MultiWan et Proxy SMTP. Quelle distro choisir ?

Ce forum traite des autres distributions spécialisées, notamment les distributions sécurisées comme ASTARO ou COYOTE LINUX.

Modérateur: modos Ixus

MultiWan et Proxy SMTP. Quelle distro choisir ?

Messagepar Ar0z » 07 Sep 2008 19:37

Bonjour,

Je suis à la recherche d'un UTM open source (pour une asso) pouvant me fournir :
- Firewall, NAT, DMZ, administrable via interface web
- Proxy SMTP entrant ET sortant.
- Proxy HTTP transparent avec filtrage de contenu.
- Traffic shapping (être capable garantir une BP minimale pour certains services)
- Multi WAN : 2 interfaces WAN avec si possible load balancing. L'essentiel étant de pouvoir faire du WAN failover.
- Statistiques sur l'utilisation des interfaces (type de traffic le plus gourmant, pics d'utilisation, ips LAN et WAN les plus utilisées, ...)

Si possible (mais optionel) :
- Serveur mail.
- Serveur de fichiers (partage en SMB).
- Serveur WEB (pour un petit intranet).
- IDS/IPS
- Antivirus/Antispam

Le tout si possible en version light coté hardware (jusqu'à 300 clients sur le LAN)
En fait clarkconnect semble remplir tous mes besoins mais la fonctionnalité multi-WAN n'est dispo que dans la version entreprise or il me faut de l'open source (plus par principe que pour le prix).

Merci par avance de vos réponses et suggestions.
Ar0z
Matelot
Matelot
 
Messages: 2
Inscrit le: 07 Sep 2008 19:25
Localisation: sud ouest

Messagepar jdh » 07 Sep 2008 20:44

J'ai eu une suggestion : tu en essaies plusieurs, et tu poursuis avec celle qui coïncide le mieux avec tes besoins ...


Quelques remarques : des bouts de phrases qui se mélangent bizarrement :

- une asso <-> 300 clients : taille énauuurme !
- il me faut de l'open source <-> par principe : on ne fait jamais rien de bon par principe !
- petit intranet <-> 300 clients : vous avez dit petit ?
- options : serveur mails, fichiers, web : c'est bien placé sur un firewall ?
- light <-> toutes ces fonctions : irréaliste !
- multiwan : peu de distributions savent le faire !


Ma réflexion personnelle :

Je vois dans tout cela un discours très technocrate ! Je crois lire l'étudiant tout juste sorti de son école d'ingénieur ! Il y a, en effet, tout ce qu'il faudrait faire. Mais il y a plein de contre sens : la pratique est très (très) différente !

Dans la pratique (la vraie vie) :
- un ids est très difficile a mettre en oeuvre et exige des ressources humaines absentes la plupart du temps et dispos que dans des grand comptes,
- l'antivirus/antispam ne devrait pas être placé sur un firewall,
- un proxy smtp entrant et sortant ? pourquoi faire ? avec 300 clients, faudrait peut-être penser à une messagerie interne !


Bref ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 07 Sep 2008 21:02

Pour 300 utilisateurs tout cela me parait assez artificiel dans la solution envisagée. Par artificiel, j'entend assez déconnecté de la réalité opérationnelle.

Je complète.
1. Le firewall est ... un firewall et pas un super marché où l'on trouve tout.

2. L'architecture à gros traits. Firewall sur ce cahier des charges c'est un travail pour Pfsense. Une messagerei interne semble recommandable. Serveur de mails dans le lan, relais smtp dans la dmz. Pour le relais j'ai expliqué en détail ici il y a moins de dix jours comment optimiser ClarckConnect pour un antispam très efficace. Très efficace je peux en juger car en production sur trois sites distincts.
Dernière édition par ccnet le 07 Sep 2008 21:31, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Ar0z » 07 Sep 2008 21:27

Merci pour vos réponses,

Effectivement çà paraît assez "irréaliste", mais c'est bien mes besoins.
En fait cette gateway va servir pour un lan d'environ 30 postes tout au long de l'année qui va passer à 300 postes pendant quelques week-ends.
Le proxy smtp sortant avec antispam servira à empêcher l'envoi de spam depuis les clients (potentiellement des pcs vérolés de partout en cours de dépannage, de part la nature du réseau)
Le multiWAN est impératif au moins pour faire du WAN failover (la Gateway va servir en partie pour un cybercafé et étant donnée la fiabilité des FAI...)

Pourquoi "petit" intranet/serveur de fichiers ? Parcequ'il suffit de mettre quelques pages web et quelques fichiers à dispo. Pas de groupware, etc.

Côté optionnel, est-ce bien placé sur un firewall ? Je ne pense pas en effet mais ce serait plus pratique, si ce n'est pas possible, ce n'est pas grave.

Quand au discours technocrate, je ne suis pas sorti d'école mais admin système/réseau et spécialiste ASTARO.
Si je fais appel à vous c'est parceque ASTARO est bien trop cher pour une asso (300 Clients... à peu près 5000 eur par an et une machine démesurée avec les options recherchées).

Pour résumer, j'ai surtout besoin de multiWAN, proxy HTTP, proxy SMTP sortant.

Merci encore pour vos réponses, auriez-vous une idée d'UTM open source pouvant faire le boulot ?
Ar0z
Matelot
Matelot
 
Messages: 2
Inscrit le: 07 Sep 2008 19:25
Localisation: sud ouest

Messagepar ccnet » 07 Sep 2008 21:51

Vous pouvez utiliser ClarckConnect dans différentes configurations.
Les coûts : Pfsense, Clarkconnect en AV-AS, en serveur dans le lan pour Samba + Mail + Web.
Pour les deux premiers un DL360 fait l'affaire. 100 euros sur ebay en moyenne. Avec un PIII - 800 Mghz - 512 Mo, je traite sans problème plusieurs dizaine de milliers de mails quotidien. Je peux tenir probablement jusqu'à 200 000.
Pour la troisième machine un DL 360G2 ? 250 euros ? A ce prix vous pouvez acheter du spare.

Voilà comment je ferai le boulot avec 3 machines et quelques switchs.

L'IDS vous pouvez oublier complètement pour les raisons données par jdh et que j'ai aussi maintes fois expliquées ici. Que le CEA possède un ids capable de traiter un Gbits de bande passante je comprend. Qu'un gros hébergeur professionnel mette du personnel 24/7 devant l'ids pour surveiller ses réseaux je comprend aussi lorsque l'on héberge la moitié du CAC40. Pour une association je ne vois pas d'enjeux en rapport avec l'importance de l'expertise nécessaire.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Franck78 » 07 Sep 2008 21:59

Merci encore pour vos réponses, auriez-vous une idée d'UTM open source pouvant faire le boulot ?


ben oui, un pfsense pour le firewall, sur sa machine.
une deuxième machine, placée en dmz par rapport au pfsense/lan/wans et accueuillant 'tout le reste'.

sans hésitation une debian dépourvue d'interface graphique car c'est mille fois plus efficace avec 'vi' ou MC pour régler les services*.
postfix avec tout le toutim.
dovecot pour imap
squid+squidguard+update des listes toulouse.

*évidement ça dépend beaucoup de qui administrera. C'est peut-être bien un point important à préciser......
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers Autres distributions

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron