Bonjour à tous,

oila cela faisait un petit moment que j'avais pas eu de modification réseau a faire et la pour la rentrée on a décidé de sécuriser un peu plus notre réseau.
Sauf que je sais pas trop comment m'y prendre.
Voici le schema auquel le réseau devrai ressembler:
[code]
               
        Accés Internet 1                   Accés Internet 2
                 ||                                    ||
     routeur France Telecom               routeur France Telecom
                     \                                   /
            Serveur FreebSD qui joue le role de routeur+NAT
                              ||
                    Switch (adressage en 10.0.x.x)
                              /   |  \
                   distribution sur autre switch    (adressage en 10.0.x.x)



[/code]

Donc au niveau du serveur FreeBSD, il faudrait qu'il gére le NAT pour tous les serveurs accessibles sur internet (environ 10 machines)

MAis je ne vois pas trop comment faire tout cela surout à deux niveaux:
1°) les deux interfaces relié au routeur FT je leur donne une ip sur notre plage d'ip publique ou une ip sur la plage privé en 10.0.x.x
2°) En fonction de la question 1) je déclare comment le NAT sur le serveur?

Merci d'avance de vos toujours trés bons conseils ;)

1) -> IP publiques, sinon ce sont les routeurs FT qui devront faire le NAT
2) ça dépend: quels outils souhaites-tu utiliser ? pf, ipf(w?)+natd, ?...

Disons que comme je suis un peu novice a ce niveau vu que justement actuellement c'est FT qui fait le NAT sur leur routeur.
Ben peux importe les outils je veux juste une solution fiable et robuste.

DOnc je viens ici prendre conseil de la meilleurs des solutions :)

Je suis pas un spécialiste de la question, mais vu qu'il n'y a pas d'autres réponses pour l'instant:
j'opterais pour PF, simplement parce qu'il gère le NAT en interne. IPFW et IPF, eux, ont besoin de faire faire aux paquets un tour à l'extérieur vers natd pour faire la même chose. Il y a peut-être des fonctionnalités de nattage inaccessibles à PF (?), mais s'il s'agit simplement de faire de la redirection de ports/d'adresses, les régles 'rdr' de PF suffiront amplement.
Pour la mise en oeuvre, la section 'Redirection de trafic' de la FAQ-Fr de PF te dira tout ce qu'il y a à savoir.

Oki merci beaucoup de ces informations,
effectivement pf fait d'aprés la doc pil poil ce qui me faut au niveau translation IP.

Apres au niveau des fonctions de routage pure pour eguiller le traffic entre les deux liens tu as une idée du comment faire ?

Salut,

Je t'avoues que sur le sujet, hormis le NAT et un petit peu de FW je n'ai pas vraiment d'experience.
Neanmoisn je t'invites à feulleter ces quelques liens qui peut être t'aideront.

Qui qu'il en soit, il est important que tu clarifies tes regles de routage, cad :
- Comment est fait le routage vers l'internet (quels critere, par machine, dynamique?)
- Ta deuxième connexion est elle un backup ou une tu veux doubler la capacité de ton réseau?

http://www.michaelbrumm.com/how-to-aggregate-bandwidth.html
http://www.bsdforums.org/forums/archive/index.php/t-508.html
http://mirabellug.org/wikini/upload/Documentations_routage.pdf

Je voudrais faire du load balancing entre les deux liens

A savoir essayer de repartir à 50% la charge entre les deux liens.

On en a déjà discuté longuement, dans cet autre fil.
Je vais parler en mon nom, d'autres ont peut-être un autre point de vue:

tu dois simplement te retrousser les manches, car d'une part si tu es en charge de cette architecture dans ton entreprise, c'est que tu es payé pour faire le travail (nous, non) et que tu dois en être capable. Même si on te donnait des recettes toutes prêtes (les fichiers de config qui vont bien d'après les infos que tu pourrais nous fournir), il te faudrait quand même assumer un minimum le 'SAV' de la solution: je t'imagine mal devant ton boss fou-furieux de ne plus avoir ses serveurs en ligne depuis plusieurs heures, en train de lui dire que tu as demandé de l'aide sur des forums de hobbyistes et que tu auras peut-être une réponse dans quelques heures/jours/semaines... Ce serait pas la meilleure des publicités pour FreeBSD.
D'autre part, tu n'apprendras rien en adoptant une solution 'plug-n-play': ce n'est qu'en lisant la documentation des outils et en mettant en oeuvre tout ça que tu apprendras les erreurs à ne pas faire, les configurations-type, etc.

Voilà. Pour conclure: lance-toi, et si tu rencontres une difficulté dans la mise en place, tu pourras quand même venir poser tes questions. Sans prendre le départ, tu ne pourras pas atteindre le but.

Bonjour,

Merci de ta réponse et effectivement je suis d'accord qu'il faut se lancer mais je pose pleins de questions pour éviter de faire les plus grosses erreurs :)

Pour l'autre discution, c'est en service et cela fonctionne tres tres bien merci pour les conseils.
Apres je ne pensais pas que l'on pouvait appliquer la même methode de load balancing que celle que j'ai monté pour les serveurs.

Je vais donc faire comme je le sens et puis je reviendrais si j'ai un problème :)

D'accord: j'avais pas compris qu'il s'agissait de deux problèmes différents.
Par contre, si tu veux équilibrer des flux sortants, je ne sais pas si tu peux te contenter de PF: peut-être serait-il bien d'aller vers une solution plus complexe, c-a-d avec du routage. Mais là, je suis largué.

Je n'ai pas pris la pein de reposter , car l'un des docs que j'avais msi en lien (http://www.michaelbrumm.com/how-to-aggregate-bandwidth.html) explique comment avec une freebsd 4.x et seulement avec les outils freebsd, faire quelque chose proche du load balancing, c'est à dire permettre de distribuer des utilisateurs sur 2 liens ADSL tout en assurant un rempli sur l'une des deux lignes en cas de defaut sur l'une des connexions.
Je pense que la solution merite un petit coup d'oeil.

fgudin wrote on 24. Jul 2006 at 13:36:

Par contre, si tu veux équilibrer des flux sortants, je ne sais pas si tu peux te contenter de PF: peut-être serait-il bien d'aller vers une solution plus complexe, c-a-d avec du routage. Mais là, je suis largué.

Equilibrer des flux sortants avec du routage nécessite l'utilisation d'un protocole de routage type BGP et donc la complicité des opérateurs, ce qui est rarement possible.

Il est par contre possible d'utiliser ce qui est qualifié au moins par ipfw et pf de "policy routing". Le principe est que le pare-feu effectue, à partir de règles spécifiques, un round-robing sur plusieurs liens.

Le lien mentionné par ros explique un montage qui utilise ipfw.
Pour un montage identique utilisant pf, on peut se reporter à la FAQ d'OpenBSD :
http://www.openbsd.org/faq/pf/fr/pools.html

Oki merci pour tous ces liens je pense que je vais pouvoir me depatouiller de la situation.

Effectivement l'aggregation de lien ets pas mal mais j'ai juste survoler le truc je vais le regarder en détails pour voir si ca me suffirait pas dans un premier temps :)

Je reviens vers vous si je rencontre une dificulté :)


@ Francis: le post auquel tu faisais référence c'etait pour du load balancing au niveau applicatif, la c'est du load balancing au niveau ip donc ca change un peu :)

La sur ma maquette j'ai deja le routage statique sur les deux liens qui fonctionen me manque juste a rendre le tout dynamique en fonction de la saturation des liens :)