Débutant : Quelle configuration adoptée ?

stadros83 · Jan 23, 2009, 8:33 AM

Bonjour tout le monde !

Je suis un débutant avec pfsense donc désolé d'avance si je dis beaucoup de bêtises !!

En fait à l'heure actuelle nous avons un firewall avec une solution payante (Sidewinder) qui ne me plaît pas. Interface lourde et même pas capable de faire des courbes du traffic ou de load balancing (un comble …).

Donc j'ai commencé à regardé du côté des solutions gratuites comme IPCOP et PFSENSE.

Mon architecture est la suivante :

Deux lignes WAN (une chez COLT et une chez OLEANE).
Une DMZ avec un extranet.
Une pseudo DMZ pour un autre outil.
Le LAN.

Là j'ai installé une version 1.22 sur un ancien serveur firewall et je suis un peu perdu dans la configuration du double WAN ... est-ce qu'il existe un totu simple pour mettre ça en place ? Est-on obligé de créer des règles pour chaque WAN (ports ouverts) ?

Aussi, est-ce que l'on a une date de la sortie de la version 2.0 par hasard ??

Est-ce qu'il est possible d'avoir des rapports quand aux attaques effectuées (DOS, etc.) ?

Enfin, existe-t-il aussi un tutorial pour configurer OPENVPN ? Je l'ai actuellement sur un serveur interne, et le fait de pouvoir le mettre sur le firewall est nettement plus sympathique je trouve ! Dois-je créer un LAN VIRTUEL ?

ccnet · Jan 23, 2009, 9:32 AM

Pas de bêtises énormes, mais vous n'avez pas beaucoup regardé le site avant de poser vos questions. Pour votre configuration des éléments sur cette page : http://doc.pfsense.org/index.php/Tutorials

Pour la version 2.2 la question a été posé il y a une semaine ici même et la réponse adonnée : http://blog.pfsense.org/?p=349

Est-ce qu'il est possible d'avoir des rapports quand aux attaques effectuées (DOS, etc.) ?

Problème un peu plus complexe. La première chose est de définir ce que vous rangez dans la catégorie attaques. Ensuite tout dépend de ce que vous demandez à Pfsense, pour les différentes règles, comme logs. Certaines attaques reposent sur le contenu envoyé et non sur l'utilisation du protocole qui restera licite. Cela ne se verra pas dans les logs de Pfsense par opposition aux tentatives de connexion sur les ports habituels. Ce n'est plus le travail de Pfsense , ni d'un firewall à mon sens , mais celui d'un IDS comme Snort. Il faut ensuite demander à l'IDS de détecter ce qui en vaut la peine pour vous. Inutile de surveiller, par exemple, les tentatives d' injection sur IIS si vous n'avez aucun serveur http Microsoft. Cela ne fera qu'encombrer les journaux, augmenter les faux positifs et vous noyer sous les alertes non pertinentes.
Il y a quelques jours nous avons dit ici ce que nous pensons de l'utilisation de Snort sur Pfsense. En ce qui me concerne j'y suis opposé. Dans ce domaine il existe une solution que me semble fort bien "packagée" : EasyIDS. Sur Ixus.net j'ai un peu développé ce que je pense de l'usage d'un IDS. Le principal problème est un problème … de RH.

En espérant contribuer à l'éclaircissement des problèmes.

stadros83 · Jan 23, 2009, 9:37 AM

En fait je voulais dire des tutoriaux en français ;D !

Mais s'il n'y en a pas ce n'est pas grave :D !

Je vais fouiller dans ceux là mais personnellement je trouve ça super mal fichu, ce système à la wikipédia :p ! Merci bien !

jdh · Jan 23, 2009, 12:39 PM

Comparativement à IPCOP, pfSense est un système assez simple et intuitif : étonnamment plus puissant.

Il faut, cependant, bien comprendre la différence essentielle pour la fonction firewall :

les onglets LAN, WAN, OPT1, … contiennent les règles pour les trafics initiés de CETTE interface.

Il faut noter qu'il FAUT utiliser des alias pour écrire des règles : cela simplifie l'écriture ... et par conséquent la relecture !

Mais on ne devient pas spécialiste des firewalls en 1 h ....

stadros83 · Jan 26, 2009, 8:16 AM

Oui oui je me doute bien :D !!

Je connais les bases mais je n'ai jamais utilisé cette distribution donc je suis un peu perdu ;) !

ccnet · Jan 26, 2009, 11:39 AM

Je ne comprend pas très bien cette réponse. Les bases des technologies réseau sont une chose. Celles de la sécurité réseau encore une autre. Et je ne vois pas très bien en quoi la connaissance de telle ou telle distribution change quelque chose. Les problématiques réseau, celles de la sécurité et, par exemple, les modalités de l'utilisation d'un ids n'en sont pas changées pour autant.

Juve · Jan 26, 2009, 4:07 PM

les onglets LAN, WAN, OPT1, … contiennent les règles pour les trafics initiés de CETTE interface.

Attention, attention …. n'induisez pas les personnes en erreur. Le mot "initié" n'est pas le bon.
Il faut simplement garder à l'esprit que pfsense filtre le trafic uniquement en entrée sur chaque interface.

stadros83 · Jan 27, 2009, 9:23 AM

@ccnet:

Je ne comprend pas très bien cette réponse. Les bases des technologies réseau sont une chose. Celles de la sécurité réseau encore une autre. Et je ne vois pas très bien en quoi la connaissance de telle ou telle distribution change quelque chose. Les problématiques réseau, celles de la sécurité et, par exemple, les modalités de l'utilisation d'un ids n'en sont pas changées pour autant.

Tout simplement que vu que je ne CONNAIS PAS pfsense je me perds un peu dans toutes les options ::)

stadros83 · Feb 13, 2009, 1:40 PM

Petite question sur PFSENSE, est-ce que l'on peut faire une configuration comme celle-ci dans les règles :

WAN2

HTTP / LAN -> WAN2 autorisé
HTTPS / LAN -> WAN2 autorisé
HTTPS / LAN -> WAN2 autorisé

WAN1

HTTP / LAN -> WAN1 bloqué
HTTPS / LAN -> WAN1 bloqué
HTTPS / LAN -> WAN1 bloqué

/ LAN -> WAN1 autorisé

Du coup passer juste le traffic "internet" sur une ligne et le reste sur une autre ligne ?

ccnet · Feb 13, 2009, 1:51 PM

Oui, Policy based routing.
http://www.pfsense.org/mirror.php?section=tutorials/policybased_multiwan/policybased_multiwan.pdf
Désolé d'être si bref.

stadros83 · Feb 13, 2009, 1:58 PM

Merci bien !