RAID sur ipcop + autres renseignements

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

RAID sur ipcop + autres renseignements

Messagepar sny » 25 Jan 2008 12:32

Bonjour,

Ca fait qq temps que nous utilisons ipcop pour notre réseau (c'est une grosse assoc) et nous en sommes content. Cela dit l'installation actuelle est un ipcop de base sans addons, sans proxy activés... Bref je commence à voir certaines limites. C'est pour cela que je souhaiterais le faire évoluer.

Quelques précisions je ne suis pas un spécialiste des réseau mais je ne demende qu'à comprendre.

L'environnement (en espérant etre suffisament clair):
Un réseau hétérogène (windows, linux,mac) de 50 postes environ. Un serveur samba en PDC. Connexion adsl dégroupé classique (pour nous je crois on ne pas dépasser les 6mb en descendant). Un ipcop en green+red + serveur dhcp.


Je souhaiterais donc installer un ipcop plus étoffé et surtout pouvoir garantir une continuité de service. Oui ça arrive que je sois absent, voir même en vacances et je suis seul à m'occuper des questions informatique. Et un arret de l'ipcop entraine la perte d'internet et l'acces au réseau local et mon teléphone n'en fini pas de sonner et c'est la panique gle...

Pour garantir un minimum de continuité de service j'ai pensé à 2 solutions:
1 => genre Heartbeat + drbd sur 2 machine (solution que j'exclus pour l'instant car elle me semble bien prise de tête...)
2=> un RAID 1 logiciel (genre mdadm) au cas ou un disque dur tombe en panne que ça ne stoppe pas tout le systeme. Et ça me laisse le temps de revenir de vacances.

En ce qui concerne le raid, je voulais savoir si il était possible d'installer ce type de solution sur IPCOP ? Est-ce que mdadm est dispo pour IPCOP ? Si oui comment faut-il s'y prendre pour l'installer ? Oui en fait j'en ai déjà configuré mais pour l'installation, utilisant plutot des Débian, avec apt-get install on ne se prend pas trop la tete avec la compil, les dépendances...

Sinon pour étoffer cet ipcop voici ce que j'envisage d'ajouter comme addons:
- urlfilter + advproxy => Quelle taille de cache souhaitable pour le proxy ?
- blockOutTraffic
- Activation de snort et du lissage du traffic => dans quels cas est-ce indispensable? Peut-on s'en passer?
- P2Pblocker => ne fait-il pas doublon avec BOT ?
- copfilter => plutot pour l'aspect antivirus

Que pensez-vous de ces choix? Avez-vous d'autres suggestions?

La machine que j'envisage d'utiliser n'est pas dernier cri: cpu 800mhz + 512mo de ram + hdd de 40 go
Cette machine a t-elle assez de ressources pour ce que je veux faire?

Voilà j'espere ne pas avoir été trop long et assez clair (pas évident quand on ne maitrise pas le sujet).
Merci
Sylvain
sny
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 23 Mai 2007 11:38

Messagepar MAtos_22 » 25 Jan 2008 13:02

Salut

pour repondre a tes questions,

Le raid logiciel n'est pas conseillé car utilisant trop de ressources et pour des raisons de drivers cela est compliqué a mettre en place sur ipcop, le raid materiel fonctionne parfaitement par contre.
soit avec une carte controlleur supplementaire soit géré directement par ta carte mere avec 2 disque IDE ou SATA, ce qui fait un cout tres tres faible et qui facilite grandement l'installation.

Pour les problemes pouvant survenir durant ton absence, il existe un plugin dont le nom m'echappe qui permet de mettre 2 ipcop en parallèle et qui basculera tout seul sur ton iopcop secondaire en cas de souci.
Le secondaire n'ayant pas besoin d'avoir la meme puissance que ton principale, tu peuwx meme eventuellement l'alleger au niveau des services.
Cela fonctionnera ainsi en mode degradé mais cela fonctionnera quand meme.

concernant la puissance de ta machine cela me parait tout a fait raisonnable pour faire cela.
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar ccnet » 25 Jan 2008 13:09

Ce que j'en pense sur les différents points.

Pouvoir garantir une continuité de service
Oubliez le RAID logiciel. Pour IPCOP je ne sais pas si cela existe. Je suis partisant du RAID hardware. Exemple: un serveur Compaq DL360 sur ebay, caractéristiques similaires à votre machine actuelle, avec une paire de disques scsi de 9 ou 18 Go en RAID 1, extractible à chaud, 512Mo de ram, 2 ethernet en standard, c'est 100 euros environ. C'est un vrai serveur fait pour tourner 24/24 et au format rack 1u.

Sinon pour étoffer cet ipcop
- urlfilter + advproxy => Quelle taille de cache souhaitable pour le proxy ? pas compétent, je n'utilise pas beaucoup les proxy. La taille du cache dépend du nombre et de la taille des objets à mettre en cache.
- blockOutTraffic : indispensable à mon avis.
- Activation de snort : ce que j'en pense :
http://forums.ixus.fr/viewtopic.php?t=39709&highlight=snort
http://forums.ixus.fr/viewtopic.php?t=39392&highlight=snort
Une association a t elle des besoins de sécurité au point de devoir déployer Snort ? à moins que vous ne soyez un faux nez de la CIA ou de la DGSE ... en ce cas vous ne poseriez pas la question ici. La sécurité étant aussi une affaire de cohérence, il y a sans doute plus urgent que Snort. En particulier si vous avez des accès externes alors une dmz s'imposerait.
- copfilter : je ne suis pas pour le traitement anti virus sur le firewall, pour moi c'est le rôle d'une passerelle de messagerie avec l'antispam. Vous avez le serveur de mails chez vous ? Sinon demandé cette prestation à votre FAI qui héberge votre messagerie.
P2Pblocker : il ne travaille pas au même niveau que BOT. BOT travaille sur les adresses et ports, sources et destinataires. P2Pblock, que je ne connais pas bien, travaille, sauf erreur de ma part au niveau applicatif. Plutot complémentaire je pense.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar ccnet » 25 Jan 2008 13:17

Pour les problemes pouvant survenir durant ton absence, il existe un plugin dont le nom m'echappe qui permet de mettre 2 ipcop en parallèle et qui basculera tout seul sur ton iopcop secondaire en cas de souci.

Si vous voulez cette solution, c'est là :
http://mh-lantech.css-hamburg.de/ipcop/ ... e=Ucarp_en

Sinon en dehors d'ipcop Pfsense le fait nativement et en plus sait gérer deux accès adsl.

Le secondaire n'ayant pas besoin d'avoir la meme puissance que ton principale

Avec la solution Ucarp, je ne suis pas d'accord. Je preconise le même configuration de chaque coté, avec de préférence la même machine, ce qui rend plus commode la gestion de pièces en spare pour le remplacement en cas de défaillance. Le tout est de savoir si on doit en arriver là !
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar sny » 25 Jan 2008 13:18

Ok je te remercie pour les conseils.
Donc pour le raid logiciel c'est mort.

Je vais voir du coté des cartes controleurs Raid. Mais J'avoue que je ne connais pas vraiment de quoi il en retourne. Ce que je sais c'est que cette carte mère est basique et ne gère à priori pas le raid materiel. Donc si je comprends bien une carte controleur ajouterais la fonctionnalité de raid materiel...? Configurable à partir du bios ? Directement dans Linux, ce qui implique qu'elle soit reconnue par le noyau ?
Là je seche... Mais je vais chercher à comprendre.

Sinon l'addons dont tu parle est (je crois) Ucarp qui permet le failover entre 2 ipcop. Je l'ai testé, mais ça n'a pas été trés probant. Le réseau perdait les pédales. Surement à cause d'une mauvaise config de ma part, mais du coup cela ne pas pas rassuré. Je vais quand meme continuer d'explorer la solution.

Merci encore
sny
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 23 Mai 2007 11:38

Messagepar sny » 25 Jan 2008 13:55

Merci Ccnet pour tes réponses complémentaires.

En effet je pense pas qu'il ai une réelle volonté que l'on s'introduise dans notre orga. Il n'y a pas grand chose de secret chez nous. Donc sauf à vouloir nous $%#&!, nous mettre la pagaille chez nous, il n'y a pas de raison à nous pirater. Donc si cela doit nous compliquer plus la vie qu'autre chose, je laisse tomber snort.

Concernant l'antivirus à l'entrée. Voici notre problématique. Nous avons un hébergeur principal qui s'occupe de nos mails mais seulement sur un domaine. Celui-ci filtre et controle nos mails (normalement) Maintenant il nous arrive de nous connecter à d'autre boites mails pour des raisons diverses (genre free, yahoo, hotmails ...). Donc je pense qu'ils font déjà un controle. Mais est-ce suffisant ?

Sinon concernant la continuité de service, je pense plutot m'orienter vers une solution de type raid qui me semble plus accessible et moins contraignante qu'une solution de type failover avec UCARP (solution que je n'exclu pas à l'avenir. Mais bon en plus si il faut les 2 meme config ça risque d'être compliqué pour moi).

Est-ce que toutes les cartes controleurs raid sont compatible avec le noyau linux de l'ipcop (2.4.x) ?
Lesquels sont compatibles ? Lesquels ne faut-il pas prendre ?


Merci pour le conseil du serveur d'occas type rack 1" je vais y refléchir. Bon aprés faut une baie de dispo, et la mienne est petite et déjà bien rempli...

Merci
sny
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 23 Mai 2007 11:38

Messagepar ccnet » 25 Jan 2008 14:16

Chez Free et Yahoo je pense qu'ils contrôlent assez correctement.

Est-ce que toutes les cartes controleurs raid sont compatible avec le noyau linux de l'ipcop (2.4.x) ?
Lesquels sont compatibles ? Lesquels ne faut-il pas prendre ?

Nous pas toutes. Compaq ca fonctionne. HP je ne sais pas. IBM et Dell ne fonctionne pas.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar MAtos_22 » 25 Jan 2008 18:03

sinon la plupart des adaptec fonctionnent
et l on trouve facilement et pour pas cher des paquets de disques scsi d occasion
mais attention au bruits de ces disques qui est assez assourdissant
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité