[RESOLU] Firewall / VOIP (SIP)

Forum dédié aux questions de réseaux et de sécurité que pose la VoIP. Pour les questions générales concernant la VoIP, voir les forums spécialisés comme http://www.asterisk-france.org/.

Re: Firewall / VOIP (SIP)

Message par Cool34000 » 07 Nov 2011 14:09

Salut,

D'après mon expérience, cascader trop de switches entre eux ne pose pas de gros problèmes de preformances mais plutot des parties du réseau qui n'arrivent pas à se joindre entre elles...
In a world without walls and fences, who needs windows and gates?
Cool34000
 
Message(s) : 199
Inscription : 12 Sep 2011 19:02
Localisation : Nimes, France

Re: Firewall / VOIP (SIP)

Message par mfncbm » 07 Nov 2011 21:20

Hello

Content de voir que vous continuez en roue libre ;)
Bon j'ai pas eu de retour du presta. tél., donc pas de nouvelles, bonnes nouvelles !
MAIS (parce qu'il faut bien un mais) j'ai eu un nouveau soucis : le client s'est plaint que les envois en SMTP passaient mal (envoi vers les serveurs SMTP à environ 3 Ko/s !!)
Malgré le fait que tout le trafic soit autorisé en sortie, je retrouve dans les logs du Firewall des DROP de paquets SMTP (beaucoup) et de temps à autres des HTTP, HTTPS... etc. Alors qu'ils arrivent à naviguer !
Je comprends plus...
J'ai donc créé une règle autorisant explicitement le LAN à communiquer en SMTP avec les serveurs SMTP du client ET j'ai effectuer un lissage de trafic sur ma patte WAN pour prioriser les protocoles de messageries (pop/imap/smtp...) et depuis ça roxe...
Comprend plus moi.
Je pense passer à une vraie distribution orientée Firewall comme Endian Firewall que j'avais déjà pratiqué : qu'en pensez-vous ?
Zentyal est-il si fiable que ça en Firewall ?
:?
mfncbm
 

Re: Firewall / VOIP (SIP)

Message par Cool34000 » 07 Nov 2011 22:00

Salut,

lembal a écrit :(envoi vers les serveurs SMTP à environ 3 Ko/s !!)

Bah ca reste plus rapide que de l'envoyer par la poste... :lol:
Plus sérieusement, je crois me souvenir que tu avais activé le traffic shapping (pour la VoIP), ceci pourrait expliquer le besoin de faire cela :
lembal a écrit :j'ai effectuer un lissage de trafic sur ma patte WAN pour prioriser les protocoles de messageries (pop/imap/smtp...)


lembal a écrit :Je pense passer à une vraie distribution orientée Firewall comme Endian Firewall que j'avais déjà pratiqué : qu'en pensez-vous ?
Zentyal est-il si fiable que ça en Firewall ?
J'en pense que si tu avais choisi Zentyal pour faire "simple" routeur/firewall alors tu as mal choisi ta distrib à la base !
IPCOP,PfSense ou encore EFW que tu cites sont des solutions dédiées plus adaptée dans un tel cas (ou un bon vieux routeur physique, rien de tel qu'un bon CISCO 800 !)
In a world without walls and fences, who needs windows and gates?
Cool34000
 
Message(s) : 199
Inscription : 12 Sep 2011 19:02
Localisation : Nimes, France

Re: Firewall / VOIP (SIP)

Message par jibe » 07 Nov 2011 22:04

Salut,

lembal a écrit :Zentyal est-il si fiable que ça en Firewall ?

Aucune expérience => aucune idée.

Mais compte tenu de mon expérience SME et du peu que je crois savoir du firewall de Zentyal, je peux dire que je ne testerai cette distrib que lorsque j'aurai le temps de me pencher sérieusement sur la question. Et à priori, je n'en mettrai jamais en place : pas confiance dans une distrib tout-en-un sur laquelle on peut faire tout ce qu'on veut trop facilement avec le firewall. Il y a quand même trois zones (red, orange, green) voire 4 (+blue) dans la même bécane, et qui doivent être aussi bien isolées les unes des autres que si elles étaient sur des machines différentes...

Les seuls cas d'intrusion connus sur SME le sont sur des SME auxquelles la version de PHP a été changée. Ce simple fait fout en l'air le firewall si on n'y prend pas garde... Plus d'un expert s'y est fait avoir... Si beaucoup de choses sont templatisées sur SME, ce n'est pas juste pour le plaisir d'emm... bêter ceux qui veulent faire un petit truc tout simple...

Et comme le dit Cool34000, si tu n'as besoin que d'un firewall, pourquoi prendre une distrib tout-en-un ?
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: Firewall / VOIP (SIP)

Message par bethebeast » 07 Nov 2011 22:11

Hello,

Je n'ai pas voulu intervenir plus tôt dans ce fil, car je ne suis pas un expert en la matière, et mes collègues sont plus compétents que moi.

lembal a écrit :Je pense passer à une vraie distribution orientée Firewall comme Endian Firewall que j'avais déjà pratiqué : qu'en pensez-vous ?
Zentyal est-il si fiable que ça en Firewall ?
:?


Très difficile de répondre à ce type de question :(

Personnellement, j'ai toujours été un peu attiré par les distributions firewall tout-en-un de type Untagle, ClearOS, eBox (heu Zentyal pardon) sans vraiment les mettre en prod. Pourquoi ? Par ce que je suis un adepte du : un besoin => une fonction => un produit.

Malheureusement (pour moi), les tout-en-un ont toujours eu la côte, et ça ne facilite pas toujours la tâche pour choisir quel produit pourrait satisfaire les besoins. Le piège (toujours pour moi), est de se tromper de choix en pensant que tel produit serait mieux que l'autre par ce qu'il propose une fonctionnalité que les autres n'ont pas, mais qui ne me serait d'aucune utilité... :lol:

(je ne sais pas si je suis claire là...)

Bref, j'ai peur de ne pas être d'une grande aide sur ce coup, mais tout ce que je peux dire : passer du temps (je sais que ce n'est ps toujours évident) à se documenter sur les différentes solutions. Et chose importante (mais je pense que c'est déjà fait) : mettre noir sur blanc les besoins, les points positifs/négatifs de chaque solution.

@+
---
There is no place like 127.0.0.1
bethebeast
 
Message(s) : 35
Inscription : 12 Oct 2011 18:28
Localisation : Lyon

Re: Firewall / VOIP (SIP)

Message par bethebeast » 07 Nov 2011 22:13

arrf faudrait qu'on arrête de répondre tous en même temps... :lol:
---
There is no place like 127.0.0.1
bethebeast
 
Message(s) : 35
Inscription : 12 Oct 2011 18:28
Localisation : Lyon

Re: Firewall / VOIP (SIP)

Message par Cool34000 » 07 Nov 2011 22:27

Il ne faut jamais oublier ce vieil adage qui s'applique très bien en sécurité informatique : "le mieux est l'ennemi du bien"
In a world without walls and fences, who needs windows and gates?
Cool34000
 
Message(s) : 199
Inscription : 12 Sep 2011 19:02
Localisation : Nimes, France

Re: Firewall / VOIP (SIP)

Message par jibe » 08 Nov 2011 00:08

@ Titofe : relis mon post...

Zentyal est une distrib tout en un avec laquelle, si j'ai bien compris, on peut faire tout ce qu'on veut avec le firewall. Ipcop et pfsense ne sont pas des distribs tout-en-un, ce sont des firewall. Quant à SME, c'est d'elle dont je parlais là où tu me dis que ça revient au même que SME... ;)
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: Firewall / VOIP (SIP)

Message par jdh » 08 Nov 2011 00:35

J'ai eu l'occasion d'installer une Zentyal (après avoir testé son install sur mon pc de virtualisation perso).

Je vois la Zentyal comme une distribution tout-en-un comme SME avec une interface plus détaillée.
Il y a, comme SME, un système de template avec, sans doute, des commandes équivalentes aux "db prop" de SME. (Je ne suis pas spécialiste.)

Apparemment, on peut aussi supporter plusieurs interfaces ou zones, avec le filtrage de flux (iptables) configurable aisément par règles.
J'ignore l'efficacité de filtrage de flux mais l'apparence me semble correcte (quoiqu'un peu lourde à mon gout).

In fine, Zentyal me semble une distribution avec un avenir qui pourrait être meilleur que SME.
(Zentyal peut s'installer sous 5 formes : gateway, utm, infrastructure, office et unified communications; et on peut installer de 1 à 5 formes sur le même serveur !)

Mais, comme la SME, il est essentiel de "rentrer" dans l'esprit de la distribution : tout utilisation "hors scope" sans expertise affirmée est délicate, et c'est bien le sujet du fil !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Firewall / VOIP (SIP)

Message par jibe » 08 Nov 2011 00:52

S'il y a des templates, ça me rassure ! Reste à voir comment ils sont faits, mais bon : j'ai peut-être un a-priori défavorable injustifié. Reste quand même qu'effectivement, sauf besoins que j'ignore, pour ce qui est fait là je n'aurais mis ni SME ni Zentyal...
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

PrécédentSuivant

Retour vers VoIP

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron