les ips comme bon
nous semble � l'int�rieur des plages ip dont on dispose.
- Utilisation de deux machines en fail over. Au cas o� une des machines
tombe en rade la 2� prend automatiquement le relais. Un peu comme nos
routeur cisco, chacun a son ip (.252 et .253) et � eux deux ils �mulent
une ip en .254 qui sert de passerelle.
- Pose des machines pare feu � l'int�rieur d'une seule plage ip...
Id�es de d�part :
Pour faire tourner �a je pense � deux debian stable avec noyau 2.4.x.
Tu fais une installe minimale, tu enl�ves tout ce dont tu n'as
pas besoin (interface graphique par exemple). Tu mets ssh, et tu
contr�les tout � distance.
Concernant le fait de poser les pare feu � l'int�rieur d'une plage ip
j'ai pens� au bridge. Je ne l'ai jamais mis en oeuvre mais j'ai lu
quelques docs. En fait le bridge n'a pas d'ip propre, lorsque l'on fait
un traceroute on ne le voit pas, et on ne peux pas le pinger (il n'a pas
d'ip). Ce qui lui permet d'�tre � l'int�rieur d'une seule plage en �tant
� l'�coute des paquets r�seau... D'apr�s ce que j'en ai compris pour le
moment.
Oui et non ... le switch effectivement ne fait que du niveau 2,
donc ne g�re pas l'IP donc n'a pas d'adresse IP, contrairement au
routeur. Voil� pour la th�orie. En pratique, les switchs pour
�tre administrables (� distance) peuvent avoir une adresse IP. On
peut donc effectuer un ping sur eux. En revanche, je pense qu'un
traceroute ne les voit pas �tant donn� que la gestion des flux ne
se fait qu'au niveau 2. D'ailleurs, �tant donn� que ton switch
sous Linux a une pile TCP/IP compl�te, il peut jouer le r�le de
switch, mais effectuer du filtrage au niveau 2 _et_ 3
(http://www.lea-linux.org/reseau/pont-filtrant.html).
Pour le failover je n'ai pas encore d'id�e... Peux �tre qu'avec deux
bridges faire en sorte que chaque machine soit autonome mais qu'elles
remplissent chacune leur r�le... Et l� comment cela se passe t'il pour
�viter tout conflit ?
Conflit d'adresse IP ? Pas de risque �tant donn� que tes machines
ne font pas passerelle IP. Ce que tu peux faire, c'est faire une
boucle :
|machine1|-----/swicth mat�riel\
| |
| |
________|____ __|__________
/switch linux1\ /switch linux2\
| |
| |
_|___________|_
/switch mat�riel\-----|machine2|
Attention, le fait d'introduire une boucle t'oblige � installer
du spanning-tree, sinon ton r�seau va s'engorger. Le
spanning-tree va �tablir un chemin unique pour aller de machine1
� machine2. En cas de changement (coupure d'un lien, panne d'un
�quipement), le STP (P pour Protocol) va recalculer un nouveau
chemin. Je ne connais pas les temps de basculement en revanche.
Mais dans le sch�ma simpliste que j'ai fait, on voit qu'il peut y
avoir un pb de point unique de d�faillance sur les switchs
mat�riels. Donc soit revoir l'architecture pour que les switchs
linux soit connect�s � des switchs mat�riels distincts, soit bien
superviser ces �quipements pour r�agir rapidement en cas de panne
(snmp ou ping).
Si on parle de panne logicielle et pas de panne mat�rielle pour
le failover, regarde du c�t� de watchdog (logiciel suffit). Je
n'ai pas vraiment r�ussi � le faire fonctionner ... Sinon,
hearthbeat.
Pour la petite histoire la demande vient de mon chef de service
(informatique) tr�s anti linux jusqu'� peu.. J'ai r�ussi � lui d�montrer
la fiabilit� de linux avec une Debian stable pour faire serveur LAMP,
maintenant il est pr�t � passer sur un linux pour un service critique
(les pare feu qui tombe et c'est un site avec 300 personnes qui ne
peuvent plus bosser).
J'ai install� des firewalls et des VPN en me basant sur GNU/Linux
(Debian). La robustesse de cette architecture est
impressionnante. Une fois bien configur�, peu de risque que ton
firewall tombe et emp�chent les 300 personnes de travailler.
Petit d�tail : dans la comparaison entre logiciel/mat�riel
propri�taire et libre, quand ton chef verra qu'il y gagne, ce
serait sympa (voir logique) qu'il verse une partie de
l'argent/temps gagn� � la communaut� du logiciel libre :) Free
veut pas dire gratuit, mais libre ... aussi dans la fa�on de
"payer" ;)
Evidemment je dois �tudier trois solutions et les
maquetter. A savoir une solution win, une linux et regarder ce qui se
fait du cot� mat�riel...
Pour ma part je vais continuer mes recherches mais si je pouvais avoir
quelques petites pistes suppl�mentaire �a ne serait pas mal.
C'est fait :)
Guillaume
