Avenir d'ipcop

[kinkey]

Bonjour, j'utilise ipcop depuis la version 1.3 et j'en suis pleinement satisfait. Au contraire je me pose des questions sur l'avenir du projet. Le site officiel laisse pensé qu'il est un peu laissé à l'abandon par le manque de news et de communication de la team. J'espère me tromper ?

Gesp toi qui a l'air d'être très impliqué dans le projet peux-tu nous en dire un peu plus sur le niveau d'activité d'ipcop ?

Merci d'avance.

[Gesp]

Disons que je ne peux pas tout faire donc il n'y a pas beaucoup de news.
Je suis plus concentré sur le code de la prochaine version en ce moment.
Je vais revenir vers la 1.4 en janvier.

Concernant l'équipe, il y a peu de monde actif (pas plus de 4, sans compter les admin des mailing-list).

Il faudrait changer ou réparer le site web existant pour quelques raisons :
- on ne peut plus réinitaliser normalement le mot de passe par sourceforge parce qu'il y a un pb pour l'envoi de mail, (possible quand même de le faire manuellement mais pas terrible)
- donc n'ayant plus de contributeurs, il ne se passe pas grand-chose.

Je pense qu'il faudrait aussi changer le wiki.
Sourceforge offre maintenant un wiki qui tient la route et qui permet d'utiliser le login sourceforge. Donc cela solutionne une partie du pb évoqué plus haut.
Il faudra aussi migrer le contenu existant. Je vais lancer le sujet en janvier. Il faut quelqu'un sur qui l'on puisse compter pour faire ce boulot, je préfèrerais pouvoir faire autrechose.

Il faudrait aussi faire évoluer ou changer le système de traduction dans la foulée.

Sinon j'avais promis une nouvelle 1.4 en novembre mais j'ai vraiment eu trop de boulot donc ce sera en janvier.
La V2.0 avance (trop doucement à mon gout) : noyau 2.6.27, bientôt perl-5.10. Disons que on ne devrait pas être très loin de lancer une toute première version en test peut-être en février, perl-5.10.1 sera peut-être déjà sorti.

Il faudra bien que les différents contributeurs se réveillent avant que la v2 ne soit figée sinon ce sera trop tard. Je peux quand même espérer que la 2.1 mettra moins de temps à venir que la 2.0.

[kinkey]

Merci Gesp d'avoir répondu.
Donc c'est bien se que je craignais, le projet n'est pas totalement mort mais il est dans sa phase terminal En fait je me posais cette question car j'utilise Ipcop au boulot et en 2009 le serveur ipcop va être changé par un bien plus récent et le problème des drivers me fait peur.

Donc sois je pris pour que ça passe avec ipcop 1.4.x ou alors j'envisage une autre solution. J'essaierais bien de participer mais je n'ai pas assez de compétence en système ni même en sécurité pour être un contributeur fiable.

[ccnet]

Merci Gesp d'avoir répondu.
Donc c'est bien se que je craignais, le projet n'est pas totalement mort mais il est dans sa phase terminal

Comme vous j'ai lu la réponse de Gesp et je n'en tire absolument pas les mêmes conclusions. Alors qu'une release 1.4.20 est disponible, qu'une 1.4.21 est proche et qu'une release majeure est prévue pour le premier trimestre 2009, je ne vois là rien qui permette d'en tirer cette conclusion. En tout cas je n'ai pas la même lecture.

[Gesp]

car j'utilise Ipcop au boulot et en 2009 le serveur ipcop va être changé par un bien plus récent et le problème des drivers me fait peur.

Je ne suis pas sur que ce soit un problème réel.
Concernant les drivers de carte réseau, à part en cas d'utilisation de atl1e, on devrait supporter toutes les autres cartes que le noyau 2.6 supporte en 1.4.22/1.4.23 en utilisant les drivers externes des vendeurs.

C'est plus compliqué concernant les controleurs disque dur du fait du SATA.
La question qu'il faut se poser, c'est pourquoi changer le serveur ipcop par un bien plus récent?

Concernant le vieillissement d'un ordinateur, il y a 4 choses à prendre en compte :
1 - la poussière
2 - le vieillissement des condensateurs chimiques
3 - l'usure des ventilateurs
4 - le vieillissement du disque dur

Pour le 1, pas de question de driver, utiliser un aspirateur une fois par an avec la machine hors tension devrait suffire,
Pour le 2, à condition de ne pas être dans un mauvais lot et que la machine ne soit pas trop au chaud, cela peut durer suffisament pour que l'on ne se pose pas la question et la sortie du noyau linux 3.0,
Pour le 3, pas de pb de driver, cela se change facilement en cas de besoin et les prises sont standards à part chez les fabricants qui jouent au truc propriétaire (ou aux fils dont l'ordre est inversé par rapport au standard),
Pour le 4, je pense regarder à supporter le raid logiciel (pas de promesses mais je pense que ce n'est pas très compliqué), sinon un petit diagnostic de l'état smart du disque devrait alerter avant défaillance relative à l'usure du matériel.

Si c'est uniquement pour avoir un disque dur plus neuf, on peut se poser des questions de pourquoi changer de machine. Si c'est parce que la machine actuelle n'est pas assez puissante, il faut alors vraiment se poser la question de l'usage que l'on fait de la machine IPCop. Cela ne devrait jamais arriver dans une configuration en dessous de 100 machines sur le réseau green. Snort n'est pas obligatoire et le filtrage des mails serait bien mieux placé en dehors du firewall.
Reste uniquement le filtrage du proxy qui peut être très exigent en ressource avec dansguardian.

[kinkey]

Alors qu'une release 1.4.20 est disponible, qu'une 1.4.21 est proche

Bizarre moi je suis déjà en 1.4.21

Concernant les drivers de carte réseau, à part en cas d'utilisation de atl1e, on devrait supporter toutes les autres cartes que le noyau 2.6 supporte en 1.4.22/1.4.23 en utilisant les drivers externes des vendeurs.

Le serveur sera probablement un Dell, je ne sais pas encore quel modèle.

C'est plus compliqué concernant les controleurs disque dur du fait du SATA.

C'est un de mes premier problème. Je ne pense pas qu'un serveur avec disque SCSI soit nécessaire mais des serveurs avec de l'ATA ne sont plus au catalogue de Dell.

En fait ce qui motive notre besoin de changement sont multiples. Le serveur Ipcop a été installé à une époque ou mon dirigeant pensait que l'e-mail ne remplacera jamais le fax... Aujourd'hui il ne sais plus vivre sans les e-mails et je me demande si il se rappel comment marche un fax Dans ces conditions le "serveur" est un pauvre pc de récupe PII 300 avec 196Mo de mémoire. Le disque dur a déjà été changé et l'alimentation aussi. Maintenant avec notre activité nous ne pouvons plus avoir plus d'une heure de coupure d'internet (liaison vpn) c'est pour cette raison que le serveur type sera du genre :
- proc assez puissant pour gérer les vpn (facile actuellement);
- mémoire : 2Ghz devrait largement suffire;
- disque : du raid 1 matériel ou logiciel sur du disque SATA;
- le reste est assez standard;
Un autre point à prendre en compte, le SAV de la machine. Actuellement c'est moi qui le fait et franchement trouver des pièces pour un PII c'est la galère et pas très sérieux.

Au niveau des modules j'utilise :
- proxy;
- zerina en nomade;
- bot;

En fait si j'ai interprété ce qu'a dit Gesp comme la mort à petit feu du projet c'est tout simplement parque quand j'ai commencé à bosser avec Ipcop le rythme de mise à jour, de vie de la communauté (fr ou en) était beaucoup plus élevé. Mais c'est peut être signe de la maturité du projet aussi.

[Gesp]

En fait si j'ai interprété ce qu'a dit Gesp comme la mort à petit feu du projet c'est tout simplement parque quand j'ai commencé à bosser avec Ipcop le rythme de mise à jour, de vie de la communauté (fr ou en) était beaucoup plus élevé. Mais c'est peut être signe de la maturité du projet aussi.

Oui il y a moins de mise à jour en 1.4. C'est un choix que j'ai fait. Mais aussi parce que moins je bosse en 1.4, plus j'ai de temps pour 2.0.

Je n'ai pas le sentiment qu'IPCop soit mort mais qu'il y a moins de gens actifs parce que cela fait trop longtemps que nous sommes en dévelopement pour la v2.0. Mais j'ai fait le choix de ne pas être leader en v2 parce que je pensais et je pense toujours que l'on ne peut pas faire les 2 en même temps sans se bruler.

Je pense que dès que l'on va passer en beta, on aura des tas de gens qui vont nous demander d'incorporer leurs modifs et il faudra que l'on résiste à la tentation (parce que cela sera peut-être trop tard pour la v2.0).

Un autre point à prendre en compte, le SAV de la machine.

Je comprend, j'ai fait de la maintenance de machines plus ou moins critiques et on pars en vacance le coeur léger quand on a payé un support. Et ce n'était pas du x86 mais du PDP11 donc on n'en trouve pas vraiment à tous les coins de rue et le SAV n'était pas non plus au même prix.

Avec un SAV tu auras au mieux 4h de délais en payant cher, très cher, non alors que tu as dit qu'il ne serait pas tolérable d'avoir une heure d'interruption?

Alors que si tu prend 2 machines identiques mise en service il y a trois ans avec la même configuration sur toutes les cartes réseau pour beaucoup plus de facilité. Coût quasiment de zéro (les machines sont amorties) et une bien meilleur disponibilité en cas d'incident. Au pire, tu dois acheter 3/4 cartes réseau entre 10 et 20 euros pièce.
Avec une machine en secours à l'arrêt à coté de la machine en fonctionnement et une page d'explication scotchée dessus, en 10mn ton patron pourrait redémarrer le réseau et il pourrait s'en sentir valorisé
(cela dépend un peu il vaudrait mieux qu'il ne soit pas du genre les ordinateurs c'est sale)

Ce n'est pas compliqué, il faut des bons repères en couleur sur les cables réseau et un enfant de 6 ans doit pouvoir faire le changement (plus simple s'il sait lire les instructions que tu as écrit). Cela permet de gagner au moins 3 h si ce n'est 12 h sur le redémarrage du réseau (et accessoirement cela coûterait bien moins cher en fourniture et service). Je pense que tu doit pouvoir décrire le changement à faire en 10 phrases.

N'importe quel AMD XP suffit comme CPU pour les applications que tu envisages. Le seul point c'est qu'il te sera plus facile d'atteindre 1Go de mémoire avec de la DDR(1) (que quasiment tous les cartes mère XP ont), ce qui devrait être largement suffisant pour le proxy.

Je sais que malheureusement cela peut paraitre moins pro que de payer un SAV avec un contrat en béton que l'on peut montrer au chef. Mais mon expérience des SAV est que le plus souvent, le contrat que tu signes est celui du fournisseur, il s'engage au mieux sur un délai d'intervention, quasiment jamais de redémarrage de ta machine. Ou alors il faut vraiment aligner les zéros.

Alors tu as le choix entre le système simple de la machine de secours et le système probablement plus aléatoire de dépendre de beaucoup d'intervenants pour un délais non garanti de rétablissement.

Je connais des clients (avec des moyens : le ministère des finances) qui ont attendu plus de 24h une pièce en express venant d'Amsterdam parce que le fournisseur n'avait pas la pièce en neuf (il aurait dù) et pourtant le client avait un contrat avec plein de chiffres à son montant).
Moi de mon coté, j'avais mon petit stock de pièces de récup et ce genre d'incident me demandait quelques heures en me déplaçant en métro/RER pour dépanner. Oui je sais cela peut paraitre moins sérieux de se déplacer en RER que de faire venir une pièce en avion par express plus livreur express.

[kinkey]

Oui il y a moins de mise à jour en 1.4. C'est un choix que j'ai fait. Mais aussi parce que moins je bosse en 1.4, plus j'ai de temps pour 2.0.

Ce qui est une bonne idée.

Je n'ai pas le sentiment qu'IPCop soit mort mais qu'il y a moins de gens actifs parce que cela fait trop longtemps que nous sommes en dévelopement pour la v2.0

C'est souvent le problème des projets communautaire. Au début y a du monde, un noyau dur ce forme et petit à petit le rythme baisse, le noyau éclate et c'est la mort à petit feu de la communauté. Je ne souhaite pas qu'ipcop meurt, bien au contraire, mais c'est l'impression que j'ai du point de vue d'un utilisateur.

Je pense que dès que l'on va passer en beta, on aura des tas de gens qui vont nous demander d'incorporer leurs modifs et il faudra que l'on résiste à la tentation (parce que cela sera peut-être trop tard pour la v2.0).

Force et robustesse

J'ai un peu exagéré sur le coups des 1 heure, mais bon faut pas que ça dépasse la 1/2 journée. J'ai déjà pensé à plusieurs solutions pour les cas de pannes.

Une deuxième machine
Les certificats vpn ?
La connexion de la deuxième machine peut être réalisé par pratiquement tout le monde... Sauf que la ou je boss les personnes qui pourrait potentiellement le faire... Comment dire... plus loin je les tiens d'une machine mieux c'est pour les machines. Ils seraient capable de m'éteindre les autres parce qu'elles font du bruit de ventilation et pas par le bouton mais en débranchant la prise directement.

Le contrat de maintenance
Avec une machine prévue pour : double alim, raid, deux barrettes de mémoires au cas une crame. Le contrat 4h de dell est bien et pas forcement cher si pris à l'achat de la machine. J'ai déjà eu besoin pour un autre serveur qui avait un hic avec le contrôleur raid. En deux heures un tech était là avec un contrôleur sous la main, mais c'était un problème logiciel.

Une autre contrainte, la mise en rack... des pc de récup ne passent pas dans les racks ou alors sur des tablettes... Mais c'est pas beau

Je sais que malheureusement cela peut paraitre moins pro que de payer un SAV avec un contrat en béton que l'on peut montrer au chef

Malheureusement les chefs aiment bien ces contrats.

[gemoussier]

Personnellement, temps que la version actuelle ne présente pas de failles importantes, je ne vois pas l'intérêt de nouvelles mises-à-jours (sauf pour le support matériel de nouvelles cartes). Si j'avais opté pour un firewall matériel commercial (type Cisco Pix par exemple) nul doute que l'évolutivité aurait été figé pendant pas mal de temps.

En ce qui concerne les pannes, j'utilise aussi en entreprise, le bon vieux PC double. Avec un code couleur adéquate et une bonne notice il est à la portée de n'importe quel utilisateur de le remplacer. Au pire une formation de 15 minutes devrait suffire, démonstration à l'appui.
Testé et approuvé.

Certes les PC de "récup" ne sont pas souvent rackables, je ne vois pas en quoi la solution de la tablette pose problème, une baie n'étant pas une œuvre d'art. Si vraiment cela choque, vous pouvez investir dans des boitiers rackables ce qui reste encore moins onéreux.

[ccnet]

Je partage entièrement cet avis. Les serveurs PIII rack une unité genre Compaq DL360 sont très facile à trouver en quantité pour environ 80 ou 100 euros.
J'ajoute que, si vraiment une heure est la durée maximum de l'interruption supportable, alors on a d'autres solution comme un cluster Pfsense. Cette criticité est bien souvent sur évaluée. Même dans du militaire sensible on n'est pas à ce niveau. On utilise d'autres moyens de communication en backup.

[kinkey]

Merci à tous pour vos conseils.
Petit rajout par rapport à ma question de départ. La réflexion que je mène en ce moment est en rapport avec la rénovation de notre salle info. Actuellement c'est une pièce fermé avec des serveurs posés au sol. A cause ou grâce à différents projets sur 2009 nous allons être obligé de créer une nouvelle salle avec tout un tas de nouveaux serveurs, switch, SAN. En gros la quasi totalité des serveurs vont être changé.

Je suis pour rester avec IpCop et je suis bien d'accord que "tant que ça marche et qu'il y a pas de faille y a pas besoin de changer". Mais avec l'arrivée de nouveau serveur, le support des différents composants par le noyau 2.4.x. et une grande question. C'est pour cette raison que je me suis permis cette question, même si il a été envisagé d'utiliser une solution matériel propriétaire (promis c'est pas moi qui en ai parlé) .

Je n'avais pas pensé à l'achat de serveur chez un broker. J'ai regardé Compaq DL360 juste pour exemple mais les versions que j'ai trouvé n'ont pas double interface... Bien s c'était un exemple.

Philippe.

[ccnet]

Tous les DL360, depuis le premier modèle PIII, jusqu'au G5 ont une double interface ethernet. Si l'on a besoin de ports USB, il faut un G2 minimum.
Si il y a besoin de nouvelles fonctionnalités qu'ipcop ne possède pas actuellement, regardez Pfsense. Vous verrez comment faire du load balacing multiwan avec un cluster de Firewall, avec des Vlans .
Dans votre projet, puisqu'il y a un san, et de nombreux serveurs semble t il, pensez à regarder la virtualisation sous Vmaware ESXi 3.5 (gratuit). Avec un ML570, 32 Go de ram ou plus et quatre processeurs, on commence à remplacer pas mal de machines physiques.

[cyrilfr06]

bonjour, juste pour apporter un avis favorable a ipcop. Je l'utilise depuis environ 1 ans chez trop peu de client (pme, tpe) encore et depuis deux ans au bureau et jamais eu de soucis. Il est installé surr des machines assez vielles type PII de marque, un reboot de temps en temps pour la forme.
Pour les mis a jours tant mieux, les routeurs actuel grand public ou "professionnel" ne sont pas aussi souvent mis a jour je crois. De plus quand il le sont très peu les mettent a jours du moins dans les pme ou tpe ou ca m'arrive d'intervenir.

Cordialement Cyril

[recycled]

bonjour tout le monde, j'ai ressorti mon pseudo des entrailles de mon fs pour donner mon humble avis. Je suis ipcop depuis déjà plusieurs années et l'ai mis en place chez quelques uns de mes clients et espère de tout coeur que le projet va continuer. j'attends avec impatience la version 2.0 qui je pense aussi va réveiller un peu tout le monde. En tout cas si j'avais les compétences et le temps j'y donnerai bien un coup de main au 4 mecs qui nous offre un distrib impec.
Bonne continuation et peut etre a bientot.

[ipcopred]

salut à tous toujour pas de news pour ipcop 2.0 j espere que le project continue

qui peux-nous donner des news !!!!!

Merci beaucoup