Bonsoir, je dois concevoir un réseau pour un PME, Il doit y avoir les services suivant:
Firewall, Proxy, Partage Windows, Serveur SVN, Serveur d'application CAO sous RHEL (utilisation de Centos admise)
et surtout le plus important: une sécurité maximale pour les données (au niveau intrusion, pour le reste il y aura des sauvegardes régulières)
 
Alors j'ai dessiné le réseau sous Dia, le voici:
(cliquez pour agrandir)
 
Donc comme dessiné il n'y a qu'un serveur qui remplit tout les services
Il tourne sous Xen avec Debian comme Dom0
En machine  virtuelle il y a Centos 5.1 qui tourne avec la possibilité plus tard de la déporter sur un autre serveur.
Pour les réglages du firewall il y a un draft intégré dans l'image.
 
J'aimerais savoir ce que vous en pensez, si vous voyez des soucis potentiels de sécurité (trés important)    
J'ai peur d'avoir fait un peu trop compliqué    
 
N'hésitez pas à donner votre avis

1) On installe pas de services applicatifs dans le dom0  
Ah la rigueur le firewall ca peut se concevoir puisque le dom0 fait le lien avec le réseau, mais le reste, non  
Soit tu les regroupe dans une autre domU, soit meme tu les eclates en plusieurs domU, chaquant jouant son role
(à la rigueur tu peux regrouper certains services, comme DNS/DHCP par exemple)
 
Sinon la Freebox fait pas Firewall, ou alors j'ai pas compris ton schema

Ok dans ce cas je vais tous les installer sur un domU Debian à part
Mais le problème c'est que ça deviens lourd à gérer là.
Au final ça ne serait pas plus simple de tout mettre sur un seul et unique serveur Centos sans Xen ? Mais quid de la sécurité ?    
 
 

Il y a un routeur NAT dessus et que dans ce cas il ne peut pas y avoir de connections entrantes mais en effet ce n'est pas un vrai firewall  

un domU ou 10 domUs ça change rien (sauf au niveau perfs )

Niveau perfs, pas temps que ça.
Niveau admin, et bien ca fait évidemment plus de machines à gérér, mais d'un autre coté, chaque domU fait un seul (ou un peu plus) truc, donc moins de risque de tout péter en upgradant un service, une lib, etc. Donc au final c'est pas beaucoup plus lourd à administrer (si ce n'est le temps de prendre en main les outils de virtualisation, et la méthodologie qui va avec).

Les + sécurité :
- les services sont isolés, si y en a un qui a une faille (au hasard le apache+PHP), seul le domU qui heberge ce service sera concerné, les autres services (sur les autres domU) ne seront pas impactés.
- si une domU se crashe ou qu'un service se met à consommer tout le CPU/RAM/beaucoup d'I/O à cause d'un gros bug (c'est rare, mais ca arrive), les autres domU ne seront que faiblement impactées, alors que si t'as tout sur le même système (physique ou VM), ben tous les services seront impactés.

Ne pas oublier que la sécurité en informatique, ce n'est pas simplement de se protéger des pirates, c'est :
- la disponibilité des données quand tu en as besoin (d'où l'interet d'avoir des systèmes qui restent réactifs),
- l'intégrité des données (donc en cloisonnant tes données tu t'assures qu'un autre service ne va pas mettre en danger des données avec lesquelles il n'a rien à voir)
- l'accès au données, qui a accès à quoi, donc encore une fois, le cloisonnement permet cela, tes règles d'accès peuvent être beaucoup plus fine, et ce au niveau reseau de chaque serveur)
- les sauvegardes
- et enfin une politique de sécurité système/réseaux (failles, mise à jour, firewall, etc.)

En gros, on pense souvent à la virtualisation en terme de consolidation (meilleur utilisation des ressources matérielles disponibles), et on oublie souvent le coté cloisonnement qui est vraiment très important

Mais bon, ton stage n'est pas en admin. systèmes & réseaux, ce que je dis plus haut concerne surtout les admins pro. qui ont du temps à y consacrer, et qui ont parc un peu plus important à gérer, mais comme tu poses la questions, c'est toujours bon à savoir

Après, avec le peu de temps dont tu disposes, et le fait que tu n'est pas admin sys&res, c'est sûrement plus simple de tout installer dans un seul OS.

Les fautes d'orthographe/conjugaison/grammaire c'est cadeau bien sûr

Bon j'ai fait un effort et j'ai édité, mais il en reste surement, avec une heure de sommeil en moins

la conception réseau au niveau du firewall est

Merci pour cette longue explication, tout installer sur un seul OS (Centos en l'occurence à cause des applies certifiées RHEL) ça ma fait assez peur sachant que les projets seront stockés sur cette machine avec SVN, donc niveau sécurité c'est assez critique....  

Peux-tu expliciter stp, j'avoue ne pas être expert dans le domaine de la config de Netfilter donc soit j'ai mal expliqué ce que je voulais faire, soit j'ai fait n'importe quoi    

Sinon quoi qu'il arrive il vaut mieux que je laisse le DHCP sur le Dom0 non ?
 
Et niveau sécurité tout mettre sur le même OS et tout laisser sur le Dom0 ça revient au même non ?

Ben un DHCP pour 6 postes, est-ce vraiment bien utile ?

Ouai, se ne sont pas des postes fixes (d'ailleurs c'est une grosse faille de sécurtié dans le sytème mais bon )