Conseil pour configuration materiel pour 300 users

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Conseil pour configuration materiel pour 300 users

Messagepar J@r0d » 05 Fév 2008 19:09

Bonjour,


Je vous sollicite afin d'avoir vos retours d'expériences sur le matériel necessaire pour supporter 300 utilisateurs.

Nous tournons sous un environement de PC et de terminaux donc Windows NT, 2000, XP et Citrix, actuellement la solution de filtrage ne convient pas, elle est a base de solution ne founissant pas de cache ce qui est domageable car nous ligne adsl est de quelque mega seulement.

Le besoin serait:

Solution de filtrage web (url filter via une blacklist)
Solution de filtrage http, ftp (copfilter avec havp)
Solution antivirus avec clamav
Eventuellement une solution interne d'antispam le temps que nous fassions un appel d'offre pour faire traiter le spam par un prestataire externe.

Donc la config serait du green+red et peut etre éventuellement par précaution une dmz donc orange


Actuellement j'ai monté cette config soft sur un BI PIII 500 avec 256Mo de ram et 9Go de hdd en scsi et il n'y a pour le moment que 4 utilisateurs dessus et cela se passait plutot bien.
J'ai par la suite activé le filtrage spam, activer havp et clamav et la je me suis retrouver avec 2 ou 3mo de memoire libre, j'ai donc coller 256Mo de plus pour éviter le swap.

Je suis bien conscient que réclamer le filtrage http (filtrage, hapv et clamav) demande beaucoup de ressource tout comme l'activation de snort, la question étant de savoir sur quel config se baser ? J'ai farfouiller un peu partout le forum et j'ai vu que certains se contentait de PIII 800, d'autre de °04, d'autre partait sur du Core2duo mais dans toute ces remonté ne figurait pas les addons employés.

Merci pour vos feedback
J@r0d
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Nov 2004 10:17

Messagepar fa_ » 05 Fév 2008 20:01

Le peu d'essais de clamav que j'avais faits n'etaient pas d'une rapidité suffisante sur un celeron 500 / 384 Mo à l'époque.
Si tu as 300 users, j'aurais tendance à dire ne mégote pas et pars sur une machine correcte actuelle (style core2duo et 1go de ram), ca ne ruinera pas ta boite et tu seras plus serein.
fa_
Major
Major
 
Messages: 73
Inscrit le: 05 Déc 2004 14:35

Messagepar MAtos_22 » 05 Fév 2008 20:02

Il est vrai que 256 mega, c'est un peu juste si tu veux activer quelques services.
En ce qui concerne la memoire libre, ipcop occupera de toute façon le maximum de memoire disponible que tu aies 256 mega ou 1024 mega. En tout cas j'opterais plutot pour 1 Go de memoire ...
au prix actuel de la ram il serait dommage de se priver de toute façon... ;-)

Je n'ai jamais eu a faire passer jusqu'a 300 users sur un ipcop mais ta machine parait suffisante si l'on considere que tu n'as que quelques megas de debit. D'autant plus que tes 300 users ne solliciteront pas le proxy tous en meme temps ...
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar J@r0d » 05 Fév 2008 20:12

La machine actuelle est simplement une machine de test de fonctionnalité, le minium que j'ai demandé c'est un P4 3ghz avec un petit frère afin d'avoir un serveur de backup au cas ou le 1er planterais.


Ce qui m'inquiète le plus c'est l'antispam, sur un pc perso j'ai installé un ipcop a partir d'un via C3 733 avec 256Mo de ram, actuellement sur une boite mail de 164 mails et au bout de 10mn il ne m'a traité que 119 mails le cpu tournant entre 20 et 50% seulement.
J@r0d
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Nov 2004 10:17

Messagepar lucyfire » 05 Fév 2008 20:25

Salut,

Alors mes conseils:

Déjà le filtrage http avec copfilter tu oublies, par contre contre le spam et anti vir mail ça fonctionne bien.

Après vu ce que tu veux faire eh bien il va falloir de la mémoire ! donc je te conseille au moins P4 2Ghz et 1,5 go de ram pas en dessous pour le dd un 20go suffira et mets pas une taille cache de 300mo !!! 50mo ça suffit.

Apres pourquoi se faire l'economie de cartes reseau ..... à 5€ piece tu peux faire Red+green+orange+blue quitte a faire une install autant pas refaire dans 6 mois.

lu²
"Les hommes déprécient ce qu'ils ne peuvent comprendre." [Goethe]
Avatar de l’utilisateur
lucyfire
Amiral
Amiral
 
Messages: 1109
Inscrit le: 15 Mai 2003 00:00
Localisation: Lyon

Messagepar MAtos_22 » 05 Fév 2008 20:27

la machine dont il parle est un bi p3 500. pour avoir utiliser longtemps un bi p3 450 sur ipcop, je peux dire que ca n'a aucun rapport avec un via 733 qui est une vrai tortue comme le celeron 500.

Mais effectivement acheter une machine actuelle avec 2 disques SATA en raid et 2 go ca coute pas grand chose par rapport au service rendu pour 300 users.
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar J@r0d » 05 Fév 2008 20:52

Merci pour votre participation, pour info la machine n'est pas franchement un problème, actuellement on tourne avec une soixantaine de serveur en salle donc un de plus ou un de moins ne pausera pas de problème, la solution qui tourne actuellement coute trop cher (plus de 15000€ par an juste pour la mise a jour des blacklist) et elle n'est pas satisfaisante, aucune redondance, des problème régulier avec la licence, et surtout pas de cache disque, donc si faut avoir un budget pour une lame en plus ca se sera pas un problème ;)

Pour l'antispam je me suis dit qu'il serait peut etre préférable de le dédier sur une autre machine et d'y installer soit un sme soit une pur debian avec un postix , amavis, clamav, razor, etc..., la messagerie étant assurée par un exchange, je ne suis d'ailleur pas partisant de tout mettre sur une seul machine mais plutot d'utiliser les logiciels dans les fonctionnalité prévu par leurs auteurs.
J@r0d
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Nov 2004 10:17

Messagepar jdh » 05 Fév 2008 21:36

Dans une entreprise que je suis, pour environ 200 utilisateurs, j'ai remplacé un système à base de d'Interscan VirusWall (sous Windows !).

J'ai gardé le matériel : un serveur P4 à 3G avec 1G de mémoire, le tout sous Debian Sarge.

Les outils installés : Squid + Squidguard (blacklist de toulouse+contrôle selon @ip) + F-Secure Internet Gatekeeper.

Les flux analysés sont http/https/ftp/pop3/smtp en sortie. Pas de scan antispam : IGK sous linux n'offre qu'une analyse de type RBL, c'est dire le peu d'efficacité et le nombre élevé de faux positifs.

La performance est limitée : IGK me semble assez lourd. Je vais rapidement mettre un deuxième giga de mémoire.

Pour un site de 25 utilisateurs, j'ai en projet un proxy local dans le même esprit. Je vais essayer de me passer d'IGK. La config sera un PC standard avec Debian / Amd >3G / 2 G de mémoire.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar J@r0d » 05 Fév 2008 21:58

@JDH

Pourquoi avoir choisit un couple squid + squidguard sur debian plutot qu'un ipcop ? avez vous remarqué des différences notable de perf entre un squid+squidguard sur debian et un ipcop avec seulement le filtrage web d'acitvé ? Igk tourne sous debian, il n'est visiblement donné que pour suse et red


L'avantage d'ipcop est également l'utilisation relativement simple des règle de filtrage via une interface web ou un gui que pourrait également fournir webmin.
J@r0d
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Nov 2004 10:17

Messagepar ccnet » 05 Fév 2008 22:10

A la lecture de votre besoin et de vos possibilités, voici ce que serai mon approche. J'opterai pour une séparation des tâches sur 3 machines :
1 firewall.
1 proxy.
1 passerelle smtp AS-AV.
Et bien sur sans hésitation une dmz avec la passerelle dans la dmz. Vous pourrez plus facilement suivre vos problèmes de montée en charge avec des machines ayant une activité spécifique.

Pour le firewall un PIII (bi PIII ?) et 512 Mo de ram, 3 cartes. Si la redondance télécom est présente : Pfsense. Sinon ipcop + BOT, si il faut backuper rapidement 2 IPCOP+Ucarp.

Les proxy je ne suis pas très utilisateurs, mais les conseils sont déjà donnés. Un PIV est sans doute nécessaire.

Et enfin une machine de filtrage de courrier. En dsitrib packagée Clarkconnect en serveur autonome. Sinon le montage traditionnel : Debian + Postfix + Clamav + Spamassassin. Même un "vieux" PIII XEON 1Ghz (deux ?) devrait suffire, mais 256Mo c'est clairement insuffisant, je dirai presque par construction, prévoyez 1 Go. Spamassassin est très consommateur de ram. Cette machine transfère vers le serveur MS en Lan ou Dmz suivant que vous avez ou non des accès webmail externes.

Avec 3 machines séparées vous limitez la complexité de la mise en oeuve, vous installez chaque solution l'une après l'autre et surtout vous vous affranchissez de la complexité d'une machine soumise à des contraintes de charge très diverses dont je redouterai qu'une conjonction de facteurs imprévus ne la mette à genoux.

Snort c'est encore tout à fait une autre histoire. Si vous en avez vraiment l'usage (c'est à dire : des enjeux de sécurité forts ET les moyens d'exploiter les alertes), je ne le ferai pas sur la machine IPCOP mais sur une sonde autonome (sans ip et au travers d'un hub, pas un switch, sauf si port de "copie"). Je ne suis pas certain que vous en soyez là.
Dernière édition par ccnet le 05 Fév 2008 22:20, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 05 Fév 2008 22:17

J'ai remplacé le "proxy" à fonctionnalité équivalente.

J'ai remplacé le firewall après. Je suis passé d'un CheckPoint (très disproportionné !) à ... un pfSense.

A titre perso, je ne crois pas à un IPCOP qui n'est pas le firewall. De plus, je pense qu'il nous est nécessaire de disposer de 2 lignes Internet : l'une de type SDSL pro pour construire le VPN inter-sites, l'autre pour la navigation (ADSL basiquement). A terme, on peut même imaginer une 3me ligne (SDSL) pour la réception des mails directement en interne.

Pour la fonction firewall + vpn inter-site, j'ai été plus que séduit par pfSense. Par contre, pfSense est à la traine pour le couple Squid+SquidGuard, et je n'ose penser à quelque chose comme urlfilter. Il y a des progrès avec la 1.2RC3 mais ce n'est pas encore parfaitement au point (je cale sur la blacklist de toulouse).

L'interface web de pfSense est assez claire, notamment pour les règles, à partir du moment où on a compris que les onglets correspondent à l'interface d'arrivée du paquet ... ce qui est un peu déroutant par rapport à iptables (il s'agit de pf !).

Je souscris assez largement aux propos de ccnet : plusieurs machines c'est plus facile à mettre en oeuvre ... parce qu'on procède par étapes.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar J@r0d » 05 Fév 2008 23:44

Merci pour les infos, vous avez parle du firewall, celui-ci en revanche ets déja existant et il est constituer d'une solution juniper et nous sert également pour le vpn donc de ce coté la il n'y aura pas de changement

Au vu donc de ce que vous me conseillez serai donc de me passer d'ipcop et de choisir des solutions plus ciblé comme une deb + squid + squid guard pour la partir filtrage d'url et une solution spamassasin + havp, v guard, etc... pour le filtrage antispam et virale installé en amon du serveur exchange et donc eviter de prendre une solution ipcop + sme par exemple qui avait tout de meme l'avantage de founir une interface de gestion assez sommaire mais suffisante tout de meme.
J@r0d
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Nov 2004 10:17

Messagepar J@r0d » 06 Fév 2008 02:06

PS

Je viens de me faire une install via vmware d'une config ipcop/sme et bien je ne trouve pas sme très sympatique pour une simple utilisation en filtrage de spam, mais il a l'air bien sympathique pour une petite pme en mal de moyen et d'expérience pour isntaller une solution rapide pour gérer la connexion web, filtrage, imprimante partégée, etc..
J@r0d
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Nov 2004 10:17

Messagepar ccnet » 06 Fév 2008 10:22

SME 7 pour le filtrage du courrier n'est pas commode parce qu'il n'y a pas d'interface pour gérer les black list et les white list. Elles sont gérables en ligne de commande bien sur mais à la longue c'est un peu pénible. Mais surtout SME utilise Qmail, alors que ClarkConnect 4.1 utilise Postfix. L'interface de gestion de la partie mail est meilleure avec CC. C'est la solution que j'utilise aujourd'hui.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar J@r0d » 06 Fév 2008 11:46

Effectivement mais dans notre cas la gestion du contenu des mails restent assuré par scanmail pour toute les règles de filtrage, taille, image, exe, actuellement nous avons plus de 150.000 mails par semaines dont environs 100.000 spam, le but étant simplement d'ajouter un tag au mail considérés comme tel le temps que nous fassions traiter le scan spam et antivirus par oléane et dans ce cas j'assurerais le filtrage web par un ipcop et le filtrage spam par une machine avec comme il m'a été suggérer une deb + spamassassin + razor + amavis par exemple.

J'ai d'ailleur remarqué que sur un échantillon de 164 mail, sans activer razor il m'en trouvait 45 comme étant du spam et avec razor d'activé il m'en taggait 100, apres un rapide coup d'oeil les 100 sont bel et bien du spam.
J@r0d
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Nov 2004 10:17

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité