Proxy - Matériel nécessaire - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 24-07-2012 à 17:13:07
Il fera cache seulement ou il y aura aussi un redirecteur avec filtrage suivant quels critères ? Listes noires, analyse de l'URL, du contenu ?
Combien d'accès simultanés ?
Un matériel au format tour, rack, boitier type box ?
Marsh Posté le 24-07-2012 à 18:26:25
Oui aussi filtrage URL sur liste noire et possibilité de regarder qui visite quoi.
Accès simultanés : difficile à dire, peut-être 50 machines qui se connectent en simultané maximum.
Je pensais à intégrer via une machine virtuelle le proxy sur un serveur déjà existant tournant sur Windows Server 2003. Est-ce correct ? Ce serait pour éviter des coûts.
Merci
Marsh Posté le 24-07-2012 à 18:39:21
Tu peux toujours virtualiser mais perso, pour des services réseaux comme un proxy, je préfère un matériel dédié.
Il faut voir aussi ta solution de virtualisation. Et comme tu causes de monter une VM sur un 2003, ca ne me rassure pas sur les perfs et la stabilité du tout.
En plus, un linux avec SQUID et un redirecteur (SQUIDGUARD ou DANSGUARDIAN), ca ne demande pas une machine de guerre.
Par contre, si tu fais du filtrage, il faut prévoir un CPU correct et un peu de RAM.
Tu ne dis pas quel facteur de forme il te faut pour le matériel.
Mais au format tour, tu peux partir sur un serveur entrée de gamme chez Dell par exemple avec un corei3 ou équivalent, 2Go de RAM.
Quel est sinon ton routeur ? Il ne permet pas de faire proxy ?
Marsh Posté le 25-07-2012 à 11:34:37
Non mon routeur est une Livebox Business 1000.
Ce que je veux aussi c'est forcer les utilisateurs du réseau à se connecter au proxy. Pour cela :
Revoir l'architecture pour avoir :
pc1---
pc2---
... ---switch---proxy---firewall--routeur
pcn---
Dans ce cas l'achat d'un serveur est obligatoire.
Comme je préfèrerai éviter cela, j'ai pensais à rediriger, au niveau du pare-feu, toutes les connexions qui se veulent se connecter via le port 80... à se connecter vers le port 3128. Cependant, c'est un firewall Netasq f60 que je ne sais pas configurer.
Avez-vous d'autres suggestions qui m'éviterait d'acheter un serveur ?
Merci
Marsh Posté le 22-08-2012 à 13:56:38
Euh... je me rappelle avoir "recyclé" un des ordinateurs de mon parc en lui collant 3 cartes réseaux au cul, et en le transformant en "proxy restrictif + proxy cache + AP wifi + routeur" pour un budget total de 30 Euros TTC (le prix des 3 cartes réseaux 10/100).
La distribution que j'avais utilisé à l'époque était une IPCOP (mais il aurait fallu privilégier SmoothWall ou SquidGuard si je ne me trompe afin de bénéficier de support et d'une communauté active puisque cette distrib ne serait plus maintenu d'après les dernières news..).
Evidemment, tu devras bridger ta livebox afin de confier le rôle de routage à ta bécane de-la-mort-qui-tue.
C'est une piste, je ne dis pas que c'est la solution attention ^^
PS : Pour info, la force de ce genre de distrib réside dans la possibilité de personnalisation et d'ajout de fonctions grâce aux modules à installer (y en a un paquet...)
Tiens nous au courant.. ++
Marsh Posté le 22-08-2012 à 14:14:49
Une machine dédiée pour le proxy sur une DMZ sur le F60 (qui doit avoir 3 ou 4 ports je pense).
/!\ La gamme F n'est plus supportée je crois.
Regle de filtrage n'autorisant que le proxy à sortir (http/https) sur le F60.
Utiliser WPAD pour que les navigateurs trouvent automatiquement le proxy.
Marsh Posté le 22-08-2012 à 17:58:37
Punaise, installer un proxy filtrant alors que le F60 le fait déjà en natif......
Marsh Posté le 22-08-2012 à 22:49:38
Avec un f60 qui n'a plus de maintenance ni de maj et qui si ça se trouve est en v6 ?
Ou alors envisager d'échanger le F60 pour un U70 (y a 150 postes) ?
Marsh Posté le 23-08-2012 à 14:21:35
meme en v6, tu as le support black/white list......et le filtrage protocolaire
quand à préconiser un vieux pc avec squid+ addons pour un parc de 150 machines (donc pas la petite pme du coin), honnêtement c'est loin d'être professionnelle comme approche........
Marsh Posté le 23-08-2012 à 16:00:59
Dans notre société de 90 salariés, nous utilisons Endian Firewall qui tourne sur un vieux PC depuis 3 ans et ça fonctionne plutôt bien.
Endian est défini sur les postes en tant que passerelle. Nous pouvons ainsi paramétrer qui passe par Endian et qui passe en direct sur le routeur, c'est assez pratique.
Marsh Posté le 23-08-2012 à 16:03:57
vrobaina a écrit : meme en v6, tu as le support black/white list......et le filtrage protocolaire |
Oui mais la gamme F reçoit elle toujours les MAJ ?
Marsh Posté le 23-08-2012 à 16:07:51
fred34 a écrit : Dans notre société de 90 salariés, nous utilisons Endian Firewall qui tourne sur un vieux PC depuis 3 ans et ça fonctionne plutôt bien. |
et le jour ou il petera ton vieux bouzin ? ==> 90 salariés sans le net et tu expliqueras à ton patron que s'il n'a pas reçu les confirmations de commandes de vos clients c'est parce que vous avez mégoté un investissement de 1000€ (2 pc de bases pour faire un firewall + son spare).....
Marsh Posté le 23-08-2012 à 16:34:00
Franchement vrobaina.... t'as juste envie d'être désagréable ou simplement ne pas être de ton avis t'horripile ?
On peut tout à fait confier le rôle de proxy filtrant (blacklist/whitelist) à une bécane dédiée qu'elle soit neuve ou pas d'ailleurs... en quoi casser la tirelire est nécessaire pour celà ? Au pire, s'il tient absolument à sortir des sous pour monter son projet, il achète une machine toute neuve et peux même en acheter une seconde qu'il configure en spare et qu'il garde bien au chaud dans son placard, mais je vois pas en quoi Squidguard (et autres clones type IPCOP, Smoothwall et compagnie) aurait à rougit face à des solutions concurrentes sous licence qui font exactement la même chose que ce qu'il demande (de la restriction..). L'utilisation des ressources machines est même graphée visuellement et pour l'avoir testé personnellement (parc de machine important avec tout un tas d'addons qui aurait normalement du franchement alourdir le CPU) c'est ridicule comme utilisation de ressources... bref.. essaies d'être constructif dans tes propos, argumentes et propose une ou plusieurs solutions (ce qu'on attend d'un forum en fait il me semble...)
Marsh Posté le 23-08-2012 à 16:52:39
Alors soyons clair: je n'ai rien contre les solutions Opensource genre squid+squidgard. Et bien souvent les solutions type "appliance" sont généralement construites autour de ces logiciels. d'ailleurs je préconise souvent à mes clients ce genre de solution. Mais je dis ATTENTION, le coup du "prend un vieux bouzin et installe telle distro et ça roule......", je ne l'ai que vue et que trop subi. Généralement le coup classique:
1) "on" récupère un vieux pc et "on" fait une maquette, souvent c'est même un stagiaire l'été qui s'y colle.
2) la maquette est mise en prod, sans que personne ne connaisse les tenants ni les aboutissants.
3) il n'y a aucune document dans la société. Ca marche et bien souvent personne ne sait comment ça marche. car bien evidement la seule personne qui connaissait est partie (ça c'est la loi de l'emmerdement maximum.....)
4) un bout de x temps, le "truc" commence à battre de l'aile. le malheureux pc ayant fait son temps.
5) et là, on ne rigole plus.....
Bref, tout cela pour dire que OUI, pour monter une solution opensource MAIS, il faut impérativement rester Pro dans la démarche. (spare obligatoire, documentation..etc...)
Marsh Posté le 23-08-2012 à 20:10:55
Si on utilise une distribution spécialisée type Smoothwall, il existe des docs déjà faites. Pour certains addons aussi.
Et puis si tous les paramètres des addons sont disponibles via interface graphique, c'est assez accessible, même pour quelqu'un qui n'a pas installé et ne connait pas le produit.
Mais bon si on installe ça dans une boite où y'a que des quiches en info (soit parce qu'ils sont mauvais soit parce que ce n'est pas leur job), il faut passer par des solutions avec support.
Et dans ce cas là, ca peut aussi être des distributions linux spécialisées. Certaines ont des supports payants et sont mêmes vendues en appliances.
Niveau matos, le coup du vieux PC qu'on récupère, c'est une réminiscence de l'époque où Windows ca bouffe plein de ressources alors que Linux ca roxx je le fais tourner sur mon pentium avec ses 16Mo de RAM.
Du coup Linux= machine SOHO merdique avec alim à bout de souffle et composants qui n'existent plus.
Marsh Posté le 23-08-2012 à 20:47:18
Personnellement, j'ai un petit faible pour pfsense.
Lorsque je rencontre de vraies quiches en info. Généralement c'est le mots linux qui leur fait peur. alors je préconise plutot une petite apliance (même si dedans c'est un linux ou un bsd qui tourne) avec un petit contrat de support chez un presta de leur choix. ainsi ils n'auront pas à se poser de questions et ils auront un truc fiable et fonctionnel.
Quant au fait d'installer un proxy dans un VM sur un serveur Windows 2003, c'est possible, mais je rejoint Shongail: pour moi, un élément actif se doit d'être une machine physique.
Maintenant, revenons à nos moutons, avant de proposer LA solution miracle, il y a plusieurs points à éclaircir:
1) tu veux un proxy, OK mais mis à part le filtrage d'url type Black/white Lists, que veux-tu qu'il fasse ?. doit-il être aussi un proxy cache ?.
2) tu as un F60, le filtrage protocolaire est-il activé (pour empecher les flux p2p, streaming..etc... qui pourrissent la bande passante).
3) as-tu une DMZ ? si non, alors souhaites-tu en implémenter une (à court ou moyen terme). Ceci va nous permettre de déterminer le positionnement de ton proxy sur le réseau (dans le lan ou dans la dmz).
4) veux-tu que tes utilisateurs s'authentifient pour accéder au net ?.
5) tu veux logger les connexions, pas de pb, mais jusqu'à quel niveau ? (juste l'adresse du pc qui fait la requète ou bien tu veux impérativement connaitre le Login de l'utilisateur qui effectue cette requète)
6) as-tu des connexions rentrantes sur ton Lan, c'est à dire as-tu des utilisateurs (typiquement la direction) qui se connectent depuis chez eux à ton réseau?.
7) as-tu "la main" sur le Netasq car il faudra peut-etre faire des modifications de configuration dans celui-ci.
8) Toi et tes collègues, avez-vous des compétences Unix/Linux ?
9) Quel est ton budget approximatif ?
10) cette solution est-elle une demande de ta direction ?. Et pour quand doit-elle être mise en oeuvre ?. (important si tu te rends compte que la solution 'do-it youself" n'est pas la plus pertinente et que tu dois te retourner vers des presta, et/ou commander du matériel)
11) Ton parc est-il constitué que de PC fonctionnant sous windows ?. Et oui, sont-ils dans un domaine?
...
...
etc
...
...
PS: Ma liste des questions n'est pas exhaustive
Marsh Posté le 24-08-2012 à 08:12:42
vrobaina a écrit : |
Tu as raison, j'ai oublié de préciser un point important : le "vieux bousin" ne sert que pour loguer les connexions sortantes des utilisateurs donc pas de soucis avec le trafic entrant. C'est un service non critique pour nous.
Il y a également un autre point que je n'ai pas évoqué : que faire en cas de crash ?
Chez nous (ce n'est peut-être pas le cas partout, j'en ai bien conscience), il suffit de remplacer l'IP du routeur par celle du proxy et le tour est joué. Cette procédure et documentée et n'entraîne qu'une faible coupure (qq minutes).
Marsh Posté le 24-08-2012 à 09:59:37
Si cet accès Internet était vital, il aurait pas un vieux F60 sans maintenance derrière une livebox a priori.
OK le proxy peut lâcher, mais le F60 aussi.
Si le proxy lache, tu peux toujours modifier ton filtrage sur ton parefeu le temps de le rétablir.
Marsh Posté le 24-07-2012 à 15:50:06
Bonjour,
Je souhaite mettre en place un proxy SQUID sur un parc informatique de 150 machines. Quels matériels me conseillez-vous ?
Aussi, le proxy se place juste avant le routeur, ce dernier a t-il besoin d'être configuré pour que le proxy fonctionne correctement ?
En vous remerciant