XEN - IPCOP & PFSENSE

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

XEN - IPCOP & PFSENSE

Messagepar mad_dog » 01 Juil 2007 01:15

Bonsoir,

voilà je vous expose rapidement mon idée : souhaitant coupler deux accès INTERNET pour ma société je souhaiterai utiliser PFsense qui semble très bien faire cela tous en gardant IPCOP qui s'occupe très bien du filtrage WEB, proxy, multi-LANS.

Donc pour éviter la multiplication des machines, je pensais utiliser un hote XEN et y placer :
- une machine virtuelle PFSENSE qui s'occuperait simplement du load balancinq pour l'équilibrage de charge et le fail-over pour la connexion INTERNET
- une 2nd machine virtuelle IPCOP pour toutes les fonctionnalitées déjà cités.

Par contre, c'est la sécurité et la fiabilité de tous ... ! ?

J'ai trouvé quelques liens sur le net :
-> http://www.shorewall.net/Xen.html
-> http://www.mail-archive.com/debian-fire ... 08060.html
-> http://armyofevilrobots.com/node/413

Qu'en pensez vous ?
Le savoir n'est bon que s'il est partagé.
http://www.societeg.com/
Image
Solution d'hébergement WEB Open-source
Avatar de l’utilisateur
mad_dog
Vice-Amiral
Vice-Amiral
 
Messages: 997
Inscrit le: 05 Fév 2003 01:00
Localisation: Nantes

Messagepar antolien » 01 Juil 2007 01:28

salut,

d'un point de vue sécurité, mettre ton accès frontal sur des machines virtuelle, je ne trouve pas cela très propre.

Ne pouvons nous pas nous passer de pfsense et la jouer avec iproute2 ?

Où l'inverse, nous passer d'ipcop et la jouer avec .. (j'ignore ce qu'il manque) ?
Dernière édition par antolien le 01 Juil 2007 01:38, édité 1 fois au total.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar antolien » 01 Juil 2007 01:38

en fait c'est juste qu'il manque des choses sur ipcop, il en manque peut-être sur pfsense.

mais derriere c'est du linux où du bsd.

donc déjà j'aimerais bien voir les capacités de pfsense a gérer le load balancing, si c'est comme tout le monde ; donner des priorités en fonction des protocoles sur tel ou tel lien, on peu le faire sous linux.

Autrement pourquoi ne pas ajouter la fonction multi wan sur ipcop ?

ps: j'avoue ne pas connaitre pfsense, j'ai lu en cherchant que c'est le seul truc "integré" qui gère le multi wan, mais en voulant tester je me suis retrouvé sur une interface barbare et un noyau capricieux.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar mad_dog » 01 Juil 2007 01:43

Il est vrai qu'il manque juste la gestion du multi-wan à IPCOP.

Sur le faite de mettre en frontal une machine XEN, je suis sur la même longueur d'onde que toi.

Je pense que je vais me plonger un peux sur le fameux multi-wan IPCOP, j'ai vu qu'il était sorti un script pour cela.

Par contre, BlockOutTraffic ne pourrait'il pas faire cela ?
Le savoir n'est bon que s'il est partagé.
http://www.societeg.com/
Image
Solution d'hébergement WEB Open-source
Avatar de l’utilisateur
mad_dog
Vice-Amiral
Vice-Amiral
 
Messages: 997
Inscrit le: 05 Fév 2003 01:00
Localisation: Nantes

Messagepar jibe » 19 Juil 2007 19:17

Salut Mad-dog (et les autres !),

Où en es-tu de tes investigations ? Ca semble intéressant...

Perso, je me suis toujours posé la question, sans jamais prendre le temps d'y réfléchir, de savoir s'il y aurait moyen d'avoir un système permettant :
- De cumuler les débits ADSL de deux ou plusieurs lignes, avec tolérance de panne,
- De faire office de serveur fax sur une des lignes,
- De profiter en se passant de *box de la téléphonie IP proposée par les FAI,
- Et pourquoi pas de profiter, pour les heureux dégroupés, de la TV...

Mais peut-être que je rêve un peu :lol:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar tomtom » 19 Juil 2007 19:25

Salut,

jibe a écrit:- De cumuler les débits ADSL de deux ou plusieurs lignes, avec tolérance de panne,
- De faire office de serveur fax sur une des lignes,


Ca semble très faisable, dans le sens sortant en tout cas ou en se passant du temps réél (round-robin)

- De profiter en se passant de *box de la téléphonie IP proposée par les FAI,
- Et pourquoi pas de profiter, pour les heureux dégroupés, de la TV...

Mais peut-être que je rêve un peu :lol:


Pour ceux-là, je pense que oui.
Pour ce que j'ai vu, la FB utilise des cannaux ATM dédiés pour la voix et les chaines video, donc les recupérer sans box, ça semble chaud :p

Par contre, avec equiga par exemple, on peut utiliser le compte SIP proposé par free partout dans le monde derrière un ADSL ;)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar tomtom » 19 Juil 2007 19:34

One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar leso » 20 Juil 2007 20:44

Je me suis posé la question aussi sur l utilisation de deux ISP sur un ipcop , j 'aimerais vous soumettre ces deux liens qui a mon avis sont des bons départs mêmes si je n 'ai pas encore eu le temps de les testés.

http://www.go2linux.org/node/26

http://lartc.org/howto/lartc.rpdb.multiple-links.html

J ai vu qu 'un script existe déja mais je n 'ai pas réussi a le trouver si quelqu'un a une url je serais ravi de cliquer dessus :p
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris

Messagepar tomtom » 20 Juil 2007 21:33

Il y a de nombreux liens et idées ici : http://forums.ixus.fr/viewtopic.php?t=2 ... sc&start=0

Dont le script netsane dont tu veux sans doute parler...


A+

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar leso » 20 Juil 2007 21:42

effectivement ca me parait interessant
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris

Messagepar learnux » 21 Juil 2007 23:01

Bonjour, ceci est effectivement très interressant.
Ce serait bien de pouvoir faire un noyau xen pour ipcop et pfsense. mais en attendant on peut virtualiser avec qemu.
learnux
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 24 Oct 2006 20:01

Messagepar M@nu » 15 Sep 2007 09:20

jibe a écrit:Perso, je me suis toujours posé la question, sans jamais prendre le temps d'y réfléchir, de savoir s'il y aurait moyen d'avoir un système permettant :
- De cumuler les débits ADSL de deux ou plusieurs lignes, avec tolérance de panne,

PFsense le fait.
Les lignes sont en round robin, mais si l'une tombe, le traffic est routé sur les autres.
Possibilité de faire des routes spécifiques. Et le fait qu'il gère des alias rends les redactions de règles très simple.

- De faire office de serveur fax sur une des lignes,
- De profiter en se passant de *box de la téléphonie IP proposée par les FAI,

un Asterisk devrait permettre cela.

- Et pourquoi pas de profiter, pour les heureux dégroupés, de la TV...

J'ai un abo Free et un abo Neuf.
Grace a des règles de routage sur mon PFsense, je profite EN MEME TEMPS, sur mon PC du multiposte Free, de la TV sur PC de Free et de la TV sur PC de Neuf... soit en général 4 chaines visibles en même temps...

J'ai fait le choix de PFSense, car IpCop n'a pas d'équilibrage de charge entre 2 lignes.
Mais je préfère IpCop pour la facilité d'accès aux logs entrant et sortant et à la richesse de ses addons (adv proxy, entre autre).
PFSense permet pas mal de choses aussi, mais me semble moins convivial à l'usage et plus lourd.
Parmis ses possiblités: portail captif, loadbalancing sortant (multi-wan) et entrant (avoir plusieurs serveurs web vus comme un seul pour équilibrer la charge).

Je rève d'une machine ayant les capacité d'IpCop, + muli-wan + astérisk

Pour le coup de la virtualisation, je suis plutôt contre. Il est préférable de mettre un PFSense en front, et de coller (si besoin est) un IpCop dérrière... (moi, j'ai préféré collé un wrt54gl, lol )
M@nu
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 14 Mai 2004 17:20

Messagepar jibe » 16 Sep 2007 21:12

Salut,

Merci pour ce retour d'expérience intéressant :D
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar learnux » 17 Sep 2007 19:00

Pour le coup de la virtualisation, je suis plutôt contre. Il est préférable de mettre un PFSense en front, et de coller (si besoin est) un IpCop dérrière... (moi, j'ai préféré collé un wrt54gl, lol )


Pourquoi?

Supposons qu'on ai une seule machine avec les ressources neccessaire et le nombre de port ethernet requis. Cela peut eviter d'avoir à dedier une machine que pour Ipcop ou PFsense. D'autant plus les nouveaux processeurs sont bien trop puissants pour ces dernier.
learnux
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 24 Oct 2006 20:01

Messagepar jibe » 17 Sep 2007 21:11

Salut,

antolien a écrit:d'un point de vue sécurité, mettre ton accès frontal sur des machines virtuelle, je ne trouve pas cela très propre.

Du point de vue sécurité, il vaut mieux des machines séparées (ce n'est pas tomtom qui me contredira
:lol: :wink: ). Maintenant, tout est aussi une affaire de compromis... c'est une affaire de rapport entre les besoins en sécurité (qui peuvent se chiffrer en millions d'Euros), le budget disponible (qui dépend disons en gros du CA de l'entreprise) et du coût des solutions de remplacement (une machine de récup=0€, modifier Ipcop=un peu de matière grise)...

Certes, je ne tiens pas compte de tout (conso des bécanes...) mais je pense que les remarques d'Antolien sont assez judicieuses : on peut aussi tout rassembler dans une même machine de manière plus propre que par VMware ou qemu... et en consommant nettement moins de ressources, ce qui permet de garder un vieux P90 pour Ipcop plutôt que le changer contre un dual core flambant neuf...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité