Debian-facile
Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
Pages : 1
#1 07-01-2014 12:32:46
Conseil pour un nouveau serveur Firewall/Proxy
Bonjour à tout le monde.
Tout d'abord je vous souhaite une bonne et heureuse année !
Je vais faire simple, voici ma question que me conseillez-vous d'installer comme produit pour monter un nouveau serveur Firewall/Proxy ?
Situation actuelle :
- Serveur Dell PowerEdge 1950 de Août 2007
- OS : Debian Etch 4.0 (n'a jamais été mis à jour
)
- Services installés (réellement utilisés) : Shorewall + OpenVPN
- Installation : Modem ADSL <-> Firewall <-> LAN
Voilà ce qu'on me demande :
- Changer le serveur (commande effectuée)
- Faire évoluer le Firewall et y ajouter un Proxy
Ma première idée est de mettre une Debain Wheezy 7.3 (j'ai déjà 3 serveurs sous cette version)
Installer OpenVPN et migrer les certificats
Installer Shorewall et migrer les conf
Installer un Proxy mais là je n'ai pas beaucoup d’expérience dans ce domaine.
Le but est de répondre aux obligations légales et filtrer l'accès aux sites malveillants et interdits (sites à caractères violents, porno, etc ...)
De plus ce serveur devra être intégré à notre LAN utilisant LDAP afin de loguer correctement tout ça.
Merci.
PS : S'il vous plait pas de polémique sur le but de cette installation, toutes les démarches légales ont été effectuées et actées avec un juriste et actées auprès des organismes officiels tel que la CNIL par exemple
Tout d'abord je vous souhaite une bonne et heureuse année !
Je vais faire simple, voici ma question que me conseillez-vous d'installer comme produit pour monter un nouveau serveur Firewall/Proxy ?
Situation actuelle :
- Serveur Dell PowerEdge 1950 de Août 2007
- OS : Debian Etch 4.0 (n'a jamais été mis à jour
)- Services installés (réellement utilisés) : Shorewall + OpenVPN
- Installation : Modem ADSL <-> Firewall <-> LAN
Voilà ce qu'on me demande :
- Changer le serveur (commande effectuée)
- Faire évoluer le Firewall et y ajouter un Proxy
Ma première idée est de mettre une Debain Wheezy 7.3 (j'ai déjà 3 serveurs sous cette version)
Installer OpenVPN et migrer les certificats
Installer Shorewall et migrer les conf
Installer un Proxy mais là je n'ai pas beaucoup d’expérience dans ce domaine.
Le but est de répondre aux obligations légales et filtrer l'accès aux sites malveillants et interdits (sites à caractères violents, porno, etc ...)
De plus ce serveur devra être intégré à notre LAN utilisant LDAP afin de loguer correctement tout ça.
Merci.
PS : S'il vous plait pas de polémique sur le but de cette installation, toutes les démarches légales ont été effectuées et actées avec un juriste et actées auprès des organismes officiels tel que la CNIL par exemple
Dernière modification par tugami88 (07-01-2014 12:33:07)
La connaissance s’accroît avec le partage.
Hors ligne
#2 07-01-2014 20:03:14
- nifseg
- Adhérent(e)
- Lieu : Dans une forêt
- Distrib. : Debian Wheezy + Jessie
- Noyau : 3.2.0-4-amd64 + 3.16.0-4-686-pae
- (G)UI : Gnome/Mate/Cinnamon
- Inscription : 15-12-2013
Re : Conseil pour un nouveau serveur Firewall/Proxy
Salut tugami,
En ce qui concerne le proxy tu pourrais choisir squid et lui adjoindre squidguard pour en faire un serveur filtrant.
Et pour le pare-feu, le couple netfilter/iptable ne te convient-il pas?
En ce qui concerne le proxy tu pourrais choisir squid et lui adjoindre squidguard pour en faire un serveur filtrant.
Et pour le pare-feu, le couple netfilter/iptable ne te convient-il pas?
L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Hors ligne
#3 08-01-2014 10:22:15
Re : Conseil pour un nouveau serveur Firewall/Proxy
Bonjour,
Oui j'avais déjà vu le couple Squid/Squidgard qui est très utilisé, d'ailleurs si quelqu'un a déjà installé ces produits, je suis preneur de conseils et tutos
Sinon je pensais conserver Shorewall car son paramétrage est déjà fait dans le vieux firewall et je trouve son utilisation assez simple d'emploi
Cependant je suis preneur de tout avis, si la communauté me dit que le couple netfilter/iptable est plus efficace, ce n'est pas un problème je prendrai cette voie.
Oui j'avais déjà vu le couple Squid/Squidgard qui est très utilisé, d'ailleurs si quelqu'un a déjà installé ces produits, je suis preneur de conseils et tutos
Sinon je pensais conserver Shorewall car son paramétrage est déjà fait dans le vieux firewall et je trouve son utilisation assez simple d'emploi
Cependant je suis preneur de tout avis, si la communauté me dit que le couple netfilter/iptable est plus efficace, ce n'est pas un problème je prendrai cette voie.
La connaissance s’accroît avec le partage.
Hors ligne
#4 10-01-2014 02:33:45
- nifseg
- Adhérent(e)
- Lieu : Dans une forêt
- Distrib. : Debian Wheezy + Jessie
- Noyau : 3.2.0-4-amd64 + 3.16.0-4-686-pae
- (G)UI : Gnome/Mate/Cinnamon
- Inscription : 15-12-2013
Re : Conseil pour un nouveau serveur Firewall/Proxy
Salut tugami,
Dsl de ne pas t'avoir répondu plutôt.
J'ai déjà installé squid et squidguard sur un serveur personnel et je dois dire que le duo remplissait bien sa tache. Par contre je n'ai jamais utilisé ce mandataire dans un cadre professionnel.
Mais c'est un projet bien mur donc tu devrais pouvoir le configurer à souhait.
Pour le pare-feu, si tu as déjà peaufiner les réglages avec shorewall, je pense que tu devrais resté sur celui-ci.
Régler un pare-feu avec minutie demande du temps. Ce serait bête de repartir de zéro!
Pour la doc sur squid/squidguard, le net foisonne de tutos à ce sujet.
Par exemple ici ou ici
Dsl de ne pas t'avoir répondu plutôt.
J'ai déjà installé squid et squidguard sur un serveur personnel et je dois dire que le duo remplissait bien sa tache. Par contre je n'ai jamais utilisé ce mandataire dans un cadre professionnel.
Mais c'est un projet bien mur donc tu devrais pouvoir le configurer à souhait.
Pour le pare-feu, si tu as déjà peaufiner les réglages avec shorewall, je pense que tu devrais resté sur celui-ci.
Régler un pare-feu avec minutie demande du temps. Ce serait bête de repartir de zéro!
Pour la doc sur squid/squidguard, le net foisonne de tutos à ce sujet.
Par exemple ici ou ici
Dernière modification par nifseg (10-01-2014 02:34:48)
L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Hors ligne
#5 10-01-2014 11:02:48
Re : Conseil pour un nouveau serveur Firewall/Proxy
Merci pour la réponse.
Voici mes orientations :
- Firewall : shorewall (il fonctionne bien et ça me moins fait de boulot)
- Proxy : Squid + squidguard
- Sécurité : HAVP (voir http://www.server-side.de/) + ClamAV
Voilà, voilà, maintenant au boulot
J’essaierai e faire un tuto pour ceux que ça intéresse.
Voici mes orientations :
- Firewall : shorewall (il fonctionne bien et ça me moins fait de boulot)
- Proxy : Squid + squidguard
- Sécurité : HAVP (voir http://www.server-side.de/) + ClamAV
Voilà, voilà, maintenant au boulot
J’essaierai e faire un tuto pour ceux que ça intéresse.
Dernière modification par tugami88 (10-01-2014 11:12:51)
La connaissance s’accroît avec le partage.
Hors ligne
#6 10-01-2014 20:17:52
- nifseg
- Adhérent(e)
- Lieu : Dans une forêt
- Distrib. : Debian Wheezy + Jessie
- Noyau : 3.2.0-4-amd64 + 3.16.0-4-686-pae
- (G)UI : Gnome/Mate/Cinnamon
- Inscription : 15-12-2013
Re : Conseil pour un nouveau serveur Firewall/Proxy
Riche idée pour le tuto!
Bon courage!!
Bon courage!!
L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Hors ligne
#7 23-01-2014 10:58:38
Re : Conseil pour un nouveau serveur Firewall/Proxy
Bonjour à tout le monde !
Je viens vous donner de mes nouvelles.
Le projet fait son petit bonhomme de chemin ...
C'est un peu plus long car on a eu une panne de clim en salle serveur
Du coup j'ai passé 2 jours à essayer de gagner quelques degrés pour préserver mes bébés de la surchauffe ...
Bricolage pour extraire un max de chaleur par les faux-plafonds et utilisation de 2 clim mobile qui se mettaient en sécurité thermique au bout d'une heure !
Une semaine tout ce qu'il y a de plus calme quoi !
Sinon j'ai fini la migration de l'ancien firewall
- install Debian 7.3 nue
- conf réseau (interfaces + intégration domaine LDAP + qques paramétrages de confort)
- install des services : ssh + postfix + ldap-utils + shorewall + openvpn
- conf shorewall + openvpn
J'ai quand même du refaire les fichiers de conf shorewall et openvpn car l'ancien serveur était vraiment trop vieux, en plus ça 'a permis de nettoyer 7 ans de diverses modifications devenues obsolètes ou inutiles.
Là j'attaque la mise en place du proxy mais avant je fait un petit clone au cas où
J'ai fait le choix de squid + squiguard en mode transparent
Questions:
1/ Dans les dépôts on a squid et squid3, quelle est la différences en fonctionnalités ? (j'ai pas trouver dans mes recherches)
2/ J'ai besoin d'un outils de gestion et/ou d'administration; que me conseillez-vous ? (squidclient, lightsquid, sarg, srg, squidview, etc ...)
Merci
Je viens vous donner de mes nouvelles.
Le projet fait son petit bonhomme de chemin ...
C'est un peu plus long car on a eu une panne de clim en salle serveur
Du coup j'ai passé 2 jours à essayer de gagner quelques degrés pour préserver mes bébés de la surchauffe ...
Bricolage pour extraire un max de chaleur par les faux-plafonds et utilisation de 2 clim mobile qui se mettaient en sécurité thermique au bout d'une heure !
Une semaine tout ce qu'il y a de plus calme quoi !
Sinon j'ai fini la migration de l'ancien firewall
- install Debian 7.3 nue
- conf réseau (interfaces + intégration domaine LDAP + qques paramétrages de confort)
- install des services : ssh + postfix + ldap-utils + shorewall + openvpn
- conf shorewall + openvpn
J'ai quand même du refaire les fichiers de conf shorewall et openvpn car l'ancien serveur était vraiment trop vieux, en plus ça 'a permis de nettoyer 7 ans de diverses modifications devenues obsolètes ou inutiles.
Là j'attaque la mise en place du proxy mais avant je fait un petit clone au cas où
J'ai fait le choix de squid + squiguard en mode transparent
Questions:
1/ Dans les dépôts on a squid et squid3, quelle est la différences en fonctionnalités ? (j'ai pas trouver dans mes recherches)
2/ J'ai besoin d'un outils de gestion et/ou d'administration; que me conseillez-vous ? (squidclient, lightsquid, sarg, srg, squidview, etc ...)
Merci
La connaissance s’accroît avec le partage.
Hors ligne
#8 23-01-2014 21:34:17
- nifseg
- Adhérent(e)
- Lieu : Dans une forêt
- Distrib. : Debian Wheezy + Jessie
- Noyau : 3.2.0-4-amd64 + 3.16.0-4-686-pae
- (G)UI : Gnome/Mate/Cinnamon
- Inscription : 15-12-2013
Re : Conseil pour un nouveau serveur Firewall/Proxy
Salut tugami88,
En ce qui concerne squid2.7 ou squid3, à ta place je choisirais la dernière version. Donc squid3.
Pour l'outil d'administration c'est très personnel. Je pense que tu devrais essayer ces divers outils dans une VM pour voir celui qui te convient le mieux.
Amitié
Nif
En ce qui concerne squid2.7 ou squid3, à ta place je choisirais la dernière version. Donc squid3.
Pour l'outil d'administration c'est très personnel. Je pense que tu devrais essayer ces divers outils dans une VM pour voir celui qui te convient le mieux.
Amitié
Nif
L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Hors ligne
#9 24-01-2014 10:01:38
Re : Conseil pour un nouveau serveur Firewall/Proxy
OK je m'amuserai à en tester plusieurs.
Sinon j'oubliai un service que j'ai mis et qui pour moi devrait être par défaut sur un serveur, c'est : cron-apt.
un serveur firewall/proxy existe pour sécuriser les accès internet, il faut donc qu'il soit lui-même à jour en terme de sécurité.
Sinon j'oubliai un service que j'ai mis et qui pour moi devrait être par défaut sur un serveur, c'est : cron-apt.
un serveur firewall/proxy existe pour sécuriser les accès internet, il faut donc qu'il soit lui-même à jour en terme de sécurité.
La connaissance s’accroît avec le partage.
Hors ligne
Pages : 1