PhenIXUS

[antolien]

Salut Jibe,

Au niveau des licenses, le frontend (GUI) Artica que tu installes sur ta distribution préférée est Open Source.
Il y a un support commercial possible.
Ensuite il y a la console de management globale Artica Meta (mise en avant sur le site) qui elle n'est pas Open Source, c'est un produit commercial qui permet d'avoir une console centralisée pour gérer tous tes serveurs Linux, et ajoute des fonctions de Cluster etc.

http://www.support-artica.com/ présente en français le produit.

Avant d'effectuer une doc sur le wiki, je pense qu'il faut jeter un œil a ce site, il y a d'ailleurs pas mal de docs plus ou moins a jour, mais assez complètes.

a+
Antolien

[jibe]

Salut Antolien,

Je n'ai pas eu le temps de bien regarder, et je n'avais pas vu qu'il y a une partie en français. Effectivement, ce n'est pas la peine de refaire ce qui existe déjà. Par contre, tu pourrais peut-être faire un petit article de présentation, histoire de le faire connaître et de donner les liens vers les pages les plus intéressantes du site pour se faire rapidement une idée.

Si tu veux le faire, tu peux créer ton compte sur le wiki. Dès que ce sera fait, contacte un admin (Bruno, Muzo, Arapaho ou moi ou encore le mail aux admins donné sur la page contacts du portail) pour qu'on te donne les droits de rédacteur.

[zitoir]

J'ai donc essayé Zentyal, ça ne correspond pas franchement a ce que je souhaite faire. Surtout pour la partie couplage à l'AD. En effet, sous Zentyal c'est plus une synchro de l'annuaire qui est proposé. Moi je souhaite juste "lire" l'AD distant. je ne voyait pas trop comment faire sans bricoler les fichiers de conf et ce n'est surtout pas le but.
J'ai regardé du coté d'Arica, ça me plait bien ! En plus l'interface fait assez "pro". J'ai une installe toute fraiche sur une debian 6.
J'espère tester ça à fond la semaine prochaine et je vous fait un petit retour ici.

Je pense que ce projet mérite à être présenté sur le site, car même après pas mal de recherche de ce type de produit sur le net, je ne suis pas tombé dessus.

Merci pour ton conseil Antolien.

Zitoir

[kornfr]

j'ai installé sur un VM "Artica" avec uniquement ProxyWeb.... ca rame un peu au niveau de l'interface web.

je vais essaye demain au boulot je retrouver un HP wx4600 pour l'installer en vrai car sur la VM, est ce que ca vient de ma VM ou bien est ce que le truc est une veritable usine a gaz....


--
Avec mon ipcop je branche comment le tout ?
La patte vert je la relie à une carte réseau du proxy et l'autre carte réseau je la branche au switch ?

Au niveau des client, le DNS reste l'ipcop, mais la passerelle, je mets le proxy ou l'ipcop ?

[antolien]

désolé jibe mais je n'ai pas trop le temps en ce moment pour faire de la documentation. je suis de près l'évolution du site mais ne suis pas encore prêt a m'investir pour ixus, ce n'est qu'une question de temps. et puis Artica est juste un conseil suite a de nombreuses recherches c'est juste ce que j'ai trouvé comme le plus adapté au besoin qui est exprimé ici. Si certains experts d'ici peuvent tester et donner leur avis, tout est perfectible.
lorsque j'aurais un peu de temps je pourrais faire une synthèse avec les "+" et les "-" sur ce projet, mais j'avoue que c'est prometteur.

Pour Korn, non ce n'est pas une usine a gaz, mais c'est quelque chose que l'on ne classe pas comme ipcop ou sme server, ce n'est pas aussi léger et optimisé, je pense que par contre il y a la souplesse de pouvoir configurer des services comme squid couplé a d'autres filtres de manière très complètes sans avoir a mettre les mains dans le "cambouis", idem pour postfix et les autres services que l'on peut gérer avec cette distribution. C'est d'ailleurs difficile ici de parler de distribution puisque cela est un avantage de pouvoir configurer son os tel que l'on veut (partitionnement, ajout d'agents de supervision et autres choses des fois propriétaires customiser son os en fonction d'un besoin particulier) et offrir l'interface de configuration simple, efficace, a un administrateur qui n'a pas la syntaxe des fichiers de configuration d'un service qui change en fonction des versions et que l'on ne pratique surtout pas tous les jours.
et les petites astuces que l'on peut trouver qu'a 2h du matin dans un firefox qui souffre de ces 200 onglets que l'on ose pas fermer au cas où on aurait raté quelque chose d’intéressant...
bon je dévie, mais c'est vrai qu'entre l'ipcop, sme , qui permettrons de sécuriser son réseau sans trop se poser de questions, le zentyal ou le clearos qui te limitent dans la motivation d'aller plus loin; c'est une alternative intéressante.

mais au final je ne répond pas a ta question

--
Avec mon ipcop je branche comment le tout ?
La patte vert je la relie à une carte réseau du proxy et l'autre carte réseau je la branche au switch ?
Au niveau des client, le DNS reste l'ipcop, mais la passerelle, je mets le proxy ou l'ipcop ?

j'aurais tendance a mettre ça dans une dmz, s'il y a une zone orange encore je ne sais pas
au niveau des clients, le dns peut rester l'ipcop, ce n'est pas un soucis, la passerelle aussi mais ça dépends si tu veux faire un proxy transparent ou pas

[antolien]

je n'ai pas fais avancer ton sujet, tu pourras sans soucis filtrer les sites web avec artica, que ce soit en mode transparent, avec authentification ldap ou ad, te créer des groupes, des groupes d'adresses ip si tu n'as pas d'authentif, etc..
au niveau performances, tu devrais t'y retrouver car contrairement a urlfilter ils sont passés a ufdbguard qui est codé en C et nettement plus performant.

[kornfr]

Bonjour,

Merci pour la réponse.
j'ai installé Artica sur un HP xw4600. je suis en pleine exploration du produit

[Franck78]

Hello,

Avec mon ipcop je branche comment le tout ?
La patte vert je la relie à une carte réseau du proxy et l'autre carte réseau je la branche au switch ?

Mettons en route le décodeur : le Artica proxy posséde deux cartes réseau et kornfr propose de la brancher 'en série',
d'ou la question qui suit

Au niveau des client, le DNS reste l'ipcop, mais la passerelle, je mets le proxy ou l'ipcop ?

Alors le montage est compliqué ou mauvais. Compliqué car il faut refaire de l'adressage réseau (artica en routeur). Mauvais car pour assurer la fonction proxy, le Artica n'a besoin de recevoir 'que' le trafic à proxifier et pas tous le LAN !

Donc kornfr, tu installes ton artica proxy avec une seule carte réseau et il ne devient qu'un serveur sur (green pour commencer, orange plus tard).
Franck

[ccnet]

Pour répondre à la question initiale.
J'ai aussi cherché ce genre de distribution et exploré divers possibilités.

J'ai commencé par envisager Ipcop (il y a longtemps) dans le rôle de l'appliance de filtrage http. Je ne suis même pas allé jusqu'à un test.
Même réflexion avec Pfsesne 1.x et même résultat.
J'ai effectivement testé ClarkConnect (c'était avant Clear OS) dans ce rôle. Pas convaincant, pas assez souple.
Puis Zential. A priori prometteur mais insuffisant d'une point de vue fonctionnel.
Le montage "a la mano" : Debian plus out ce qui va bien. On peut tout faire et cela fonctionne. j'ai mis en production, chez quelques clients. Administration moyenne à réaliser mais lorsque tout est en place on y touche pas si souvent.
Néanmoins, toujours pas pleinement satisfait, j'ai testé Artci il y environ 18 mois. Trop de mises à jour, trop de petits problèmes à l'époque. Pas assez de stabilité. Puis j'ai récidivé avec Pfsense mais avec la V2, ce qui change pas mal de choses. Pas mal du tout mais je ne suis pas au bout de mon évaluation.
Compte tenu de vos commentaires je vais à nouveau tester Artica, en espérant qu'il y ai moins de mise à jour à suivre, plus de stabilité.

[antolien]

En effet je suis d'accord sur le rythme de mises à jour, le produit est cependant stabilisé mais si on utilise les "nightly" upgrade, on peut avoir de drôles de surprises car il peut y avoir des changements importants.
C'est un point a améliorer, surtout c'est le manque de visibilité sur les mises à jour (changelog public pas forcément à jour)
Moi je teste les nightly régulièrement sur la pré prod pour voir ce qu'il en est car des fois il y a des nouvelles fonctionnalités intéressantes) mais tout le monde ne peut pas faire ça. donc rester sur la branche normale , et regarder coté patchs lorsque l'on a un bug.
En effet comme il y a plusieurs distributions supportées, avec elles même un rythme de mises à jour soutenu on peut avoir parfois un petit souci post mises à jour du système. Les devs sont réactifs lorsque j'ai eu un soucis sur la prod dans la journée j'avais un patch.