Discussion :

[REMY Michael]

bonjour,

nous disposons d'un firewall watchguard firebox m370 (assez performant d'après ce que j'ai compris).
J'ai besoin d'une fonctionnalité dont je trouve pas l'emplacement de configuration dans les menus.

voilà c'est simple, j'ai besoin d'accorder un full débit, une priorité, à tout utilisateur qui se connecterait à https://www.monsite.com .
Ce site est un outil d'elearning et j'ai besoin pendant les sessions d'examen que son accès ne soit pas ralenti et obtienne l'autoroute libre de l'accès an bande passante sans restriction. il faut absolument que les étudiants qui s'y connecte en wifi ou en lan via notre établissement soit prioritaire UNIQUEMENT sur ce domaine-là.

quelqu'un sait-il faire cela ?
Quel est le nom anglais de ce procédé (afin que je cherche dans la doc et sur internet ..)

Merci de vos renseignement.

ps : y-a-t-il un sous-forum dédié aux firewalls ici , ai-je bien crée le sujet au bon endroit ?

[JML19]

Bonjour

Tu ne peux pas utiliser la QoS ? (ICI)

[REMY Michael]

oui j'y avais pensé à la QoS mais je ne trouve pas cette option désignant juste un domaine.
Dans votre "cours" ci-linké précédemment, ça ne parle que de service ou d'appareil mais pas pour un domaine précis. d'ailleurs dans l'exemple montré, on voit netflix, mais ça ne dit pas comment le routeur détermine que c'est netflix, je ne trouve pas d'endroit où on saisirait clairement un nom de domaine à prioriser au dessus de tout.

[chrtophe]

Le QoS travaille au niveau adresses et protocoles, pas domaine. Et à mon avis pas facile à faire en http, car derrière ton FAI peut faire la même chose. Mais je ne suis pas spécialiste.

Ton site est-il en interne ou externe ? Si tu veux prioriser les accès internes, le site devrait être en interne. Tu auras un vrai gain de perf en interne mais avec une dégradation de perf depuis l'exterieur.
La solution serait peut-être d'avoir une copie interne du site si possible.

[REMY Michael]

Le QoS travaille au niveau adresses et protocoles, pas domaine. Et à mon avis pas facile à faire en http, car derrière ton FAI peut faire la même chose. Mais je ne suis pas spécialiste.

Ton site est-il en interne ou externe ? Si tu veux prioriser les accès internes, le site devrait être en interne. Tu auras un vrai gain de perf en interne mais avec une dégradation de perf depuis l'exterieur.
La solution serait peut-être d'avoir une copie interne du site si possible.

merci pour l'idée.
mon site est externe car il doit être accessible dans 2 antennes (2 batiments de 2 villes/pays différents) en h24 (impossible de faire une copie locale ou proxy sans avoir la lourde tâche de resynchronisation des données ensuite..).
Par contre notre site distant à une IP fixe, donc si au moins on pouvait assurer le début sortant vers cette IP, ce serait la même chose (on n'a pas l'intention de changer le nom de domaine non plus).

Avec un tel firewall, je trouverais ça étonnant qu'une telle fonctionnalité n'existe pas, surtout qu'on peut faire l'inverse c-a-d limiter le débit d'une site (par exemple on peut dire "pas plus de 5Kb/s pour facebook/youtube" histoire d'éviter aux salariés de vaguer...).

Pourquoi un firewall aurait la fonctionnalité de limiter mais pas cette d'assurer ..?

En attendant, il y a une fonctionnalité qui permet d'assurer un débit minimal par adresse MAC ou par vlan, donc je prévois d'assigner des postes clients locaaux dédiés à l'accès à ce site internet, ainsi ça reviendra au même....et pour les postes des itinérants , ils se connecteront au vlan ayant une assurance de débit..
Mais bon, je reste sur ma faim vu le prix d'une telle limousine (ce firewall), une telle fonctionnalité semble un b-a-ba pour un routeur/firewall....
Pourquoi un routeur à 50€ peut assurer un débit pour Skype (exemple) via QoS mais pas un firewall à 5K€ ...

[Invité]

Par contre notre site distant à une IP fixe, donc si au moins on pouvait assurer le début sortant vers cette IP, ce serait la même chose (on n'a pas l'intention de changer le nom de domaine non plus).

Salut,

je ne connais pas ce matériel... Mais comme j'ai lu que le M370 avait 8 priority queues, est-ce qu'il n'est pas possible de créer une policy concernant tous les flux de/vers cette IP et l'associer à la priority queue qui possède la plus haute precedence ?

-VX