On Sat, 11 Nov 2000, Pierre Keller - BCU Lausanne wrote:
> Question subsidiaire: quelle doit être la taille du serveur,
> sachant qu'il devra servir une huitantaine de postes d'interro-
Digicomp SA (qui doit avoir entre 1000 et 2000 postes, utilisés par des
cours, peut-être 200 à la fois) utilisait un 486/32 MB de mémoire et 600
MB de disque (du moins en 1999). Mais cela était pour un proxy/application
Squid, pas ce qui est nécessaire ici.
Inutile de fouiller dans les tiroirs pour trouver ça, un PC moderne de bas
de gamme doit fonctionner (en particulier vu qu'un proxy n'a pas besoin
d'installation X et devrait être administrable à distance). S'il s'agit
d'un proxy application, la mémoire est surtout importante. Pour un proxy
paquet ou un firewall, probablement le CPU et la qualité des cartes
réseau.
L'autre avantage d'un proxy/application est la performance (le proxy peut
accélérer l'accès aux fichiers images, voire, en trichant, accélérer aussi
certains scripts qui ne sont normalement pas cachés).
> Ces postes sont répartis dans 3 bâtiments (en gros > 50 + 15 + 15 postes);
> faut-il prévoir plusieurs serveurs ?
Si ce réseau n'est utilisé par rien d'autre, il suffit de mettre le
proxy/application Linux avec 2 cartes réseaux, une sur ce réseau isolé,
une sur le réseau où se trouve le serveur (ce réseau peut-être le réseau
général).
SI CES ORDINATEURS SE TROUVENT SUR LE RESEAU GENERAL, IL N'EST PAS
POSSIBLE DE GARANTIR LA SECURITE DANS LE CAS GENERAL (on peut filtrer en
se basant sur des adresses, mais sans routeur à la sortie de chaque
groupe, cela risque d'être dur).
Si on suppose que ces machines ne peuvent pas être redémarrées sur autre
chose que l'OS Linux (BIOS avec mot de passe *SANS* backdoor) et que
celui-ci ne peut pas être reconfiguré (genre changement d'adresse IP), on
peut les mettre sur le réseau général et configurer le proxy avec filtrage
d'adresses.
Maintenant, les gens peuvent probablement changer la configuration du
client WWW, donc on ne peut pas se satisfaire d'un proxy-application
configuré sur le client: il faut, à la sortie vers Internet du réseau
général, configurer en fait un *firewall*, avec filtrage d'adresses. Un
tel firewall est de toute manière recommandé pour éviter que des intrus
puissent se connecter à l'intérieur.
Ce firewall bloquera alors tous les paquets IP provenant des ordinateurs
de consultation et les empêchera d'aller à l'extérieur du réseau général.
Si cela n'est pas suffisant (ie on veut aussi les empêcher d'accéder au
réseau interne à part le système de bibliothèque), il faut alors utiliser
la solution des deux réseaux.
On peut aussi imaginer une solution plus stricte avec un proxy/application
à la sortie du réseau général avec une identification et un mot de passe.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
