logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-01-2014 11:32:46

tugami88
Membre
Lieu : St-Michel sur Meurthe / Vosges
Distrib. : Debain Wheezy
Noyau : 3.2.0-4-amd64
(G)UI : Aucun car serveur
Inscription : 07-01-2014
Site Web

Conseil pour un nouveau serveur Firewall/Proxy

Bonjour à tout le monde.

Tout d'abord je vous souhaite une bonne et heureuse année !

Je vais faire simple, voici ma question que me conseillez-vous d'installer comme produit pour monter un nouveau serveur Firewall/Proxy ?

Situation actuelle :
- Serveur Dell PowerEdge 1950 de Août 2007
- OS : Debian Etch 4.0 (n'a jamais été mis à jour hmm )
- Services installés (réellement utilisés) : Shorewall + OpenVPN
- Installation : Modem ADSL <-> Firewall <-> LAN

Voilà ce qu'on me demande :
- Changer le serveur (commande effectuée)
- Faire évoluer le Firewall et y ajouter un Proxy

Ma première idée est de mettre une Debain Wheezy 7.3 (j'ai déjà 3 serveurs sous cette version)
Installer OpenVPN et migrer les certificats
Installer Shorewall et migrer les conf
Installer un Proxy mais là je n'ai pas beaucoup d’expérience dans ce domaine.
Le but est de répondre aux obligations légales et filtrer l'accès aux sites malveillants et interdits (sites à caractères violents, porno, etc ...)
De plus ce serveur devra être intégré à notre LAN utilisant LDAP afin de loguer correctement tout ça.


Merci.

PS : S'il vous plait pas de polémique sur le but de cette installation, toutes les démarches légales ont été effectuées et actées avec un juriste et actées auprès des organismes officiels tel que la CNIL par exemple

Dernière modification par tugami88 (07-01-2014 11:33:07)


La connaissance s’accroît avec le partage.

Hors ligne

#2 07-01-2014 19:03:14

nifseg
Adhérent(e)
Lieu : Dans une forêt
Distrib. : Debian Bullseye + Bookworm + Unix BSD
Noyau : 5.10.0 amd64 i386 + 6.1.0 amd64 i386
(G)UI : Gnome/Mate/Cinnamon/KDE sous FreeBSD
Inscription : 15-12-2013

Re : Conseil pour un nouveau serveur Firewall/Proxy

Salut tugami,
En ce qui concerne le proxy tu pourrais choisir squid et lui adjoindre squidguard pour en faire un serveur filtrant.
Et pour le pare-feu, le couple netfilter/iptable ne te convient-il pas?

L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Utilisateur de plusieurs OS de type Unix comme GNU/Linux, Système BSD (FreeBSD, OpenBSD, NetBSD), Système Solaris (OpenIndiana et divers autres distrib du projet ILLUMOS) . I love Unix !!!

Hors ligne

#3 08-01-2014 09:22:15

tugami88
Membre
Lieu : St-Michel sur Meurthe / Vosges
Distrib. : Debain Wheezy
Noyau : 3.2.0-4-amd64
(G)UI : Aucun car serveur
Inscription : 07-01-2014
Site Web

Re : Conseil pour un nouveau serveur Firewall/Proxy

Bonjour,

Oui j'avais déjà vu le couple Squid/Squidgard qui est très utilisé, d'ailleurs si quelqu'un a déjà installé ces produits, je suis preneur de conseils et tutos big_smile

Sinon je pensais conserver Shorewall car son paramétrage est déjà fait dans le vieux firewall et je trouve son utilisation assez simple d'emploi
Cependant je suis preneur de tout avis, si la communauté me dit que le couple netfilter/iptable est plus efficace, ce n'est pas un problème je prendrai cette voie.

La connaissance s’accroît avec le partage.

Hors ligne

#4 10-01-2014 01:33:45

nifseg
Adhérent(e)
Lieu : Dans une forêt
Distrib. : Debian Bullseye + Bookworm + Unix BSD
Noyau : 5.10.0 amd64 i386 + 6.1.0 amd64 i386
(G)UI : Gnome/Mate/Cinnamon/KDE sous FreeBSD
Inscription : 15-12-2013

Re : Conseil pour un nouveau serveur Firewall/Proxy

Salut tugami,
Dsl de ne pas t'avoir répondu plutôt.
J'ai déjà installé squid et squidguard sur un serveur personnel et je dois dire que le duo remplissait bien sa tache. Par contre je n'ai jamais utilisé ce mandataire dans un cadre professionnel.
Mais c'est un projet bien mur donc tu devrais pouvoir le configurer à souhait.
Pour le pare-feu, si tu as déjà peaufiner les réglages avec shorewall, je pense que tu devrais resté sur celui-ci.
Régler un pare-feu avec minutie demande du temps. Ce serait bête de repartir de zéro!
Pour la doc sur squid/squidguard, le net foisonne de tutos à ce sujet.
Par exemple ici ou ici

Dernière modification par nifseg (10-01-2014 01:34:48)


L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Utilisateur de plusieurs OS de type Unix comme GNU/Linux, Système BSD (FreeBSD, OpenBSD, NetBSD), Système Solaris (OpenIndiana et divers autres distrib du projet ILLUMOS) . I love Unix !!!

Hors ligne

#5 10-01-2014 10:02:48

tugami88
Membre
Lieu : St-Michel sur Meurthe / Vosges
Distrib. : Debain Wheezy
Noyau : 3.2.0-4-amd64
(G)UI : Aucun car serveur
Inscription : 07-01-2014
Site Web

Re : Conseil pour un nouveau serveur Firewall/Proxy

Merci pour la réponse.

Voici mes orientations :
- Firewall : shorewall (il fonctionne bien et ça me moins fait de boulot)
- Proxy : Squid + squidguard
- Sécurité : HAVP (voir http://www.server-side.de/) + ClamAV

Voilà, voilà, maintenant au boulot tongue

J’essaierai e faire un tuto pour ceux que ça intéresse.

Dernière modification par tugami88 (10-01-2014 10:12:51)


La connaissance s’accroît avec le partage.

Hors ligne

#6 10-01-2014 19:17:52

nifseg
Adhérent(e)
Lieu : Dans une forêt
Distrib. : Debian Bullseye + Bookworm + Unix BSD
Noyau : 5.10.0 amd64 i386 + 6.1.0 amd64 i386
(G)UI : Gnome/Mate/Cinnamon/KDE sous FreeBSD
Inscription : 15-12-2013

Re : Conseil pour un nouveau serveur Firewall/Proxy

Riche idée pour le tuto!
Bon courage!!

L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Utilisateur de plusieurs OS de type Unix comme GNU/Linux, Système BSD (FreeBSD, OpenBSD, NetBSD), Système Solaris (OpenIndiana et divers autres distrib du projet ILLUMOS) . I love Unix !!!

Hors ligne

#7 23-01-2014 09:58:38

tugami88
Membre
Lieu : St-Michel sur Meurthe / Vosges
Distrib. : Debain Wheezy
Noyau : 3.2.0-4-amd64
(G)UI : Aucun car serveur
Inscription : 07-01-2014
Site Web

Re : Conseil pour un nouveau serveur Firewall/Proxy

Bonjour à tout le monde !

Je viens vous donner de mes nouvelles.
Le projet fait son petit bonhomme de chemin ...
C'est un peu plus long car on a eu une panne de clim en salle serveur hmm
Du coup j'ai passé 2 jours à essayer de gagner quelques degrés pour préserver mes bébés de la surchauffe ...
Bricolage pour extraire un max de chaleur par les faux-plafonds et utilisation de 2 clim mobile qui se mettaient en sécurité thermique au bout d'une heure !

Une semaine tout ce qu'il y a de plus calme quoi !

Sinon j'ai fini la migration de l'ancien firewall
- install Debian 7.3 nue
- conf réseau (interfaces + intégration domaine LDAP + qques paramétrages de confort)
- install des services : ssh + postfix + ldap-utils + shorewall + openvpn
- conf shorewall + openvpn
J'ai quand même du refaire les fichiers de conf shorewall et openvpn car l'ancien serveur était vraiment trop vieux, en plus ça 'a permis de nettoyer 7 ans de diverses modifications devenues obsolètes ou inutiles.

Là j'attaque la mise en place du proxy mais avant je fait un petit clone au cas où tongue
J'ai fait le choix de squid + squiguard en mode transparent

Questions:
  1/ Dans les dépôts on a squid et squid3, quelle est la différences en fonctionnalités ? (j'ai pas trouver dans mes recherches)
  2/ J'ai besoin d'un outils de gestion et/ou d'administration; que me conseillez-vous ? (squidclient, lightsquid, sarg, srg, squidview, etc ...)

Merci

La connaissance s’accroît avec le partage.

Hors ligne

#8 23-01-2014 20:34:17

nifseg
Adhérent(e)
Lieu : Dans une forêt
Distrib. : Debian Bullseye + Bookworm + Unix BSD
Noyau : 5.10.0 amd64 i386 + 6.1.0 amd64 i386
(G)UI : Gnome/Mate/Cinnamon/KDE sous FreeBSD
Inscription : 15-12-2013

Re : Conseil pour un nouveau serveur Firewall/Proxy

Salut tugami88,
En ce qui concerne squid2.7 ou squid3, à ta place je choisirais la dernière version. Donc squid3.

Pour l'outil d'administration c'est très personnel. Je pense que tu devrais essayer ces divers outils dans une VM pour voir celui qui te convient le mieux.

Amitié
Nif

L'important n'est pas la chute mais l'atterrissage...
Chapardeur de chocolat DF!!!
Admin un jour, admin toujours...
Utilisateur de plusieurs OS de type Unix comme GNU/Linux, Système BSD (FreeBSD, OpenBSD, NetBSD), Système Solaris (OpenIndiana et divers autres distrib du projet ILLUMOS) . I love Unix !!!

Hors ligne

#9 24-01-2014 09:01:38

tugami88
Membre
Lieu : St-Michel sur Meurthe / Vosges
Distrib. : Debain Wheezy
Noyau : 3.2.0-4-amd64
(G)UI : Aucun car serveur
Inscription : 07-01-2014
Site Web

Re : Conseil pour un nouveau serveur Firewall/Proxy

OK je m'amuserai à en tester plusieurs.

Sinon j'oubliai un service que j'ai mis et qui pour moi devrait être par défaut sur un serveur, c'est : cron-apt.

un serveur firewall/proxy existe pour sécuriser les accès internet, il faut donc qu'il soit lui-même à jour en terme de sécurité.

La connaissance s’accroît avec le partage.

Hors ligne

Pied de page des forums