Ipcop virtualisé sur du VMware ESX Server

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Ipcop virtualisé sur du VMware ESX Server

Messagepar MAtos_22 » 19 Juil 2008 13:54

Je n'avais plus eu besoin d'utiliser Ipcop depuis un moment. Et dans le cadre du boulot on a eu un besoin.
Du coup comme je n'avais pas envie de monter une machine specifique pour cela et que j'avais des serveurs virtuels VMware sous la main ...

Donc cela fonctionne parfaitement avec la configuration suivante
- une baie de stockage HP pour toute les machines virtuelles dont ipcop
- 3 serveurs ESX connectes en fiber sur la baie

Cela doit aussi fonctionner avec une configuration plus "light"

Je n'ai pas constaté de probleme de performance lié a cette configuration.
Le comportement d'ipcop est identique a celui qu'il pourrait avoir sur une machine physique.

Je n'ai testé que sur du VM ESX server et non sur du vmserver tout simple mais jen e vois pas pourquoi cela ne fonctionnerait pas.

Avec les avantages que procure la virtualisation, c'est une solution a méditer.

:lol:
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar jdh » 19 Juil 2008 14:12

Nombreux sont ceux qui pensent autre chose !!!!!


- Qu'en est-il de la sécurité des switchs de VMware ?
- Comment assurer que le host, relié directement à un routeur n'est pas attaquable AVANT que VMware agisse ?
- Combien coûte un PC récupéré pour un IPCOP ?
- (Il n'y a pas que VMware comme système de virtualisation ...)

A titre perso, VMware est très bien pour évaluer. Mais dès qu'il est question de "production", il est AMHA impératif d'utiliser une machine physique dédiée.

Que cela fonctionne, tout le monde est d'accord mais pas pour le mettre en production.


(Le coût d'ESX ???)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar MAtos_22 » 19 Juil 2008 14:57

- Qu'en est-il de la sécurité des switchs de VMware ?

Comme tout équipement réseau cela reste faillible ...

- Comment assurer que le host, relié directement à un routeur n'est pas attaquable AVANT que VMware agisse ?

La, tu remets en cause tout le principe de virtualisation et de l'encapsulation des differentes machines et reseaux virtuels.
C'est une techno eprouvée qui peut certe avoir des lacunes.
Mais vmware reste tres reactif devant les differents problemes que l on peut rencontrer et l on peut faire ses MAJ sans interruption de service.

- Combien coûte un PC récupéré pour un IPCOP ?
en ce qui me concerne je pourrais certes réutiliser un ancien serveur HP rackable mais au vue de l'utilisation que je veux en faire cela n'a pas de sens.
J'utilisais précédemment un HP G4 en raid et cela fonctionnait tres bien. J'ai aussi fait tourenr ipcop sur des vieilles machines recyclés genre p200 et il est vrai que cela ne coute pas grand chose.

- (Il n'y a pas que VMware comme système de virtualisation ...)
C'est tout a fait vrai, mais n'ayant teste ipcop que sur ce systeme, je me contente de parler de celui la.
Et ce que je peux dire, c'est qu'il n'y a pas de problemes concernant le fonctionnement materiel (liste de compatibilite materielle ...)

Je sais qu'ipcop reste avant tout un firewall et que dans ce cadre il doit etre mis sur une machine physique; mais il est possible de l'utiliser dans d'autres cas de figure

Quand au cout d'ESX, cela est acceptable par rapport aux avantages que cela procure. Nous faisons tourner actuellement une vingtaine de serveurs sur notre serveur ESX et je pense que l'economie realisée est tres apreciable tant qu niveau materiel qu'electrique ou même en refroidissement. Cela nous a permis d'eteindre une baie entiere ...
De plus tu peux utiliser gratuitement VMServer indefiniment.
La version gratuite d'ESX est modifiable a loisir pendant 60 jours. au dela on ne peut plus rajouter de machines mais cela fonctionne tout de meme.
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar DamZ91 » 20 Juil 2008 22:58

Exact moi aussi j'ai virtualisé un IPcop avec VMware (pour faire des tests) et j'en étais très content! Par contre je suis d'accord sur le principe d'éviter de mélanger serveur et matériels actifs pare-ce-que par exemple, le jour ou ton system ESX plante (je ne te le souhaite pas !). Non seulement tes clients ne pourront plus accéder aux partages de fichiers et applications mais en plus, ils ne pourront plus envoyés de mail (j'ai déjà fait l'expérience, privé une entreprise de mail c'est la pire des choses que tu puisses leurs faire!!!lol) Mais il est vrais que VMnet de VMware te permet beaucoup de possibilité avec IPcop.
Avatar de l’utilisateur
DamZ91
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 14 Juil 2008 13:51

Messagepar skanker » 04 Août 2008 21:23

heureusement qu'ESX est plus intelligent que ca
puisqu'il arrive a se comporter comme un cluster mais bon le sujet n'est pas a débattre ici

par contre avez vous réussi a mettre en place les Vmware tools ?
Avatar de l’utilisateur
skanker
Matelot
Matelot
 
Messages: 4
Inscrit le: 23 Mai 2003 00:00

Messagepar ccnet » 05 Août 2008 00:11

A propos de coûts, la donne à encore changée depuis quelques jours :

http://www.lemondeinformatique.fr/actua ... 26616.html

http://www.vmware.com/fr/products/esxi/

Il n'en reste pas moins que je reste parfaitement opposé à l'installation d'un élément de sécurité critique en production comme un firewall sur une vm.
La, tu remets en cause tout le principe de virtualisation et de l'encapsulation des differentes machines et reseaux virtuels.
C'est une techno eprouvée qui peut certe avoir des lacunes.

Ne serait ce pas comme penser que les vlans sont parfaitement sûrs alors qu' ils ne le sont pas ? Nombreux sont ceux qui pensent que les vlans sont parfaitement sûrs et étanches. De la même façon que pour vmware, cela ne signifie pas qu'il ne faut pas s'en servir (au contraire ils peuvent apporter de la sécurité) mais avec des réserves.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron