> Avez-vous des idées ? Xen/Debian brut, iptable pur + bridges vers les VM ou ufw comme David (j'ai testé et apprécié, c'est très cool mais bon... un fichier texte c'est bien aussi :).
Tout est dans le penguin, pourquoi rajouter une surcouche dans une VM séparée ? Tout le routage (via des fakes bridges)) est dans l'hyperviseur, qui a son propre FW. Puis chaque VM a son FW. ce qui peut inclure des sous-réseaux 'intras' entre VM (généralement deux dans nos setups : 1 généraliste et l'autre dédié aux blocs de VM web : proxy,serveur/filer, db). Perfs de fou (sur des vieilles machines cossues à l'époque mais anciennes). Simplicité. Minimalisme. Fiabilité. Maintenabilité. Un exemple sur un setup ancien (avec l'astuce pour ne pas perdre 3 IP dans le bloc - ça marcherait aussi avec KVM ou n'importe quelle autre virtu : https://stef.genesix.org/pub/serveur_Debian_8_-_Genesix_v2_-_Installation.pdf Un peu d'effort au départ. Magnifique tranquillité ensuite. Xen/Debian gaze aussi sur des setups ridicules atom 4 Go ram (1 hyper et deux VM). La prochaine étape de l'année, c'est le passage à ganeti/drdb au dessus de xen/debian/mdadm/lvm, histoire de clouder l'infra, dans la continuité des technos utilisées depuis des années. -- Be Seeing You Number Six --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
