Re: [FRnOG] Firewall actif/actif
Késako PCEngine ? Parce que pour google, c'est avant une console de chez Nec ... :) http://pcengines.ch/wrap.htm --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Firewall actif/actif
Késako PCEngine ? Parce que pour google, c'est avant une console de chez Nec ... :) http://pcengines.ch/wrap.htm Les WRAPS sont EOL. Pour cet usage, c'était plutôt des Alix2c2 ou Alix2c3. http://pcengines.ch/alix2.htm
RE: [FRnOG] Firewall actif/actif
Si on en vient à utiliser pfSense en cluster, le jour où il y en a un qui tombe en rade, ce serait pas mal de pouvoir le remonter sans forcément tout réinstaller. Si je devais monter un pf en cluster (ce qui est déjà arrivé), je le ferai sur un FreeBSD ou un OpenBSD... pfSense, même s'il gère CARP and co ne me semble pas être le bon outil. Mais il me semble que ça a déjà été dit (y compris les limites de pfSense, comme la NIC LAN obligatoire, etc).
Re: [FRnOG] Firewall actif/actif
Pierre Gaxatte a écrit : Un seul des deux nœuds possède l'IP virtuelle et elle bascule quand le nœud tombe, non ? Du coup, si c'est le cas, ça veut dire que si on veut que le deuxième nœud s'occupe d'une partie du trafic, il faut faire une sorte de pivot (comme sur les Checkpoint) : le nœud qui a l'adresse virtuelle (et qui est donc la passerelle par défaut) renvoie une partie de son trafic à l'autre nœud pour qu'il s'occupe de filtrer ? Étant donné qu'à partir du moment où netfilter fonctionne, on gère forcément des tables et des sessions conntracks, procéder comme les checkpoints n'a pas vraiment d'intérêt du point de vue répartition de charge, je pense. Par contre, rien n'empêche d'avoir deux ip virtuelles (via 2 instances vrrp par exemple), et chaque nœud soit maître sur l'une des deux, pour répartir la charge tout en conservant de la haute disponibilité. -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Clement Hermann a écrit : Étant donné qu'à partir du moment où netfilter fonctionne, on gère forcément des tables et des sessions conntracks On peut tout à fait se passer de conntrack et faire un firewall stateless. Utile sur des machines qui voient passer beaucoup de trafic. -- Lost Oasis http://lost-oasis.fr/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Bertrand Yvain a écrit : Clement Hermann a écrit : Étant donné qu'à partir du moment où netfilter fonctionne, on gère forcément des tables et des sessions conntracks On peut tout à fait se passer de conntrack et faire un firewall stateless. Utile sur des machines qui voient passer beaucoup de trafic. Certainement, mais dans ce cas là ce modèle de répartition de charge n'a pas beaucoup d'intérêt non plus :) Et dans le cas d'un firewall stateless, aucun problème de synchronisation des sessions d'un firewall à l'autre, donc on n'a pas besoin de libnfconntrack et des outils présentés ici. -- Clément Hermann
Re: [FRnOG] Firewall actif/actif
Clement Hermann a écrit : Pierre Gaxatte a écrit : Un seul des deux nœuds possède l'IP virtuelle et elle bascule quand le nœud tombe, non ? Du coup, si c'est le cas, ça veut dire que si on veut que le deuxième nœud s'occupe d'une partie du trafic, il faut faire une sorte de pivot (comme sur les Checkpoint) : le nœud qui a l'adresse virtuelle (et qui est donc la passerelle par défaut) renvoie une partie de son trafic à l'autre nœud pour qu'il s'occupe de filtrer ? Étant donné qu'à partir du moment où netfilter fonctionne, on gère forcément des tables et des sessions conntracks, procéder comme les checkpoints n'a pas vraiment d'intérêt du point de vue répartition de charge, je pense. Par contre, rien n'empêche d'avoir deux ip virtuelles (via 2 instances vrrp par exemple), et chaque nœud soit maître sur l'une des deux, pour répartir la charge tout en conservant de la haute disponibilité. OK mais comment se fait la répartition des charges ? Il faut que je configure les gateways de tous les hôtes avec une IP virtuelle sur deux ??? :o -- Pierre LiLo Gaxatte --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Pierre Gaxatte a écrit : Étant donné qu'à partir du moment où netfilter fonctionne, on gère forcément des tables et des sessions conntracks, procéder comme les checkpoints n'a pas vraiment d'intérêt du point de vue répartition de charge, je pense. Par contre, rien n'empêche d'avoir deux ip virtuelles (via 2 instances vrrp par exemple), et chaque nœud soit maître sur l'une des deux, pour répartir la charge tout en conservant de la haute disponibilité. OK mais comment se fait la répartition des charges ? Il faut que je configure les gateways de tous les hôtes avec une IP virtuelle sur deux ??? :o En effet, il n'y a pas vraiment d'autre moyen de procéder à ma connaissance (encore une fois, si quelqu'un a une meilleure méthode ça m'intéresse beaucoup). Cela dit dans une grosse architecture (une qui justifie le load balancing, donc) on a généralement des équipements de routage en aval qui vont pouvoir se charger de la répartition (tel réseau sur tel firewall en priorité, tel autre sur l'autre, etc, sans modification de la configuration des hôtes) : c'est un des avantages de séparer routage et filtrage. -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
On Mon, 01 Sep 2008 16:26:28 +0200, Pierre Gaxatte [EMAIL PROTECTED] said: OK mais comment se fait la répartition des charges ? Il faut que je configure les gateways de tous les hôtes avec une IP virtuelle sur deux ??? :o 1. GLBP (malhereusement proprietaire Cisco) 2. 2 routes par default, vers des VIP croises (un en priorite sur la machine A, l'autre en priorite sur la machine B). 3. Metre des routeurs en amont et en aval des FW, et utiliser un protocle de routage avec equilibrage de charge. 4. Mettre un load-balancer en face, qu'il faudra redonder en actif-passif :) -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Radu-Adrian Feurdean a écrit : On Mon, 01 Sep 2008 16:26:28 +0200, Pierre Gaxatte [EMAIL PROTECTED] said: OK mais comment se fait la répartition des charges ? Il faut que je configure les gateways de tous les hôtes avec une IP virtuelle sur deux ??? :o 1. GLBP (malhereusement proprietaire Cisco) 2. 2 routes par default, vers des VIP croises (un en priorite sur la machine A, l'autre en priorite sur la machine B). J'y ai pensé, mais ça change pas la charge de boulot pour reconfigurer la moitité des machines... :( 3. Metre des routeurs en amont et en aval des FW, et utiliser un protocle de routage avec equilibrage de charge. Ouais chez nous c'est pas envisageable, on cherche juste à remplacer des firewalls, on était pas parti sur l'achat de routeurs supplémentaires. 4. Mettre un load-balancer en face, qu'il faudra redonder en actif-passif :) Ou comment utiliser douze machines pour un firewall :) -- Pierre LiLo Gaxatte --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Le Mon, 1 Sep 2008 19:27:38 +0200, Sebastien Bourgasser [EMAIL PROTECTED] a osé(e) écrire : Bonjour, Pierre Gaxatte a ecrit: Ouais chez nous c'est pas envisageable, on cherche juste à remplacer des firewalls, on était pas parti sur l'achat de routeurs supplémentaires. Comme indiqué précédemment, des solutions propriétaires sont adaptées à vos besoin (Nokia / CheckPoint, Fortinet). Je me permettrais d'ajouter le firewall StoneGate encore plus adapté si vous avez aussi besoin de load balancing applicatif. Les firewall StoneGate intègrent StoneBeat, fournissant toutes sortes d'agents communiquant avec le firewall afin d'avoir une vraie répartition de charge applicative. C'est de plus le firewall qui de mon point de vue gère le mieux le multi-isp. C'est cher, c'est pas customisable à volonté donc c'est beaucoup moins rigolo ;-). a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpxwMIPzbZLk.pgp Description: PGP signature
Re: [FRnOG] Firewall actif/actif
Hey ouais, on peut relancer le débat applicatif Vs. appliance ? Jerome Benoit a écrit : Le Mon, 1 Sep 2008 19:27:38 +0200, Sebastien Bourgasser [EMAIL PROTECTED] a osé(e) écrire : Bonjour, Pierre Gaxatte a ecrit: Ouais chez nous c'est pas envisageable, on cherche juste à remplacer des firewalls, on était pas parti sur l'achat de routeurs supplémentaires. Comme indiqué précédemment, des solutions propriétaires sont adaptées à vos besoin (Nokia / CheckPoint, Fortinet). Je me permettrais d'ajouter le firewall StoneGate encore plus adapté si vous avez aussi besoin de load balancing applicatif. Les firewall StoneGate intègrent StoneBeat, fournissant toutes sortes d'agents communiquant avec le firewall afin d'avoir une vraie répartition de charge applicative. C'est de plus le firewall qui de mon point de vue gère le mieux le multi-isp. C'est cher, c'est pas customisable à volonté donc c'est beaucoup moins rigolo ;-). a +. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
[EMAIL PROTECTED] a écrit : Bonjour, Nous utilisons aussi bien pour nous que nos clients des appliance Fortinet qui sont capables de fonctionner en A/A, de plus c'est assez facile d'emploi et d'apprentissage pour une équipe (et pas trop cher). My 2 cents. Bonjour, Pour replacer un peu dans notre contexte, nous ne sommes pour l'instant qu'en phase de recherche vers une solution évolutive qui pourra facilement couvrir les éventuels nouveaux besoins de nos clients. Nous proposons des services de hosting (dédié ou mutualisé, pas de virtuel en revanche) très personnalisés. Nous étions parti sur les Cisco ASA 5510 car nous sommes tous pas mal familiers avec les produits Cisco et tout notre backbone ainsi que nos firewalls actuels (les PIX) sont des Cisco : à première vue ça semblait donc naturel de continuer sur cette lancée. Seulement même si on peut trouver ce matériel pour pas trop trop cher, le cout des diverses licences devient vite problématique pour nous. Notre infrastructure est encore très petite et évolue assez lentement. D'où l'idée de creuser dans du libre sur des plateformes x86 standards. En plus ça rajoute la satisfaction personnelle et l'aventure de la mise en place et une totale personnalisation (j'ai envie de dire presque sans limite) :) Mais on garde toujours dans un coin de la tête le fait que les appliances ont un délai de mise en prod beaucoup plus court et une plus grande facilité dans la tâche. En plus de ça on a toujours la possiblité d'avoir un support commercial (plus ou moins efficace). Mais bon, c'est moins funky quoi :) -- Pierre LiLo Gaxatte --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Bonjour, Pour ma pars nous n'utilisons que du firewall applicatif ( netfilter pour être exact ). Cela couvre l'ensemble de nos besoins actuels avec une souplesse que l'on ne peut pas trouver sur des appliance propriétaire. Il est clairement pas possible aujourd'hui de disposer d'un modèle actif/actif avec les solutions netfiter ( on parle de synchronisation des états dans le cadre d'une bascule vers le fw slave ). La solution est de faire un mixte avec un routage applicatif et/ou par port. je m'explique... Il faut commencer par définir quel sont les flux qui vont transiter sur la plate-forme, ensuite identifier parmi ces derniers quels sont ceux qui nécessitent un filtrage par état. Troisièmement il faut identifier les flux qui vont transiter par des proxy et qui ne nécessiteront pas par conséquent d'un filtrage par état ( puisque le filtrage se fera naturellement sur le proxy ). On peut aussi définir les flux pour lesquels le reset de session n'est pas une gène ( les sessions http sont suffisamment courte pour que la gène soit peut perceptible ). Les flux identifier comme ne nécessitant pas de suivi seront routé vers des firewall ( du coup la on peut en avoir plusieurs ) sans état. Les autres flux seront routé vers une solution active/passive avec l'inconvénient de devoir réinitialiser la session en cas de bascule sur le fw de secours. Il est à noté que les architecture avec et sans état peuvent être fusionné. Typiquement on créer 2 chaînes, une pour les rêgles avec suivi des états l'autre ou on fait abstraction du suivi de session. Ensuite on envoie d'abord les flux dans la chaine sans suivi et en étape 2 dans la chaine avec suivi. Typiquement pour le routage on route par défaut tous les flux vers le firewal master, puis on intercepte les flux qui n'auront pas de suivi pour les renvoyer ( ex 1 paquet sur 2 ) vers le second firewall. L'archi nécessite un peut d'étude et de test pour un bon dimensionnement. Il peut être aussi intéressant de regarder du coté de chez NuFW ( extension netfilter ), bien actifs dans la communauté, ils travails beaucoup avec le suivi de session et auront peut être un pronostique plus favorable sur l'actif/actif ( on reste dans le libre avec possibilité d'un support commercial et dev via INL ). D'un point de vue propriétaire je croix qu'il n'y a pas de système de licence chez foundry. Joël Le vendredi 29 août 2008 à 14:04 +0200, Pierre Gaxatte a écrit : [EMAIL PROTECTED] a écrit : Bonjour, Nous utilisons aussi bien pour nous que nos clients des appliance Fortinet qui sont capables de fonctionner en A/A, de plus c'est assez facile d'emploi et d'apprentissage pour une équipe (et pas trop cher). My 2 cents. Bonjour, Pour replacer un peu dans notre contexte, nous ne sommes pour l'instant qu'en phase de recherche vers une solution évolutive qui pourra facilement couvrir les éventuels nouveaux besoins de nos clients. Nous proposons des services de hosting (dédié ou mutualisé, pas de virtuel en revanche) très personnalisés. Nous étions parti sur les Cisco ASA 5510 car nous sommes tous pas mal familiers avec les produits Cisco et tout notre backbone ainsi que nos firewalls actuels (les PIX) sont des Cisco : à première vue ça semblait donc naturel de continuer sur cette lancée. Seulement même si on peut trouver ce matériel pour pas trop trop cher, le cout des diverses licences devient vite problématique pour nous. Notre infrastructure est encore très petite et évolue assez lentement. D'où l'idée de creuser dans du libre sur des plateformes x86 standards. En plus ça rajoute la satisfaction personnelle et l'aventure de la mise en place et une totale personnalisation (j'ai envie de dire presque sans limite) :) Mais on garde toujours dans un coin de la tête le fait que les appliances ont un délai de mise en prod beaucoup plus court et une plus grande facilité dans la tâche. En plus de ça on a toujours la possiblité d'avoir un support commercial (plus ou moins efficace). Mais bon, c'est moins funky quoi :) signature.asc Description: Ceci est une partie de message numériquement signée
Re: [FRnOG] Firewall actif/actif
Stéphane BUNEL a écrit : Clément Hermann wrote: (...) Le problème avec netfilter, ça va être la synchronisation de l'état. Il (...) http://conntrack-tools.netfilter.org/ The *conntrack-tools* are a set of free software http://www.gnu.org/philosophy/free-sw.html userspace tools for Linux http://www.kernel.org that allow system administrators interact with the Connection Tracking System http://people.netfilter.org/pablo/docs/login.pdf, which is the module that provides stateful packet inspection for iptables http://www.netfilter.org/projects/iptables/index.html. The *conntrack-tools* are the userspace daemon /conntrackd/ and the command line interface /conntrack/. La présentation de Pablo au RMLL2008, Fault tolerant stateful firewalling with GNU/Linux, par Pablo Neira Ayuso: http://free-electrons.com/pub/video/2008/rmll/rmll2008-pablo-neira-ayuso-firewalling.ogg Je pensais bien que ça allait évoluer avec l'apparition de libnfconntrack :) Merci pour l'info, j'avoue que j'ai assez peu suivi les évolutions récentes. -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Salut, --On jeudi 28 août 2008 11:50 +0200 Pierre Gaxatte [EMAIL PROTECTED] wrote: Etant nouveau sur la liste, je vais (très brièvement) me présenter : Pierre, ingénieur réseaux et systèmes. Enchanté pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai du mal à réunir de la documentation et à peser le pour et le contre de tout ce qui peut se faire. Je dis peut être une grosse connerie, mais ça ne ressemble pas à de l'actif/actif... là dedans je ne connais que ucarp (bien) qui fait du master/backup et heartbeat (moins bien) qui fait pareil, je crois (les indications entre parenthèses ne sont pas qualitatives sur le produit mais mon niveau de connaissance). De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me diriger sur cette voie : je préfère pour l'instant rester sur un système que je connais bien, surtout pour des firewalls ! C'est fort dommage. OpenBSD + carp + pfsync est ultra documenté et se monte en 1/2h chrono. En plus on peut imaginer le mettre en double bridge et là c'est 3 my $.02 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
2008/8/28 Pierre Gaxatte [EMAIL PROTECTED] Bonjour, Etant nouveau sur la liste, je vais (très brièvement) me présenter : Pierre, ingénieur réseaux et systèmes. Je me tourne vers vous pour une petite (enfin grosse) question :) Nous prévoyons en ce moment de changer nos vieux PIX en Failover pour une solutoin de firewalls en actif/actif. On était parti à la base sur des ASA et finalement j'ai réussi à convaincre mes collègues de tenter l'expérience Netfilter avant de se décider (rapport qualité prix incomparable, surtout niveau prix :)). Voilà donc mon problème, je cherche depuis quelques temps une solution pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai du mal à réunir de la documentation et à peser le pour et le contre de tout ce qui peut se faire. Il ne me semble pas que VRRP supporte IPv6 contrairement à carp, donc selon ton besoin, ça peut être décisif. A vrai dire les documentations n'ont pas l'air de faire légion dans le domaine (ou alors il va me falloir une formation Google...). De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me diriger sur cette voie : je préfère pour l'instant rester sur un système que je connais bien, surtout pour des firewalls ! C'est un choix, mais j'ai sauté le pas car c'est assez facile de monter un openBSD pour ça. Je viens juste de maqueter deux openbsd qui font du 802.1q, tu utilises carp sur tes interfaces vlan, puis pfsync pour le maintiens des sessions quand l'un ou l'autre tombe (et ça c'est top car totalement transparent même au niveau des sessions utilisateurs lorsqu'un équipement tombe) Pour ce que j'ai testé CARP, je trouve ça vraiment très performant, (aucune perte de paquet, presque pas de latence de convergence (bcp moins d'une seconde) Ajouté à celà, ceux qui utiliseront la solution ne sont pas plus familier avec netfilter qu'avec packetfilter, donc l'apprentissage de pf me semble bien plus simple et lisible que netfilter. Donc voilà, si quelqu'un avait une petite piste/un avis là dessus, je serais très content de l'entendre :) Sache d'abord que tu as tout à fait raison de te tourner vers une solution de ce genre :) Après il y a des surcouches graphiques pour gérer ça si tes collegues sont hermétiques à l'édition de fichier de conf. L'avantage aussi c'est que tu peux faire des tables et ne recharger qu'une table, ainsi tu peux recharger en journée sans perturber de la prod ou des partenaires non incriminés par ta manip. -- Pierre LiLo Gaxatte --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Steven Le Roux Jabber-ID : [EMAIL PROTECTED] 0x39494CCB [EMAIL PROTECTED] 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
Re: [FRnOG] Firewall actif/actif
Pierre Gaxatte a écrit : Bonjour, Bonjour, Voilà donc mon problème, je cherche depuis quelques temps une solution pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai du mal à réunir de la documentation et à peser le pour et le contre de tout ce qui peut se faire. A vrai dire les documentations n'ont pas l'air de faire légion dans le domaine (ou alors il va me falloir une formation Google...). De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me diriger sur cette voie : je préfère pour l'instant rester sur un système que je connais bien, surtout pour des firewalls ! Donc voilà, si quelqu'un avait une petite piste/un avis là dessus, je serais très content de l'entendre :) Le problème avec netfilter, ça va être la synchronisation de l'état. Il existe bien libnfconntrack qui permet un accès aux suivi de connexion en user-space, mais il faut encore le transporter jusqu'à l'autre firewall. Sinon, on peut dire adieu à sa session quand on change de firewall... Après, l'autre souci, avec carp, vrrp etc ça va être de faire de l'actif / actif. Même avec du BSD à ma connaissance ce n'est pas vraiment possible : ce qu'on peut éventuellement faire c'est faire plusieurs pool carp et jouer sur le routage pour que les machines passe de préférence par tel ou tel firewall. Ce qu'il faudrait, ce serait un vrai équilibreur de charge, et donc faire passer le trafic équitablement sur les deux firewall, mais ça nécessite un équipement supplémentaire, il en faut un de chaque côté pour bien faire (wan + lan) et il faut en plus le redonder en actif passif :) Peut-être qu'il est possible de faire quelque chose avec un bridge et lacp (802.3ad, on parle souvent de bonding ou trunking), mais en ce qui me concerne je n'ai mis en oeuvre que la simple solution à base de Spanning Tree Protocol, donc en actif / passif. La aussi, il faut un mécanisme de synchronisation des états. Si quelqu'un a des éléments là dessus je suis preneur... :) Dans ma boîte, on passe de Linux/Netfilter à Freebsd/pf justement pour cette raison : l'absence d'un équivalent à pfsync pour netfilter (et aussi pour le nombre de pps traités mais c'est une autre histoire). Ce n'est pas du tout cuit quand on a un usage avancé de netfilter, quoi qu'on en dise (certaines choses sont très compliqées à faire avec pf, je trouve), mais ça se fait, et il y a certains avantages annexes, comme la facilité pour recharger des règles à la volée déjà évoquée dans ce thread. Avec netfilter il fallait faire des scripts assez compliqués pour parvenir au même résultat... Quoi qu'il en soit, bonne chance dans tes recherches :) Cordialement, -- Clément Hermann (nodens) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
2008/8/28 Clément Hermann [EMAIL PROTECTED]: Voilà donc mon problème, je cherche depuis quelques temps une solution pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai du mal à réunir de la documentation et à peser le pour et le contre de tout ce qui peut se faire. A vrai dire les documentations n'ont pas l'air de faire légion dans le domaine (ou alors il va me falloir une formation Google...). De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me diriger sur cette voie : je préfère pour l'instant rester sur un système que je connais bien, surtout pour des firewalls ! Donc voilà, si quelqu'un avait une petite piste/un avis là dessus, je serais très content de l'entendre :) Finalement face aux serveurs à acheter + la galère de configuration, ça ne revenait pas si cher de prendre des ASA. Patrick --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
On Aug 28, 2008, at 12:02 PM, Steven Le Roux wrote: De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me diriger sur cette voie : je préfère pour l'instant rester sur un système que je connais bien, surtout pour des firewalls ! C'est un choix, mais j'ai sauté le pas car c'est assez facile de monter un openBSD pour ça. Je viens juste de maqueter deux openbsd qui font du 802.1q, tu utilises carp sur tes interfaces vlan, puis pfsync pour le maintiens des sessions quand l'un ou l'autre tombe (et ça c'est top car totalement transparent même au niveau des sessions utilisateurs lorsqu'un équipement tombe) Pour ce que j'ai testé CARP, je trouve ça vraiment très performant, (aucune perte de paquet, presque pas de latence de convergence (bcp moins d'une seconde) Ajouté à celà, ceux qui utiliseront la solution ne sont pas plus familier avec netfilter qu'avec packetfilter, donc l'apprentissage de pf me semble bien plus simple et lisible que netfilter. Je rajouterais aussi que la configuration de PF (sur FreeBSD ou OpenBSD) s'effectue a un seul niveau (un seul fichier) qui permet de definir les regles de filtrage, de nat et du traffic shaping (avec ALTQ) Le seule probleme que j'ai personellement avec PF c'est que c'est du last match ce qui a toujours tendence a me perturber (et je en suis pas le seul) pour l'ecriture des regles. Personellement a votre place je n'abondonnerais pas les appliances pour du firewall applicatif. Parce que chez nous on a fait exatement l'inverse... pour differentes raisons parmis lesquelles : 1 - Les procedures de gestion des firewall applicatifs (type netfilter, pf ou autre) doivent etre tres tres tres strictes et suivies a la lettre pour ne pas se retrouver dans des situations tres difficiles (rajout des regles a la volee dans le firewall a la ligne de commande, sans les mettres dans la conf ou les confs dans le cas d'un cluster.. des OS qui refusent de booter pour des histoires de raids ou betement de BIOS. Ou des interfaces rajoutee a coup de ifconfig et pas mis dans les scripts de demarrages, ou avec une erreur de syntax qui ne peut etre verifiee qu'au boot... etc etc) Mettre en place un Firewall applicatif et faire en sort que sa conf et sa gestion soient bullet proof prend beaucoup de temps et sur ce genre de brique essentielle d'une plate-forme une fois que c'est en PROD plus moyen d'y toucher... 2 - Dans notre cas, il fallais que le Firewall fasse passerelle VPN aussi... ce qui est assez complique a mettre en place de facon industrielle (avec les procedures qui vont avec aussi...) Pour moi, si vous avez la possibilite (et le budget surtout) d'avoir des appliances (le choix de la techno/constructeur est un autre debat) faites le. On peut tout faire avec des firewalls applicatif mais ca prend beaucoup de temps et les gerer au jour le jour est tres complique s'il s'agit d'une equipe. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Bonjour, Bonjour, Etant nouveau sur la liste, je vais (très brièvement) me présenter : Pierre, ingénieur réseaux et systèmes. Je me tourne vers vous pour une petite (enfin grosse) question :) Nous prévoyons en ce moment de changer nos vieux PIX en Failover pour une solutoin de firewalls en actif/actif. On était parti à la base sur des ASA et finalement j'ai réussi à convaincre mes collègues de tenter l'expérience Netfilter avant de se décider (rapport qualité prix incomparable, surtout niveau prix :)). Voilà donc mon problème, je cherche depuis quelques temps une solution pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai du mal à réunir de la documentation et à peser le pour et le contre de tout ce qui peut se faire. A vrai dire les documentations n'ont pas l'air de faire légion dans le domaine (ou alors il va me falloir une formation Google...). De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me diriger sur cette voie : je préfère pour l'instant rester sur un système que je connais bien, surtout pour des firewalls ! Je n'utilise pas ces fonctionnalités actuellement mais m0n0wall et pfsense (qui est un développement parallèle de m0n0wall et peut être installé sur disque permettant ainsi d'installer des packages supplémentaires) offrent la possibilité de faire du carp et pfsync. Cela tourne sous freebsd. Sur notre campus nous avons m0n0wall (sur boîtiers wrap) et pfsense (sur des serveur 1U) depuis plusieurs années et ce sont de superbes logiciels. Les serveurs sous pfsense nous permettent aussi d'avoir squid maison + un proxycgi shibolleth'isé Interface de gestion graphique, accès shell, ... Nombreuses fonctionnalités (voir plus bas). Très stable. Un peu de tuning au début (notamment par rapport à la table statefull) mais cela tient plusieurs milliers d'utilisateurs simultanés sans problème (dépend bien sûr de la config hardware). L'installation se fait à partir d'un livecd en mode console. Une adresse IP sur l'interface LAN (qui peut être mise dès le départ en 802.1q) et le reste se fait via GUI. Un fw de base est configuré en moins d'une heure. Le fichier de config est sauvegardable/restorable en xml. Et la réplication sur d'autres boîtiers (wrap) devient triviale. (cela peut aussi servir de point d'accès wifi, fw adsl, ...) Ci-dessous (en mode dépouillé) les différents rubriques accessibles à partir de l'interface graphique de pfsense : * System o Advanced o Firmware o General Setup o Packages o Setup wizard o Static routes * Interfaces o (assign) o WAN o LAN ... * Firewall o Aliases o NAT o Rules o Schedules o Traffic Shaper o Virtual IPs * Services o Captive portal o DNS forwarder o DHCP relay o DHCP server o Dynamic DNS o Load Balancer o OLSR o RIP o SNMP o UPnP o OpenNTPD o Wake on LAN o Proxy server * VPN o IPsec o OpenVPN o PPPoE o PPTP * Status o CARP (failover) o DHCP leases o Filter Reload Status o Interfaces o IPsec o Load Balancer o Package logs o Queues o RRD Graphs o Services o Dashboard o System logs o Traffic graph o UPnP o Proxy report * Diagnostics o ARP Tables o Backup/Restore o Command Prompt o Edit File o Factory defaults o Halt system o Ping o Reboot system o Routes o States o Traceroute o Packet Capture (un package sur la 1.2 et sur la nouvelle version 1.3 (en béta) à venir offrent un dashboard) Les packages actuellement disponibles (rien n'empêche par ailleurs d'installer ces propres logiciels au besoin mais ils ne pourront pas être gérés via l'interface graphique) Lcdproc-0.5.2_2 Lightsquid 1.7.1 OpenBGPD 0.4 Zabbix Agent 0.22 arping 2.05 bandwidthd 2.0.1.1 darkstat 3.0.619 diag_new_states 0.2 dns-server 1.0.3 freeradius 1.1.2_1 imspector 0.4 iperf 2.0.2_1 nmap 4.20_1 ntop 3.2_2 nut 2.0.4 pfflowd 0.7 phpSysInfo 2.5.3 siproxd 0.7.1 spamd 4.3.7 squid 2.6.18.1_04 squidGuard 1.2.0_1 sshterm 0.1 stunnel 4.18 widentd 1.03_1 Donc voilà, si quelqu'un avait une petite piste/un avis là dessus, je serais très content de l'entendre :) -- Hubert Ulliac - CRI - Université Rennes 2 Haute Bretagne --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Le 28 août 2008 à 11:50, Pierre Gaxatte a écrit: Voilà donc mon problème, je cherche depuis quelques temps une solution pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai du mal à réunir de la documentation et à peser le pour et le contre de tout ce qui peut se faire. Keepalived permet de recopier l'etat des connexions via un démon spécifique je crois. Sinon, comme mentionné, il est possible de configurer les routeurs en amont pour répartir le traffic entre les 2 firewalls, via le protocole de routage. Enfin, le mieux, à mon avis, c'est de désactiver le suivi de connexions, et de faire des acl basiques, qui rendent le problème beaucoup plus simple. Et là, ca sera peu cher et relativement bien sécurisé. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Le 28 août 08 à 15:56, Hubert Ulliac a écrit : Je n'utilise pas ces fonctionnalités actuellement mais m0n0wall et pfsense (qui est un développement parallèle de m0n0wall et peut être installé sur disque permettant ainsi d'installer des packages supplémentaires) offrent la possibilité de faire du carp et pfsync. Cela tourne sous freebsd. Sur notre campus nous avons m0n0wall (sur boîtiers wrap) et pfsense (sur des serveur 1U) depuis plusieurs années et ce sont de superbes logiciels. Les serveurs sous pfsense nous permettent aussi d'avoir squid maison + un proxycgi shibolleth'isé Interface de gestion graphique, accès shell, ... Nombreuses fonctionnalités (voir plus bas). Il y a eu un bon tutoriel sur pfSense lors de la dernière BSDCan 2008, très honnête sur les perf' et l'utilisation qui peut en être fait : http://www.bsdcan.org/2008/schedule/attachments/66_pfSenseTutorial.pdf Personnellement, entre l'obligation interface WAN/LAN (sinon ça s'installe pas) et les règles par défaut, je le vois quand même plutôt comme une passerelle de branch office ou pour faire un frontend devant quelques serveurs que comme un vrai firewall. Et pour les mêmes raisons que Youssef (d'expérience), j'irai plutôt sur des appliances moins compliquées à gérer. Surtout si maintenant, vu les limitations de Linux pour faire de la redondance de firewalls, Pierre commence à se tourner vers OpenBSD et qu'il admet lui-même que personne ne maîtrise dans son équipe. Cordialement, --eberkut--- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Firewall actif/actif
Bonjour la liste, Pour de l'actif/actif facile à gérer en équipe nous utilisons des boitiers Fortinet qui sont relativement peu cher et offrent pas mal de fonctionnalités. My 2 cents Cordialement -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de eberkut Envoyé : jeudi 28 août 2008 17:49 À : frnog@frnog.org Objet : Re: [FRnOG] Firewall actif/actif Le 28 août 08 à 15:56, Hubert Ulliac a écrit : Je n'utilise pas ces fonctionnalités actuellement mais m0n0wall et pfsense (qui est un développement parallèle de m0n0wall et peut être installé sur disque permettant ainsi d'installer des packages supplémentaires) offrent la possibilité de faire du carp et pfsync. Cela tourne sous freebsd. Sur notre campus nous avons m0n0wall (sur boîtiers wrap) et pfsense (sur des serveur 1U) depuis plusieurs années et ce sont de superbes logiciels. Les serveurs sous pfsense nous permettent aussi d'avoir squid maison + un proxycgi shibolleth'isé Interface de gestion graphique, accès shell, ... Nombreuses fonctionnalités (voir plus bas). Il y a eu un bon tutoriel sur pfSense lors de la dernière BSDCan 2008, très honnête sur les perf' et l'utilisation qui peut en être fait : http://www.bsdcan.org/2008/schedule/attachments/66_pfSenseTutorial.pdf Personnellement, entre l'obligation interface WAN/LAN (sinon ça s'installe pas) et les règles par défaut, je le vois quand même plutôt comme une passerelle de branch office ou pour faire un frontend devant quelques serveurs que comme un vrai firewall. Et pour les mêmes raisons que Youssef (d'expérience), j'irai plutôt sur des appliances moins compliquées à gérer. Surtout si maintenant, vu les limitations de Linux pour faire de la redondance de firewalls, Pierre commence à se tourner vers OpenBSD et qu'il admet lui-même que personne ne maîtrise dans son équipe. Cordialement, --eberkut--- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
eberkut a écrit : Le 28 août 08 à 15:56, Hubert Ulliac a écrit : Je n'utilise pas ces fonctionnalités actuellement mais m0n0wall et pfsense (qui est un développement parallèle de m0n0wall et peut être installé sur disque permettant ainsi d'installer des packages supplémentaires) offrent la possibilité de faire du carp et pfsync. Cela tourne sous freebsd. Sur notre campus nous avons m0n0wall (sur boîtiers wrap) et pfsense (sur des serveur 1U) depuis plusieurs années et ce sont de superbes logiciels. Les serveurs sous pfsense nous permettent aussi d'avoir squid maison + un proxycgi shibolleth'isé Interface de gestion graphique, accès shell, ... Nombreuses fonctionnalités (voir plus bas). Il y a eu un bon tutoriel sur pfSense lors de la dernière BSDCan 2008, très honnête sur les perf' et l'utilisation qui peut en être fait : http://www.bsdcan.org/2008/schedule/attachments/66_pfSenseTutorial.pdf Personnellement, entre l'obligation interface WAN/LAN (sinon ça s'installe pas) et les règles par défaut, je le vois quand même plutôt comme une passerelle de branch office ou pour faire un frontend devant quelques serveurs que comme un vrai firewall. Tout à fait d'accord pour m0n0wall. Pour pfsense c'est vrai que nous l'utilisons principalement pour des flux sortants. Pour nos flux entrants généraux nous avons autre chose donc pas vraiment de retour d'expérience dans ce cas pour son utilisation. Et pour les mêmes raisons que Youssef (d'expérience), j'irai plutôt sur des appliances moins compliquées à gérer. D'expérience, je ne trouve pas pfsense compliqué à gérer, en tous cas pas par rapport aux appliances ou plateformes propriétaires que je connais. Mais d'accord sur le fait qu'il ne convient pas forcément à ce que recherche Pierre. Je pense quand même que ce sont des logiciels qu'il est bon de connaître, voire essayer (chez soi par exemple:-). Surtout si maintenant, vu les limitations de Linux pour faire de la redondance de firewalls, Pierre commence à se tourner vers OpenBSD et qu'il admet lui-même que personne ne maîtrise dans son équipe. Ou alors se passer de firewall ;-} Il y a eu il y a quelques mois un long thread intéressant avec les pour et les contre sur ce sujet dans une liste de diffusion sur le thème des firewall (je n'ai pas en tête le nom de la liste et je n'ai pas le temps de chercher). Une grosse université américaine était citée en exemple. Cordialement, --eberkut--- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/