Bonjour,
Je travaille dans une entreprise disposant de plusieurs sites en France. Je suis sur le site principal qui reçoit énormément de connexions des autres sites à partir d'une liaison WAN, que j'appellerai A.
Nous avons également une autre ligne (que j'appellerai B) que nous utilisons pour soulager la ligne A et pour l'accès depuis l'extérieur à notre DMZ qui comprend un serveur EDI et un serveur FTP.
On m'a demandé de rediriger tout le trafic internet du site principal qui passe actuellement sur le ligne A, vers la ligne B en utilisant un proxy avec authentification Active Directory.
Mon serveur Squid est actuellement dans la zone LAN. Cela permet une authentification plus sécurisée vers notre controleur de domaine. Les demandes d'accès à internet sont nattées sur le firewall qui sécurise la ligne B. Le DNS du serveur Squid est celui de notre domaine
J'ai déployé cette infrastructure, cependant quelques interrogations restent :
- Je trouve que l'accès internet est particulièrement lent, notamment l'appel à la page. Une fois celle-ci chargée, la vitesse redevient normale. Est-ce un problème de DNS ? Ne serait-il pas préférable de donner à squid le DNS du FAI de la ligne B ? Cela impliquerai l'ouverture du port 53 sur le firewall. Cela impliquerai aussi de revoir tous les fichiers de conf et de remplacer les noms de machine par leur adresse Ip car le DNS du FAI ne connait pas les machines du domaine.
- Est-ce une bonne idée d'avoir mis le proxy dans le LAN et non dans la DMZ ? J'ai eu peur de la mettre dans la DMZ à cause de l'authentification AD.
Dites moi SVP ce que vous pensez de cette architecture, qu'auriez-vous fait à ma place ?
Merci.