Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pourquoi les paquets (ex:squid) ne sont pas à jour ?

    Scheduled Pinned Locked Moved Français
    11 Posts 3 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      ccnet
      last edited by

      Encore un post qu prouve qu'il n'y a aucun intérêt à mettre Squid sur Pfsense. Sauf des ennuis. Les développeurs de Pfsense, de Squid et de Free BSD sont trois choses bien différentes.

      1 Reply Last reply Reply Quote 0
      • S
        Sparadrus
        last edited by

        Bonjour,

        Pourquoi déconseillez-vous l'intégration de squid dans Pfsense?
        Il vous semble plus pertinent de laisser Pfsense comme Firewall et avoir un serveur secondaire comme proxy/cache?

        Merci de votre réponse
        Cordialement

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Ne parlons pas de serveur secondaire, ici le terme n'a aucun sens. Les besoins en terme de ressources sont assez fondamentalement différents entre un firewall et un proxy. Nous sommes plusieurs à avoir largement développé cette thématique sur ce forum. Un exemple simple de problème de sécurité potentiel. Un proxy génère beaucoup de logs qu'il faut conserver. Que se passe t il si votre espace disque est saturé ?  Que devient votre firewall ? Est il opportun d'avoir sur son firewall des fichiers comportant du code malveillant stockés parce que bloqués par le proxy ? Le firewall est une machine qui doit rester minimaliste, sanctuarisée.

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Il y a comme des incohérences entre

            • la dernière version de Squid
            • l'incompréhension sur le placement de Squid
            • un firewall + des sources de paquets alternatifs

            Il est particulièrement étonnant que, l'évidence du placement de Squid ailleurs que sur un firewall ne soit toujours pas comprise !
            Le rôle de Squid et d'un firewall sont évidemment très différents et, partant, les besoins en ressources matérielles tellement différents.

            La sécurité c'est

            • un firewall dédié à ce rôle, et sans aucun paquet complémentaire (et une seule source de binaire !)
            • un proxy Squid dédié à ce rôle, avec les ressources matérielles adaptées
            • le moins possible de bricolage

            Si on est aux questions, moi, ce que je ne comprends pas, c'est le pourquoi de la volonté d'utiliser la dernière version de Squid.
            Car entre Squid 2.7, 3.1 et 3.4, les différences sont fonctionnelles et pas de sécurité !

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • S
              Sparadrus
              last edited by

              Pour les ressources matérielles, je comptais monitorer au fur à mesures en greffant des utilisateurs tests, sur une assez longue période. Nous ne sommes pas une grande structure (env. 130 postes).
              Squid me servirait à logger les accès en cas de contrôles et servir de cache.

              Je suis d'accord avec vous, pas de bricolage au programme, mais la question était seulement de savoir si des versions de squid plus récentes était envisageable sur pfsense.

              Merci pour vos recommandations et vos conseils…

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                Je dis souvent à partir de 15 utilisateurs intensifs, il faut un proxy dédié !
                Alors pour 130 utilisateurs …

                Les rôles de firewall et proxy sont TRES différents, et, faute de réflexion, peu nombreux sont ceux qui comprennent que les ressources matérielles à mettre en face sont aussi TRES différentes !
                Votre réponse est donc assez insatisfaisante et laisse à penser que vous n'avez pas compris !

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • C
                  ccnet
                  last edited by

                  130 utilisateurs justifie largement un proxy dédié et un découpage réseau assez attentif (lan, ddifférentes DMZ), un système de gestion des logs suffisamment dimensionné et un proxy dédié (et une charte informatique signée des salariés).

                  1 Reply Last reply Reply Quote 0
                  • S
                    Sparadrus
                    last edited by

                    Si si j'ai bien compris l'idée.

                    Je pensais seulement que pour ma maquette, démarrer avec un cpu Athlon64 3800+, ram 4GB PC3200, hdd 320GB sata 7200t pourrait assurer. la monté en charge des utilisateurs (les greffer au fur à mesure) m'aurait permis de monter un serveur adapté pour quelques années. Mais je n'avais pas pris en considérations les risques de sécurités à y coupler un proxy/cache sur le même serv, ce que j'avoue ne pas très bien évaluer pour le moment…

                    Je testerai donc également avec une debian dédié au proxy/cache

                    J'aimais bien cette aspect tout-en-un de Pf, je me serai donc fourvoyé..
                    Pour la charte, c'est en cours.
                    Merci de vos conseils
                    ++

                    1 Reply Last reply Reply Quote 0
                    • J
                      jdh
                      last edited by

                      Un exemple de choses incomprises :
                      Squid utilise abondamment la mémoire, notamment pour maintenir l'index des objets en cache.
                      Donc la taille du cache, qui définit un nombre d'objets max, défini, in fine, une taille mémoire minimale nécessaire.

                      Par exemple, il serait certainement stupide d'espérer avoir un cache de 20 Go avec une mémoire centrale de 4 Go (sans compter les besoins de l'OS).
                      Il est probable que 4 Go de mémoire ne doit permettre qu'une taille de cache d'environ 5 Go (peut-être 8 Go mais sûrement pas 12 Go).

                      Autre exemple :
                      Peu de gens savent qu'il y a une taille de cache optimale : l'efficacité du cache peut diminuer en agrandissant la taille de cache !

                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                      1 Reply Last reply Reply Quote 0
                      • S
                        Sparadrus
                        last edited by

                        Très bien, la taille du cache optimal, c'est également une donnée que je ne possédait pas. Je n'ai pas encore trouvé  d'informations à ce sujet, je chercherai ultérieurement.

                        J'ai vu vos réponses (exaspérés et je peux comprendre) sur le forum, il serait peut-être pratique d'épingler un post sur le forum pour déconseiller au nouveau l'intégration d'un proxy dans pfsense. Ccnet et vous même l'avait plutôt bien résumer dans ce post :
                        https://forum.pfsense.org/index.php?topic=16227.msg84786

                        Voila voila
                        Merci encore

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.