Salut tout le monde.
 
Je vais vous embêter un peu et vous soumettre mon problème : je dois monter une paire de firewall; pour des raisons de budget (Cisco et Checkpoint, c'est trop cher ) le directeur de projet veut faire de l'opensource.
 
Les firewalls seront montés sur des systèmes RAID SCSI, ce sont des serveurs ayant 8 interfaces gigabit chacun. Première contrainte : je dois faire de l'OSPF car sur une des DMZ j'ai des routeurs qui font de l'OSPF avec des tunnels vers des sites distants, et sur une autre interface, j'ai un backbone de 4506 qui fait de l'OSPF aussi. J'ai cru comprendre malheureusment que sur certains Unix like, le comportement d'OSPF est un peu étrange...
 
Pour des raisons de haute disponibilité du service, VRRP ou CARP sont à implémenter.
 
Je cherche avant tout une solution fonctionnelle et pas trop complexe à administrer, en effet avec 8 interfaces, les règles de filtrage seront assez complexes et j'ai toujours été allergique à la syntaxe iptable. par contre la bonne nouvelle est que ces firewall n'auront pas à faire de NAT/PAT car ce ne sont pas eux qui sont en frontal sur internet.
 
La robustesse doit primer avant la simplicité d'administration, en effet ces firewall devront tourner pendant 5 ans sans interruption de service.
 
J'ai été voir du côté d'OpenBSD/FreeBSD et de diverses distributions Linux dédiées aux firewall; mais je m'y perds un peu... Le seul aspect vraiment vital pour le système choisi est le support d'OSPF et l'interconnexion avec du Cisco.
 
Par contre, au niveau du comprotement d'OSPF, comment fonctionne la redistribution des routes statiques et des réseaux directement connectés sur les systèmes Linux/BSD ?
 
je suis ouvert à tout conseil et suggestion

tu ne trouveras pas ta reponse ici, et tu ne la trouveras sans doute nul part
la bonne reponse est: n'importe quel distro le fait, mais il va falloir y mettre les mains dans le camboui, parce qu'aucune a ma connaissance ne peut faire ce que tu souhaites out of the box....
Soit tu arrives a les convaincre de prendre un truc pro (deja la haute dispo c'est un critere pas facile)
Apres, ce que tu auras fait sera tellement aux petits oignons, que ca va etre cher autant du point de vue mise en place que maintenance. Et vu tes connaissances en terme de solution libres et/ou unix-like, tu vas bien te casser les dents si c'est toi qui doit le faire (attention, c'est pas a prendre mal, c'est que qui peut sortir de tes post en general)
sinon, perso j'essaierai openbsd pour ca, d'autant plus qu'avec http://www.openbsd.org/faq/pf/fr/carp.html ca devrait correspondre.

Merci pour ta réponse rapide.
 
j'avais pensé à OpenBSD en priorité aussi, mon seul souci était le support d'OSPF et notamment le comportement du système avec la redistribution des routes statiques/connectées. En cisco je sais comment ça marche, mais en BSD, je connais pas les subtilités de la redistribution dans OSPF.
 
Sinon quant à mes compétences, ça doit faire plus d'un an que 'jai pas touché un unix like, faudra bien que je m'y remette.
 
Malheureusement, les deux seuls produits autorisés par la Corp sont Cisco Pix et Checkpoint. Le pix est déjà utilisé en frontal sur internet donc il faut une autre techno derrière. Et le Checkpoint sur Crossbeam, niveau tarif on raisonne en dizaines de k€, le problème c'est que le budget du projet a déjà été explosé donc on fera opensource quoiqu'il arrive je pense

Pour checkpoint, t'es pas obligé mettre sur du crossbeam, ni meme sur nokia, un chkp sur i386 ca va bien aussi, avec secureplatform ... (parce que windows, ca suxx qd eme )
sinon, t'as plus qu'a t'amuser avec openbsd, et surtout a ecumer le NET pour trouver des docs. Pour ce qui est de la redistribution des routes, tu n'as qu'une facon de savoir, si tu vois ce que je veux dire ...
Et encore, tu vas pas mal galérer a faire tourner ospf avec carp (pour ospf, je te conseille quagga, dont la syntaxe de config est proche de cisco, a tel point que je pense que c'est ce qui utilisé pour le routage dans secureplatform pro)
Mais si tu connais exactement les reseau qui sont dans ta DMZ, je pense que le plus simple restera de faire du routage statique pour les-dits réseaux vers la DMZ. T'auras deja assez a faire sans t'amuser avec ospf

le problème est qu'OSPF est obligatoire car le réseau est sur 2 sites (reliés entre eux par un lien 200Mb), si le premier site est vivant les tunnels sont montés vers celui là (dans une DMZ VPN et les routes sont annoncées), si le datacenter principal tombe, les sites distants remontent leur tunnel dans une DMZ VPN sur un site de backup, et il faut pouvoir annoncer le fait que les routes vers les sites distants renvoie sur le site de backup et plus sur le site principal, donc routage dynamique obligatoire. voilà pour les détails
 
Bon ben vive la doc sur le net de toutes façons si je galère trop, je serai probablement aidé par des ingénieurs systèmes, enfin j'espère

bah non, pas si tu mets un petit routeur d'entrée de gamme en aval du FW, qui lui s'occuppe de tout ce qui est dynamique: ton fw n'a que des routes statiques vers un nuage ospf, et se fou de ce qui se passe dans ce nuage. C'est d'autant mieux que dans ce cas, tu n'as qu'une interface sur le FW pour faire ta DMZ, et donc, les regles seront plus simples a pondre.
Ton firewall firewalise, et ton routeur route. Chacun fait son boulot, et si toi tu fait bien le tiens, il le feront bien aussi, et ca sera plus simple à configurer/debugguer.