IPCop convient-il ?

par **Criville** » 14 Jan 2009 13:26

Bonjour à tous,

Utilisateur d'IPCop en entreprise depuis 7 ans, essentiellement en tant que firewall sans addon et pour les liaisons VPN inter-site (7 sites distants).

Sur les sites distants il n'y a au plus que 20 postes.

Aujourd'hui je dois remplacer un firewall Netasq F1000 http://www.netasq.com/pdf/na_tds_f1000_1005_fr.pdf.
- Il protège 400 postes (filtrage par protocole)
- Les fonctions de filtrage d'URL, d'antivirus, d'antispam et VPN ne sont pas utilisées
- Il y a une DMZ (publication de serveurs)
- Il y a deux lignes Internet une 4M en symétrique et une 20M asymétrique sur fibre optique

Aujourd'hui je me pose la question d'harmonisation des matériels et me demande si je peux remplacer le Netasq par un IPCop ou 2 (en dos à dos).

Est-ce que quelqu'un a l'expérience d'un IPCop dans une structure semblable en terme de postes ?

D'avance merci,
Cyrille

par **jdh** » 14 Jan 2009 14:18

(Je suis loin d'être spécialiste IPCOP).

Je crois qu'IPCOP n'est pas du tout prévu pour avoir 2 Red (les 2 accès à Internet).

Par ailleurs, il y a un problème de compréhension : 400 postes : IPCOP n'est pas qu'un routeur !
Autrement dit, il n'y a pas 400 postes qui traversent le firewall !

On peut imaginer qu'il y a bien quelque part un proxy pour http/ftp. (La règle sera alors évidente : seul le proxy peut accéder à Internet pour ces protocoles).

De même, on peut imaginer qu'il y a un serveur de mail. Donc aucun besoin d'une règle qui permettent à n'importe quel PC de faire du pop3/smtp. (Enfin, moi je l'interdirais).

par **Criville** » 14 Jan 2009 14:56

Tout à fait d'accord avec 2 RED sur IPCop : ce n'est pas possible, c'est pour ça que je pense à une solution en dos à dos (avec 3 IPCop : 1 IPCop Internet-4M, 1 IPCop Internet-20M et 1 IPCop LAN, les 3 reliés par une DMZ commune).

Pour moi IPCop n'est pas qu'un simple routeur je compte bien utiliser ses fonctions firewall (iptables), proxy web et ajouter l'addon de filtrage URL.

Pour ce qui est du serveur de mail, il est en DMZ et donc oui il y a une règle qui bloc le SMTP depuis le LAN.

par **ccnet** » 14 Jan 2009 16:39

Je confirme qi'Ipcop n'est pas adapté à la gestion d'interfaces Red multiples, ni même d'un sous réseau connecté à cette interface. Ipcop ne gère bien qu'une ip unique sur Red.

La charge potentielle d'un réseau de 400 postes n'est pas en elle même un problème. Simple question de choix de machine, de carte réseaux et d'équipement.

une solution en dos à dos (avec 3 IPCop : 1 IPCop Internet-4M, 1 IPCop Internet-20M et 1 IPCop LAN, les 3 reliés par une DMZ commune).

Tout cela me semble bien compliqué, et surtout assez lourd et pauvre en outils d'administration adaptés. Une solution bsée sur Pfsense devrait pouvoir vous donner toute satisfaction. Et ce document vous aidera à dimensionner la machine. http://www.pfsense.org/index.php?option ... &Itemid=49
Les proxy et autres filtres "applicatifs" ont tout intérêt à être installés sur des machines séparées. Dans cette catégorie, je range les proxy http - ftp et les passerelles de messagerie (relai smtp) AS AV. Pour une fois je vais recommander l'usage de Vmware (ESXi 3.5) qui peut supporter les deux machines nécessaires dans une dmz.

par **Criville** » 14 Jan 2009 18:10

La charge potentielle d'un réseau de 400 postes n'est pas en elle même un problème. Simple question de choix de machine, de carte réseaux et d'équipement.

C'était plus ça l'objet de ma question (dimensionnement du serveur IPCop), je ne trouve pas de réponse à cette question sur le forum ou ailleurs. Je cherche un retour d'expérience sur de gros réseaux avec beaucoup de postes.

Pfsense semble correspondre à mes attentes, mais je n'aurais pas voulu introduire une distribution supplémentaire dans notre système d'information, merci pour l'info.

IPCop convient-il ?

IPCop convient-il ?

Qui est en ligne ?