Que pensez vous de ce how-to ?

Pause Café
#41

[quote=“lol”]Salut,

Excellent conseil! C’est du temps de gagné sur la suite. :wink:[/quote]

Clairement c’est ce que je fais à chaque fois mais pourtant j’arrive toujours au dernier moment à trouver à faire autrement, d’ailleurs vus que c’est plus que sûr le portage à été abandonné pour l’openBSD je vais sans doute revoir intégralement l’installation cvar ce week-end j’ai bataillé sur une openBSD et bon force est de reconnaître que c’est pas une Debian :033 du coup me reste encore différente chose à revoir sur la machine et commencer à monter sérieusement mes sysjails ( peut-être une bonne idée pour toi lol, faire joujou avec rappelle un peut le principe d’openVZ ).

#42

Salut,

Je termine en ce moment même mon installation: une machine physique sous Squeeze avec deux VM (une passerelle sous pfSense et une Squeeze pour les différents services - Freeradius, Web, Mysql, postfix avec tout le tintouin, ejjaberd, etc.).

Je vais attendre un peu avant de me relancer dans une nouvelle aventure… :doh: :laughing:

Je n’ai même pas encore fait de recherches sur sysjails. Et BSD c’est un autre monde…

#43

Bon j’ai craqué, je vais réinstaller ma passerelle sous Debian.

Du coup je prends des note et je mettrai ça en ordre au fur et à mesure pour le poster ici et on verra pour l’intégrer dans le wiki si tous ce passe bien.

Là j’ai installer le Domaine “host” à base de Debian64 et je prépare les domaine invité tel quel :
[ul]
_ Dom_0 ( debian amd64 ) : [list]- hyperviseur xen et ces outils
- openssh ( port knocking )
- openssl[/ul]

_ Dom_FW ( debian amd64 ) : [ul]- iptable[/ul]

_ Dom_PUB ( debian amd64 ) : [ul]- openssl
- bind
- squid + squidguard
- apache
- php
- postgresql
- pureftp
- prosody
[/ul]
_ Dom_PRIV ( debian amd64 ) : [ul]- openldap
- bind9
- lighthttp
- php
- phppgadmin
- outils de surveillance réseau, et de gestion ( j’ai pas encore fais mon choix définitif )
[/ul]
_ Dom_LAN ( debian amd64 ) : [ul]- serveur NFS[/ul]

_ Dom_SECUR ( debian amd64 ) : [ul]- Dionaea ( ou autre chose là sur ce point j’ai pas encore décidé ).[/ul][/list:u]

Voilà pour l’instant le plan de montage de la machine principale du réseau, j’ai pas encore tous détaillé ( ni dans ma tête ni accouché sur papier tous donc il y a des choses qui risque de changer ), mais grosso modo l’idée principale est là.

Il se pose tous de même encore un point noir sur l’installation c’est la mise en place d’un VPN pour mon portable et un autre pour relier une machine qui servira de serveur mail et de stockage dans le réseau ( c’est pas très sécuriser pour l’instant de la façon dont je pense le mettre en place et il faut que je revois cette partie ultérieurement ).

#44

Salut,
Excellente nouvelle. Moi j’ai fait dans la facilité… [size=50]virtualbox[/size] :075
Je suivrais avec intérêt tes péripéties…

C’est quoi grosso-modo le schéma des interfaces et des bridges ?

Le VPN tu peut le coller n’importe ou non ? Il suffit d’une règle nat vers n’importe quelle vm.

#45

[quote=“lol”]Salut,
Excellente nouvelle. Moi j’ai fait dans la facilité… [size=50]virtualbox[/size] :075
Je suivrais avec intérêt tes péripéties…

C’est quoi grosso-modo le schéma des interfaces et des bridges ?

Le VPN tu peut le coller n’importe ou non ? Il suffit d’une règle nat vers n’importe quelle vm.[/quote]

Oui finalement je me rabat sur Debian, je continue sur une autre machine à jouer avec OpenBSD mais je me concentre pour mettre rapidement la VM importante pour moi en ce moment Dom_LAN pour pouvoir mettre les watts dans le salon :118

Sinon pour ce qui est du VPN c’est pour venir chercher la quiétude d’un proxy sur mon portable et faire un lien entre la passerelle et mon serveur de mail du coup je sais pas trop comment faire mais je ne m’inquiète pas plus que ça pour l’instant j’ai de quoi faire :033

Bon je reviens tous juste de courses et j’attaque la création des quatre “VM” et j’essaie de tenir mes notes au propres pour les publier :wink:

#46

On ne se rabat pas sur Debian, c’est Debian qui s’est rabattue sur toi.

#47

On ne se rabat pas sur Debian, c’est Debian qui s’est rabattue sur toi.[/quote]

Disons que pour la complexité de l’installation je me sent un poil plus à l’aise sur une Debian que sur une OpenBSD mais peut-être que d’ici quelques mois j’aurai pris plus confiance :033

#48

Alors quelques news ( histoire que vous rigoliez un peu ), ma petite tête blonde d’amour n’a pas reçu sa fessé pourtant il l’avais mérité à son retour de vacances.

En effet comme une truffe j’avais laissé un clavier brancher sur ma passerelle, et par le biais d’un historique très chargé et d’un bêtise incommensurable ( pas de compte utilisateur sur l’hôte ) le petit hacker de la maison m’a écrasé à grand coup de dd et de rm les trois quarts de mes VM et la quasi totalité de mes données sur mon nfs.

Si jamais j’entends rire je vous retrouve et vous fais passer l’envie de rigoler ( :077 ), blague à part je redémarre ma passerelle et je constate l’horreur avec un grand cri d’effroi mêlé de grande frustration ( j’en conclue que laisser un clavier anodin brancher sur un serveur ou l’on en a pas l’utilité est totalement suicidaire avec un hacker à la maison haut de 84cm :033

Passé cette méchante surprise j’ai dû digérer tous ça et me remettre au travail, pas évident de se remotiver à remettre tous ça en place quand on repense au trois mois de dur labeur et de prise de note parti en fumée plus que partiellement.

Je repars sur ce projet un peu dingue ( monter une usines à gaz pour ce que j’en ferais est un projet un peu dingue :005 ) sauf que fort de mon expérience préliminaire j’hésite sur plusieurs solutions techniques.

Tous d’abord les OS disponible pour faire joujou avec Xen, le choix sera rapide c’est Debian du côté linux mais je me tâte pour intégrer du NetBSD qui tous comme Debian tourne nativement sur un kernel “xenifié” ( chose que OpenBSD ne fera sans doute jamais et que FreeBSD ne feias pour l’instant pas ).

J’ai donc revue le plan de ma passerelle et corrigé quelques erreurs commises ( création d’un compte utilisateur sur le domaine hôte :whistle: impérative ), je compte revoir aussi la gestion DNS globale ainsi que la gestion de l’ensemble des VM un peu différemment et pour ça j’ai quelques questions.

Tous d’abord le nouveau plan de conception de la plateforme :

[ul]Dom_hôte :

[list]- Installation de Debian amd64

  • Installation de l’hyperviseur xen
  • Installation des outils xen[/ul]

Dom_fw :

[ul]- Installation de Debian amd64 ( ou NetBSD pour pouvoir utiliser packet-filter )

  • Configuration de iptable ( dans le cas de NetBSD ce sera packet_filter )[/ul]

Dom_pub :

[ul]- Installation de Debian amd64

  • Installation et configuration de squid
  • Installation et configuration de squidguard
  • Installation et configuration de apache2
  • Installation et configuration de php
  • Installation et configuration de postgresql
  • Installation et configuration de prosody
  • Installation et configuration de pureftp
    [/ul]

dom_priv :

[ul]- Installation de Debian amd64

  • Configuration de bind9 ?

  • Installation et configuration de openvpn ( authentification forte )

  • Installation et configuration de openssl

  • Installation et configuration de openssh ( port knocking )

  • Installation et configuration de openldap ( gestion des groupes d’utilisateurs, dns )

  • Installation et configuration de lighttp

  • Installation et configuration de phpgadmin

  • Installation et configuration des outils de surveillance réseau et de monitoring[/ul]

dom_lan :

[ul]- Installation de Debian amd64

  • Installation et configuration de nfs[/ul][/list:u]

Donc voici mes deux questions qui pour l’instant me turlupine, la première est basé sur la sécurité et les certificats autosigné.
J’ai pour l’instant deux nome de domaine et bientôt cinq, seul deux d’entre eux requiert un passage complet en https mais les cinq pourraient le proposer sur certains contenus.
Même si je pense que gérer ça avec de l’autosigné devrais suffir je me posais la question de où me retourné pour comparer un peu les tarfis et les options liés à ça.

Pour la deuxième question c’est déjà plus complexe ça concerne la gestion des noms de domaines et des DNS.
Comme vous aviez remarqué j’ai deux zones principales, une privés qui me servira de bastion et devrais m’offrir la quiétude rechercher pour les connexions sortantes de mon réseaux LAN ainsi qu’une zone public qui elle est la partie accessible depuis le net.
Je rajoute à ça une deuxième machine bridgé sur la passerelle, elle accueil un serveur de mail ainsi qu’un serveur de gestion de version.
Je ne sais pas trop si il serait mieux de séparer en différents serveur DNS afin de simplifier au mieux la configuration de chaque services, un serveur principale dans le bastion qui ferais office de serveur autoritaire et qui gère finalement le cache et les sous domaine et deux petits serveur de noms secondaires en tête de la zone publique et de la deuxième machines.
Cela me paraît disproportionné pour mes besoins ( 3 sites internet + 3 blogs + 2 wiki + 1 mini forum sans oublié mes quelques boîtes mails personnels et la gestion des contacts des différents domaine ).

pour l’instant je ne gérais que les deux noms de domaines rapatrier chez moi ( et encore ils n’ont finalement pas été en ligne très longtemps ), et, j’aimerai y rajouter la gestion du cache de navigation et m’essayer un peu à la délégation et au service redondant ( d’un point de vue autodidacte ).

#49

:laughing: :laughing: :laughing: Amuse toi et, on passe un contrat avec le craker qui t’a déja montré ce dont il était capable :077
Bon toute blague mise à part, cette semaine je monte un dédié avec ta méthode, j’te fait un retour :wink:

#50

Salut,
Pour le https, je me suis tourné vers startssl.com/
Ils m’ont gentiment fait un certificat pour un domaine et sous-domaine gratuitement (classe1) à renouveler dans un an.

#51

[quote=“lol”]Salut,
Pour le https, je me suis tourné vers startssl.com/
Ils m’ont gentiment fait un certificat pour un domaine et sous-domaine gratuitement (classe1) à renouveler dans un an.[/quote]

Merci bien pour le renseignement me reste plus qu’a voir comment je vais me débrouiller avec la gestion des DNS :think:

#52

[quote=“Clochette”][quote=“lol”]Salut,
Pour le https, je me suis tourné vers startssl.com/
Ils m’ont gentiment fait un certificat pour un domaine et sous-domaine gratuitement (classe1) à renouveler dans un an.[/quote]

Merci bien pour le renseignement me reste plus qu’a voir comment je vais me débrouiller avec la gestion des DNS :think:[/quote]

Hum… Un petit dessin pour aider à la visualisation de la “bête” ?

#53

[quote=“lol”]
Hum… Un petit dessin pour aider à la visualisation de la “bête” ?[/quote]
Oui, je veux bien…je suis un peu dans les choux :blush:

#54

je vois ça et j’éditerai le présent message :033

  • EDIT -

Donc voilà un rapide aperçu de l’usine à gaz sachant que trois autres VM resteront dans l’ombre car elle ne concerne pas le fonctionnement générale :083

Je me pose donc la question de savoir si il vaut mieux avoir deux petits serveurs DNS sur la partie publique et sur la machine 2 ( qui est bridgé sur la première ) et piloter le tout avec un serveur autoritaire qui lui en outre me permettra d’inclure d’autres DNS que SFR ( j’ai eu un black out il y a deux semaine de 17 heures avec les DNS de SFR indisponible :confused: ).
Ou si je me casse pas la tête et gère mes DNS de façon centralisé sur la VM privé.

#55

Salut,
Effectivement! :023

Je centraliserais le DNS, au moins dans un premier temps.
Utilise les DNS de ton FAI en secours.

Je ne vois pas trop l’intérêt de séparer les DNS; Ça va te compliquer la vie pour un apport négligeable du point de vue sécurité.
Parceque franchement, passer le routeur, le FW, entrer dans une VM pour hacker le DNS, faut quand même être un peu balèze…

Enfin, j’dis ça j’dis rien… :wink:

#56

[quote=“lol”]Salut,
Effectivement! :023

Je centraliserais le DNS, au moins dans un premier temps.
Utilise les DNS de ton FAI en secours.

Je ne vois pas trop l’intérêt de séparer les DNS; Ça va te compliquer la vie pour un apport négligeable du point de vue sécurité.
Parceque franchement, passer le routeur, le FW, entrer dans une VM pour hacker le DNS, faut quand même être un peu balèze…

Enfin, j’dis ça j’dis rien… :wink:[/quote]

Je pense aussi, c’était plus la démarche de découvrir le côté redondant et “tarbiscoté” de la chose mais je pense que je vais faire ça au plus simple :033

#57

[quote=“Clochette”]
[/quote]
Merci , tu l’as fait avec quoi le plan ?

#58

[quote=“terix”][quote=“Clochette”]
[/quote]
Merci , tu l’as fait avec quoi le plan ?[/quote]

dia “viteuf” j’avais pas le temps à ce moment là, pourquoi ?

bon sinon j’avance un peu sur la remise en route de la machine faut que je creuse juste du côté des trois principaux bridge :083

#59

Je voulais savoir si tu avais un logiciel pour dessiner ce genre de chose, je trouve que c’est clair…

#60

[quote=“Clochette”]
dia “viteuf” j’avais pas le temps à ce moment là, pourquoi ?

bon sinon j’avance un peu sur la remise en route de la machine faut que je creuse juste du côté des trois principaux bridge :083[/quote]

Avec dia :083 vite fait :whistle: .

Bon la petite tête blonde étant de retour à la maison je lâche et débranche consciencieusement le clavier :083