Charge importante dois je dissocier squid et portail captif



  • bonjour,

    j utilise une appliance alix  pfsenve dont je suis satisfait . Mon probleme est le suivant:

    j ai la charge processeur qui est au taquet , la ram c'est ok ..

    Ceci est arriver apres l ajout de postes supplementaires et je pense donc qu il y a cause a effet.

    Les postes passent  outre le portail captif via leur adresses mac mais sont filtrés par squid et squidguard.

    Ayant deux appliances alix , je me demandait si je devait dissocier le portail captif et le proxy ou bien faire du fail over.

    j aimerais aussi savaoir comment bien dimensionner mon pfsense a l avenir..

    merci a tous

    a+



  • 1. Dimensionner Pfsense : http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49

    2. Si comprend bien :

    Les postes passent  outre le portail captif via leur adresses mac mais sont filtrés par squid et squidguard.

    Le portail captif, Squid, SquiGuard sont installés sur Pfsense.
    Combien de fois faudra t il répéter que le proxy n'est pas à sa place sur le firewall ?
    L'expérience relatée ici démontre en quoi cela est nuisible. Ce n'est qu'un exemple.

    La solution est évidement de na pas installer le proxy sur le firewall. Les besoins sont beaucoup trop contradictoires pour être traités par la même machine. Sans parler du reste. La sécurité c'est : intégrité, disponibilité, confidentialité. On voit bien ici que sur le critère "disponibilité" le résultat n'est pas là.



  • Bonjour,

    Merci pour la réponse, que me conseil tu maintenant.

    Pfsense est un firewall  ,désactiver celui ci sur une autre appliance et installer s quid dessus.

    Avoir un pfsense par add on ??

    Merci pour la réponse  :)



  • Première solution : installer Squid sur une debian ou Unbuntu LTS avec Squidguard et les compléments nécessaires. Placer le proxy en dmz.

    Seconde solution : utiliser un Pfsense V2 RC1, configurez le avec une seule interface (la V 1.2.3 ne le permet pas) et installer y tout les composant pour votre proxy. Placement en dmz aussi.

    La première solution a ma préférence.



  • Je commencerai par regarder ce qui cause cette charge.
    => Connexion en console ssh , option 8.
    Utilisation des commandes ps et top pour relever ce qui consomme du CPU ou induit de la charge (IRQ storm, I/O contention etc).



  • Bonjour,
    Effectivement je n ai pas pense a regarder les cause de la charge. Connaissant pas Linux je subis :)

    Par contre monte un ubutu ou autre ne passera pas car j ai fais acheté des boitier a lix pour l emcombrement.

    J ai deux boitier en plus, puis je désactiver le firewall de pfsense ,et si oui comment.

    Comme je dois faire du filtrage, peut être devrais je utiliser dnsblock ( je suis pas sur du nom ,je n'ai pas pfsense sous les yeux).

    Merci
    A+


Log in to reply