OpenBSD/Packet-Filter retour d'expérience

Migration des pare-feu Internet de l'Université de Rennes 1 sous OpenBSD / Packet-Filter. Retour d'expérience.

L'accès Internet de l'Université de Rennes 1 est assuré depuis bientôt trois ans par deux routeurs / pare-feu Packet-Filter (PF) sous OpenBSD, installés sur des serveurs standards (x86). Cet article présente la solution mise en place sous forme d'un retour d'expérience :

• la migration des règles existantes de filtrage (depuis du matériel Cisco) vers PF ;
• l'architecture et le fonctionnement de la redondance des pare-feu en mode master/backup à l'aide du protocole CARP (Common Address Redundancy Protocol) ;
• la gestion de BGP avec le réseau Renater (double attachement avec Renater) ;
• le monitoring et métrologie mis en place ;
• un retour d'expérience sur l'exploitation ;
• un retour sur les performances obtenues.

Pour finir, je présenterai les perspectives d'évolutions de solutions basées sur PF.