Pfsense+routage classique

Message par **Tadeus** » jeu. 17 janv. 2008 09:47

Bonjour,

Actuellement, je dispose d' un reseau interne à chez moi en 192.0.0.xrelié au reseau de ma résidence en 10.x.x.x à l' aide d' une passerelle.
Configuration de la passerelle:
K62-450
192 Mo de ram
4 Go de hdd
2 interface reseau en 100 Mbits/sec
le routage est fait à l' aide d'un script iptable tres basique (mais efficace...)

Les inconvénients:
Machine qui rame lourdement des qu' il y a utilisation de la bandepassante (notamment en ftp...) et ce, sans aucune application demonitoring...

Je vais disposer d' une ligne internet chez Free en 22Mbits/1Mbits que je souhaite pouvoir inclure dans mon reseau et partager.

J' ai donc penser à changer la machine qui compose la passerelle pour éviter que celle ci ne rame
Bi P3 800 Mhz
Carte mere Ibm
4 Go hdd scsi
512 Mo de ram

Net Passerelle reseau interne (192.0.0.x)
|---------> reseau residence (10.x.x.x)
|---------> portail captif

Les contraintes:

_Securité renforcé sur le net
_Partage du net à tous le reseau 192.0.0.x (et redirection de ports comme http vers certaine machines)
_Partage du net à certaine machine du reseau residence (sans redirection de ports)
_Monitoring poussée du lien internet (traffic, reseau associé (interne ou residence), p2p...)
_Routage entre le reseau interne et le reseau residence (avec redirection de port comme ftp vers une machine du reseau interne)
_Mise en place de Qos afin de limiter l' impact du traffic ftp entre le reseau residence et le net (le gros traffic ftp est entre le reseau residence et le reseau interne)
_Eventuellement, mise en place d' un portail captif pour l' acces au reseau residence, voir au net ou encore au reseau interne
_Eventuellement mise en place d'un proxy

Donc la question est de savoir si je pars sur une passerelle faite totalement à la main (pas facile pour le monitoring et la détection d' attaque...) ou de partir sur la base de pfsense et de le tuné un peu si c' est faisable (belle interface, monitoring sympa et portail captif...

)

Je dispose de 2 semaines pour mettre cette passerelle en route (le temps que free me raccorde...).

Merci d'avance pour vos avis

Message par **Dream49** » jeu. 17 janv. 2008 11:31

tu as une connection au net via le reseau de la residance?

Message par **Tadeus** » jeu. 17 janv. 2008 11:52

pour le moment oui, mais ce qui va changer, c' est que je vais avoir ma propre connection au net que je mettrais à disposition de certaine machine de la residence

Message par **Ryu_wm** » jeu. 17 janv. 2008 12:43

pfsense + quelques packages à ajouter et tu sera heureux je pense

tu dis

(belle interface, monitoring sympa et portail captif... )

je ne suis toujours pas allé voir ce qu'est le "portail captif" ... tu expliques stp ?

Message par **augur1** » jeu. 17 janv. 2008 16:51

pourquoi pas ipcop ?

Message par **Tadeus** » ven. 18 janv. 2008 16:02

hum, euh il n' y a qu' avec moi que pfsense est assez "instable" ?

Au bout de deux ou trois reboot, il me fait des erreurs critiques à tout va, plus rien ne répond... :s

(je précise que je n' ai meme pas encore réussi a faire marcher pfsense en routage simple entre mon reseau interne et le reseau residence... :s)

Bref, je sens que ça va se finir avec une debian et un iptable... (mais bon, j' aimais bien l' interface de pfsense et le portail captif (pour permettre a des clients wifi d' acceder a tel ou tel parti de reseau par exemple...)

Si qqn est motivé pour m' aider a faire une configuration détaillé, je suis preneur...

(pour mes essais, je voulais juste mettre la passerelle de test entre mon ordi perso et mon autre passerelle (qui joue en faite le role de la future freebox)

Message par **Ryu_wm** » ven. 18 janv. 2008 22:25

heu ... j'ai deja installé et utilisé quelques pfsense depuis les versions beta jusqu'a aujourd'hui et j'ai eu la chance que tout se passe pour le mieux

aussi vien sur machine physique que sur virtualisée ..

Message par **poulpito** » ven. 18 janv. 2008 23:06

moi pfsense a sauté l'autre jour ...
donc retour à ipcop
je pense que le portail captif doit exister sous ipcop moyennant quelques addons

sinon tout le reste ca peut le faire par défault normallement
pour ma part c'est ipcop+clamav+spamassassin+filtrage url+openvpn zerina (plus simple à gérer)

Message par **Tadeus** » dim. 20 janv. 2008 10:18

bon, je pense que c' est ma version de pfsense qui devait etre merdique... apres mise a jour, ça va deja bien mieux...

Cependant, quand je veux faire un transfert via ftp, le débit ne dépasse pas 3.8 Mo/sec (d' un reseau interne à un autre) et le load de la passerelle monte en fleche... qqn aurait il une idée d' ou ça peut venir ?
(je précise que je n' ai pas besoin de filtrer le port ftp du reseau residence vers le reseau privé)

Et qqn peut me dire à quoi sert le mode bridge ?

Message par **Ryu_wm** » dim. 20 janv. 2008 13:14

pour la limitation de débit je n'en vois pas la raison, maintenant si tu dis que la charge de la passerelle monte en fleche je supposerai bien un probleme de carte reseau ( pilote à priori )

quand au briding : http://en.wikipedia.org/wiki/Network_bridge

Message par **Tadeus** » dim. 20 janv. 2008 22:52

ça avance petit à petit...

J' ai essayé en me servant des deux autres cartes reseau, bilan: 2.8 Mo/sec... :s

Par contre, je ne peux acceder à aucun ftp de mon reseau privé ou du net, qqn saurait quele regle il faut mettre en place pour résoudre le probleme ? (je passe à travers pfsense qui passe à travers une autre passerelle je précise...)

Message par **Ryu_wm** » lun. 21 janv. 2008 01:22

un p"tit schéma stp

Message par **Tadeus** » dim. 27 janv. 2008 10:18

Bon... apres pas mal de test... je suis pas très satisfait... du coup, je vais peut etre m' orienter vers un autre schéma:

Au lieu d'utiliser une passerelle + un serveur, je compte tt regrouper sur le serveur, pour cela il me manque juste une interface reseau, mais il me reste de ports pci-X...

Donc en gros, je regrouperais tous mes services sur une machine a savoir ftp+http+samba+routage+proxy web sur une seule et unique machine.

pour le schéma, je le fais de suite.

vous en pensez quoi ? trop de contraintes de sécurité ? (le serveur sera alors directement exposé au net...)

Message par **Tadeus** » dim. 27 janv. 2008 10:27

Message par **Tadeus** » dim. 27 janv. 2008 10:30

les contraintes restent similaires à avant:

Une personne du reseau résidence peut acceder au ftp sans restriction, mais seulement certaines sont autoriser a acceder au net en passant derriere un proxy.

Une personne du reseau privé peut accéder au ftp et au samba ainsi qu' au net sans restriction.

Du net je dois pouvoir conserver l' http, l' https et le ssh.

en terme de sécurité, ça passera ? (si je fais assez gaffe au service qui tournent ?)

(cette méthode me fait économiser 100€ par an d' électricité... et la cdg est fortement interessé...

)

Message par **Ryu_wm** » dim. 27 janv. 2008 12:59

suis en déplacement pro pour l'instant, je passe juste dire que j'ai lu ... réactions plus tard

Message par **Tadeus** » lun. 4 févr. 2008 14:18