machine virtuelle

[ronan56]

depuis un moment, j'imagine une machine tout en une, quand on a pas les moyens d'empiler plusieurs machines.

une idée m'est venue, vous allez peut etre m'aiguiller sur la faisabilité du projet.

contrainte :

une seule machine.

projet :

filtrer le contenu, séparer deux réseaux (lan et wlan), gérer le flux avec fonction QOS, identifier les utilisateurs en Wifi et conserver les logs.


ipcop + pfsens seront un couple parfait.


est il maintenant possible de faire tourner les deux sur un linux avec un logiciel de virtualisation ?


voila, je lance le débat.

[jdh]

Ipcop et pfSense ne me semblent pas vraiment complémentaires !

Donc je vois mal le besoin de les associer !


- filtrer le contenu : Ipcop : Oui / pfSense : Oui
- séparer 2 réseaux : Ipcop : Oui / pfSense : Oui : (Ipcop est limité en couleurs)
- gérer la QOS : Ipcop : ? / pfSense : Oui
- identifier les utilisateurs wifi : Ipcop : Non ? / pfSense : Oui
- logs : Ipcop : Oui / pfSense : Oui


Et puis comment faire un schéma les associant ? (puisque ces distributions s'utilisent globalement de la même façon).


(Par ailleurs, il faut éviter d'utiliser la virtualisation pour des machines positionnées en "coupure de réseau").

[ronan56]

ipcop en classique, le red et green sur deux cartes reseaux physique.

la patte bleu d'icop sur l'entrée wan de pfsens (en virtuel cette fois), qui permet de gérer les comptes utilisateur en wifi (pas de radius sur ipcop). pfsens permet aussi de conserver les logs ce que ne permet pas ipcop je crois. Je parle de log en fonction de la personne, c'est à dire nominatif, pas les logs globaux.


j'aurai pu penser à ipcop avec le addon de connexion wifi + un radius sur un linux, mais les log ne sont pas conservés.

j'ai une machine de test, je m'y pencherai bientot.

sinon, la situaion de la machine ne sera pas critique là ou je veux l'installer, donc meme si ca deconne, c'est pas un soucis.

[jdh]

Je vais l'écrire différemment : il me semble que pfSense couvre tout ce qui est demandé !


Par ailleurs, enchaîner 2 firewalls n'augmente nullement la sécurité ... et pose sans doute plus de problèmes qu'il en résoud. Notamment, comment sera configuré le pfSense : bridge ou nat ? Que dire s'il faut configuer 3 machines (1 machine portant vmware/xen + 2 VM) ... et maintenir des réglages cohérents ! Cela n'est pas simple.

Il reste qu'il ne faut pas faire de virtualisation sur une machines en coupure réseau ! Parce que cela suppose que l'aiguillage des flux réseaux (et avant d'être filtré !) soit fait par la machine virtuelle avec l'efficacité et la sécurité nécessaire.

[ronan56]

si pfsens fait du filtrage comme urlfilter, je pourrais me passer d'icop.

je n'ai pas encore étudié pfsens, mais il me semble que l'on peut désactiver le firewall. Pfsens en bridge, avec ip fixe, le dhcp d'icop activé. J'utilise un peu ce system avec un wrt54gl sur la patte bleu de mon ipcop.

pfsens est là uniquement pour que l'utilisateur puisse s'identifier directement dans le navigateur, conserver les log, et c'est tout, tout le reste sera désactiver. Ipcop ne servira que pour filtrer les adresses URL (urlfilter), comme serveur DHCP, firewall, le QOS (avec pfsens OU les options d'advance proxy) séparer les deux réseau (wlan et lan ).

et maintenir des réglages cohérents ! Cela n'est pas simple.

effectivement, faire quelque chose de propre ne va pas etre simple, mais faisable je pense.

Il reste qu'il ne faut pas faire de virtualisation sur une machines en coupure réseau ! Parce que cela suppose que l'aiguillage des flux réseaux (et avant d'être filtré !) soit fait par la machine virtuelle avec l'efficacité et la sécurité nécessaire.

une ipcop en virtuel serait plus sujet aux risques alors...je vais donc me renseigner pour savoir si cela à deja été fait et quelles sont les precautin à prendre.


le but principale est vraiment d'utiliser une seule machine pour tout faire et de savoir si c'est réalisable. Si vous connaissez d'autres logiciels, n'hésitez pas.

[jdh]

SquidGuard, qui est la base d'urlfilter, est disponible sous pfSense .... (mais sans doute pas avec la même interface = je connais que très peu Ipcop !).

Cela veut dire que, pour une option précise, il faudrait mettre en place une mécanique aussi compliquée ! Non je crois à KISS : Keep It Simple and Stupid (and Systematic).

[philippe_PMA]

Pour XEN + pfsense, tu peux regarder Xen and the Art of Consolidation.
En particulier la section Firewall DomU Configuration

J'ai pas testé. Je me suis surtout interressé à XEN + IPCOP. C'est tout à fait possible. En tout cas sans problème en full virtualisé. Surement possible en paravirtualisé, mais faut aimer compiler et patcher le noyaux ...

[philippe_PMA]

Il y a un tuto en "pas français germanique" sur XEN + IpCop ici http://de.xen-forum.net/wiki/index.php/Projekt:_Eierlegende_Wollmilchsau_-_IPCop_unter_Xen_(DE).

Je parle du sujet aussi ici http://forums.ixus.fr/viewtopic.php?p=251519&highlight=#251519

[ccnet]

Je pense aussi qu'il faut faire simple ou du moins rationnel en particulier dans votre cas. En particulier parce que la façon dont vous posez le problème, ou plus exactement la façon dont vous induisez une réponse (ipcop+pfsense) montre que le problème et les outils sont mal compris. Ipcop et Pfsense sont à l'évidence des produits identiques : des firewall tous les deux. La différence tient dans la richesse fonctionnelle de Pfense qui est bien plus grande. Il y a des cas où ipcop est la solution, d'autres où c'est pfsense. Je n'entre pas dans les différences de conceptions.
jdh vous a maché le boulot d'analyse sur les possibilités comparés des deux produits.
Avant de penser à une solution, commencez par analyser le plus précisément possible vos besoins, éventuellement à les héirarchiser (parfois il faut faire des choix).
A vous lire l'authentification et les logs sont des aspects importants. Se pose donc la question du stockage de ces logs, des possibilités de recherche et de restitution. Ce n'est pas un firewall qui fait ce travail ...
Une fois les composants choisis vous pourrez toujours vous lancer dans la virtualisation totale, en dépit des conseils donnés par jdh.