On Sat, 11 Nov 2000, Pierre Keller - BCU Lausanne wrote:
> Question subsidiaire: quelle doit �tre la taille du serveur,
> sachant qu'il devra servir une huitantaine de postes d'interro-
Digicomp SA (qui doit avoir entre 1000 et 2000 postes, utilis�s par des
cours, peut-�tre 200 � la fois) utilisait un 486/32 MB de m�moire et 600
MB de disque (du moins en 1999). Mais cela �tait pour un proxy/application
Squid, pas ce qui est n�cessaire ici.
Inutile de fouiller dans les tiroirs pour trouver �a, un PC moderne de bas
de gamme doit fonctionner (en particulier vu qu'un proxy n'a pas besoin
d'installation X et devrait �tre administrable � distance). S'il s'agit
d'un proxy application, la m�moire est surtout importante. Pour un proxy
paquet ou un firewall, probablement le CPU et la qualit� des cartes
r�seau.
L'autre avantage d'un proxy/application est la performance (le proxy peut
acc�l�rer l'acc�s aux fichiers images, voire, en trichant, acc�l�rer aussi
certains scripts qui ne sont normalement pas cach�s).
> Ces postes sont r�partis dans 3 b�timents (en gros > 50 + 15 + 15 postes);
> faut-il pr�voir plusieurs serveurs ?
Si ce r�seau n'est utilis� par rien d'autre, il suffit de mettre le
proxy/application Linux avec 2 cartes r�seaux, une sur ce r�seau isol�,
une sur le r�seau o� se trouve le serveur (ce r�seau peut-�tre le r�seau
g�n�ral).
SI CES ORDINATEURS SE TROUVENT SUR LE RESEAU GENERAL, IL N'EST PAS
POSSIBLE DE GARANTIR LA SECURITE DANS LE CAS GENERAL (on peut filtrer en
se basant sur des adresses, mais sans routeur � la sortie de chaque
groupe, cela risque d'�tre dur).
Si on suppose que ces machines ne peuvent pas �tre red�marr�es sur autre
chose que l'OS Linux (BIOS avec mot de passe *SANS* backdoor) et que
celui-ci ne peut pas �tre reconfigur� (genre changement d'adresse IP), on
peut les mettre sur le r�seau g�n�ral et configurer le proxy avec filtrage
d'adresses.
Maintenant, les gens peuvent probablement changer la configuration du
client WWW, donc on ne peut pas se satisfaire d'un proxy-application
configur� sur le client: il faut, � la sortie vers Internet du r�seau
g�n�ral, configurer en fait un *firewall*, avec filtrage d'adresses. Un
tel firewall est de toute mani�re recommand� pour �viter que des intrus
puissent se connecter � l'int�rieur.
Ce firewall bloquera alors tous les paquets IP provenant des ordinateurs
de consultation et les emp�chera d'aller � l'ext�rieur du r�seau g�n�ral.
Si cela n'est pas suffisant (ie on veut aussi les emp�cher d'acc�der au
r�seau interne � part le syst�me de biblioth�que), il faut alors utiliser
la solution des deux r�seaux.
On peut aussi imaginer une solution plus stricte avec un proxy/application
� la sortie du r�seau g�n�ral avec une identification et un mot de passe.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
