Pourquoi un pc en FW, routeur, etc... - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 27-04-2008 à 15:39:06
Si un bon firewall (du genre iptables) est correctement paramétré sur ce pc, il sert de firewall physique, autrement plus sécurisant qu'un firewall logiciel.
Il peut aussi servir de routeur et effectuer du NAT.
En gros, il prend la place d'un routeur qui ferait tout ça, sauf qu'il le fait avec une configuration maison (ce qui peut être plus intéressant dans certains cas).
Marsh Posté le 27-04-2008 à 15:54:12
ReplyMarsh Posté le 27-04-2008 à 17:33:02
ViMx a écrit : Merci d'écrire un titre en français correct. |
et de supprimer les ??? superflus du titre.
Marsh Posté le 27-04-2008 à 18:47:05
Désoler mais j'ai parfois du mal à trouver un titre pour mes demandes
Donc si je comprend bien, l'intérêt de ce troisième pc sans notre cas permet de remplacer le routeur qui ce trouve sur la box
du FAI par quelques choses de plus "costaud" et paramétrables à souhait, c'est bien sa?
Mais vu que c'est lui qui va "déservir" le net sur le réseau local, si il tombe en rade, tous le réseau est down aussi, non?
La box d'un FAI est tous de même moins sujet à ce genre de problème, plus fiable en faite.
Ce genre de config ne permet en faite que d'avoir un réseau local beaucoup plus sécuriser, que ce que propose les
quelques paramètres d'une box, c'est bien sa?
Franck
Marsh Posté le 27-04-2008 à 18:49:11
Oui, et également d'avoir une machine pour avoir d'autres services : partages réseau, serveur http ou ftp, ...
Marsh Posté le 27-04-2008 à 19:05:06
Partages réseaux, c'est à dire? Ce n'est plus sur chaque machine que l'on partages les dossiers dans ce cas?
Franck
Marsh Posté le 27-04-2008 à 19:33:37
Un partage "global", accessible sans avoir à laisser une machine allumée, par exemple.
Marsh Posté le 27-04-2008 à 20:45:52
franck2931 a écrit : Désoler mais j'ai parfois du mal à trouver un titre pour mes demandes |
Oui pour tes questions, et non pour la fiabilité. La box de ton FAI est beaucoup moins fiable, et peut planter autant que le PC qui va s'occuper de ton routage et de ton firewall physique, d'autant plus qu'en général, il est réservé à ce travail précisément:
freds45 a écrit : Oui, et également d'avoir une machine pour avoir d'autres services : partages réseau, serveur http ou ftp, ... |
Justement, non. Il pourra servir à faire le boulot d'un bon routeur (cache DNS, port forwarding, QoS, WOL ..) mais très rarement à accueillir un serveur HTTP ou FTP ! Il est généralement mis en amont de ce serveur, pour assurer sa protection: si jamais il y a un DDoS et que ce PC est bien paramétré, il prendra tout dans la gueule mais le serveur n'aura rien, et c'est bien le but de ce genre d'installation. Je n'ai jamais vu un serveur mis en avant dans une installation: c'est trop risqué !
Par contre, certains ajoutent un service VPN dessus: pourquoi pas ? Des routeurs le font aussi
Marsh Posté le 27-04-2008 à 23:16:09
Merci pour ces réponses claire et précises
Je vois déjà mieux l'utilité d'une telle machine. En cas d'attaque le réseau local est protéger, enfin normalement je suppose?
Les quelques exemples que j'ai montre des machine avec très peu de ressources. Genre un vieux pc qui traine ou pour certain
l'utilisation de carte mère mini itx fanless. Cela est il du au faite que Windows ne convient pas pour ce genre de chose?
Linux est il incontournable?
Si je devais monter ce genre de machine qu'elle OS me conseilleriez vous? Et qu'elle logiciel bien sur (iptables, etc...)? La puissance
de la machine (les ressources) sont pas importantes? Sa peu tourner sur du Via à 800Mhz?
Franck
Marsh Posté le 28-04-2008 à 00:19:59
Debian et un bon iptables ...
On pourrait utiliser windows, mais ça utiliserait trop de ressources et c'est beaucoup moins paramétrable. Linux est par définition administrable et totalement paramétrable: c'est donc le meilleur moyen de monter ce genre de machines. Etant donné que les fonctions sont limitées, on n'a pas besoin d'énormément de ressources (on en aurait certainement besoin d'un peu plus pour un serveur avec des services (ftp, http, etc... bien qu'on n'en ait pas besoin de beaucoup non plus ).
Un copain avait un PC du genre sur un vieux PII, et ça lui a beaucoup servi (il a essuyé quelques DDoS d'un pote à lui qui voulait tester sa sécurité réseau ^^). Donc pour répondre oui, tu peux l'utiliser avec du Via à 800 MHz.
Par contre, un conseil perso: réserve exclusivement cette machine à ce travail là.
Marsh Posté le 28-04-2008 à 14:01:42
franck2931 a écrit : Les quelques exemples que j'ai montre des machine avec très peu de ressources. Genre un vieux pc qui traine ou pour certain |
Un bon vieux PC qui va bouffer ses 200Watt 24/24, 7/7
Paye ta plannette aride et désertique
Marsh Posté le 28-04-2008 à 14:26:43
Nashii89 a écrit : Debian et un bon iptables ... |
C'est le seul logiciel à mètre en place pour sécuriser un réseau?
Je connais pas vraiment Linux et tous le monde parle de Ubuntu, y'a une différence avec Debian? C'est simple à installer?
Franck
----------------------------------------
Le blog de notre maison (VDI, réseau, etc...): http://homewired.ovh.org
Marsh Posté le 28-04-2008 à 15:26:36
Euh, je n'ai jamais fais ce genre d'installation, juste vu. Il me semble qu'iptables est suffisant mais je n'en suis pas certain ..
Sinon, sans vouloir troller, Ubuntu est basé sur Debian (en moins bien). En gros, en tant que Debian Addict, je dirai simplement que Ubuntu est un Debian bugué.
En voulant être un peu plus juste, Ubuntu est plus facile à prendre en main pour de la bureautique ... quand tu te lances dans du serveur (ou dans un pc qui va faire office de routeur dans ce cas) Debian est plus approprié.
Niveau installation, si tu ne mets pas d'interface graphique, moins de 20 minutes normalement (avec une netinstall).
Z_cool a écrit : |
De toutes façons des potes en cours d'environnement m'ont dit que dans 5 ans on serait tous morts.
Marsh Posté le 28-04-2008 à 15:47:56
Sans interface graphique ??
Tu installe sa comment alors? Un petit tuto serai le bienvenue car visiblement tu m'étrise le sujet
Franck
Marsh Posté le 28-04-2008 à 15:57:19
Bah euh ... Linux c'est avant tout de la console et du SSH
L'interface graphique est superflue (on pourrait de même sous windows tout contrôler sans interface graphique, mais ce serait nettement moins agréable que sous linux ...).
Il te suffit lors de l'installation de Debian de ne pas installer de serveur X: ça prend de la place pour rien, vu ce que tu comptes en faire. Tout ton paramétrage iptables se fera ensuite en ligne de commande (une fois qu'on connaît les commandes à taper, ça se fait facilement), et tu pourras, si tu ne t'en sors vraiment pas, utiliser une interface graphique pour gérer ton firewall par une page web à laquelle tu ne pourras accéder que depuis ton réseau local (un truc du genre webmin - même si je n'aime pas - pourrait à la limite t'aider ...)
De toutes façons, si après quelqu'un de plus qualifié que moi au niveau iptables (j'utilise le SPI de mon routeur, donc je n'ai pas configuré iptables sur mon serveur) t'aider à configurer tout le bazar, il te donnera des commandes à taper en ligne de commande, et non avec l'interface graphique. Concrètement, l'interface graphique d'un pc sous linux ne sert que pour de la bureautique (ou du jeu), un peu comme sous windows.
Marsh Posté le 27-04-2008 à 15:15:19
Bonjour !
Je vois dans les configuration de certain, que souvent un petit pc est utilisé comme passerelle internet, fire-wall, routeur, ect..
Je détail un peu plus, ma config ce compose de deux pc et un troisième monter en serveur de fichier (pas d'écran, ni clavier/souris). C'est trois machines
sont relier à un switch. Sur ce même switch est relier la box de notre FAI qui diffuse donc l'adsl sur le réseau local.
Mais je vois que certain utilise un quatrième pc sur lequel il relie leur box de leur FAI en ethernet sur une carte réseau et sur une second carte réseau il resorte
sur un switch pour y connecter les pc de leur réseau local.
Sa donne donc: Internet ----> Box FAI ----> carte réseau (pc) carte réseau ----> Switch ----> X pc.
Qu'elle en est l'intérêt?
Franck
--------------------------------------
Le blog de notre maison (VDI, réseau, etc...): http://homewired.ovh.org
Message édité par franck2931 le 27-04-2008 à 18:38:03