Pfsense et freebox

trazomtg

Bonjour,

je debute donc je demande votre indulgence.

j'ai une freebox avec 3 ordis chez moi.
je voudrais beneficier des services firewall de pfsense. Je ne comprends pas bien comment ca marche et si je dois installer pfsense sur la freebox ou sur l'un des ordis.

Merci pour votre comprehension.
T.

chris4916

1 - non tu ne peux pas installer pfSense sur ta Freebox ;)
2 - pfSense est un pare-feu dont la fonction est, basiquement, de contrôler les flux autorisés ou interdit sous la forme de règles qui décrivent une (ou plusieurs) IP source, une (ou plusieurs) IP destination et un (ou plusieurs) port.

Avec ça, tu peux par exemple dire:

tout ce qui sort de mon réseau local sur des ports autres que HTTP/HTTPS et SMTP est interdit
ou
tout ce qui rentre à destination d'un port qui ne correspond pas à mon serveur est interdit

Si tu n'as que des postes clients (et pas de serveurs) sur ton réseau local (ou DMZ), l'utilité du pare-feu n'est quand même pas négligeable car ça permet (partiellement) de bloquer du code malveillant en interne qui ouvrirait des portes (back-doors) à des connexion externes.

Si on compare à la Freebox: celle-ci permet de contrôler en partie les flux entrants (de internet vers le LAN) mais absolument pas (à l'exception du port 25, smtp) les flux sortants.

Pour ajouter un pfSense à ton installation, une machine comme un APU de PCEngines convient tout à fait ;-)

trazomtg

merci beaucoup

j'ai une autre question:

comment me connecter sur un ordi chez moi à partir d'une machine située sur l'inernet public?
Merci beaucoup

T.

chris4916

Il y a différentes solutions.
Le problème est que "se connecter" ne signifie pas, techniquement, grand chose.

Il y a différentes solutions:

un serveur VPN (sur pfSense par exemple)
un service qui "écoute" sur le serveur sur lequel tu veux te connecter.

trazomtg

merci pour ta reponse.

pourquoi utiliser pfsense si on utilise un VPN? et cou l"installer?

T

chris4916

@trazomtg:

pourquoi utiliser pfsense si on utilise un VPN? et cou l"installer?

Tu n'es pas obligé d'utiliser pfSense pour déployer un serveur VPN mais, dès lors que tu as un service sur le réseau interne accessible depuis internet, il est indispensable de mettre en place un moyen de contrôler comment se fait c'est accès depuis l'extérieur. la Freebox n'est pas très flexible dans ce domaine :-\

Ceci étant dit, il y a ensuite plusieurs manières de voir les choses en terme de design, avec un grand écart entre ceux qui prônent de séparer absolument les fonctions en expliquant que c'est le seul moyen de faire quelque chose de sécurisé et ceux qui prônent la plate-forme tout en un en expliquant que c'est également, de part la simplicité et la cohérence de la configuration, un excellent moyen de faire quelque chose de sécurisé.

Bref, il n'y a pas de solution idéale mais des conflits qui ressemblent plus à des guerres de religion dès lors qu'on discute de design ;D

Selon ta source d’information, tu trouveras, ici et ailleurs sur le net, tout et son contraire dans ce domaine ::)

Pour résumer:

si tu mets en place un service qui accepte des connexions externes, un pare-feu est indispensable
si tu ne mets pas en place ce type de service, un pare-feu peut quand même s'avérer fort utile voir indispensable selon tes objectifs en terme de sécurité
en terme de design, les solutions intellectuellement idéales sont, à mon avis, à réserver à ceux qui maîtrisent bien tous les composants et les flux: il est souvent plus simple de faire intellectuellement un peu moins bien si c'est mieux maîtrisé.

Sur cette base, pfSense propose un pare-feu mais également des services associés, nativement ou sous forme de package (autre source de débat) pour faciliter la mise en place de solutions autour des accès réseau.
Comme il est souvent beaucoup plus simple de faire tourner le serveur VPN au point qui est la passerelle par défaut (même si on peut bien sûr faire autrement), alors pfSense propose d'héberger un (plusieurs en fait) service de type VPN.

trazomtg

merci pour la reponse.

est ce que ca veut dire que de mes 3 ordis, un seul, celui qui abbrite pfsense, est connecté à la freebox et que les 2 autres sont connectés à cet ordi et passent par lui pour aller sur internet?
Merci encore

T.

chris4916

@trazomtg:

est ce que ca veut dire que de mes 3 ordis, un seul, celui qui abbrite pfsense, est connecté à la freebox et que les 2 autres sont connectés à cet ordi et passent par lui pour aller sur internet?

Si tu veux dédier un ordi à pfSense, oui, c'est ce que ça veut dire. Mais il faut bien comprendre que dans ce cas, cet ordinateur ne peut exécuter que pfSense.

Si tu as un autre usage de cet ordinateur, alors il faut en ajouter un pour faire tourner pfSense.

Encore une fois, tu n'as pas besoin d'une très grosse machine: un APU de PCEngines fait très bien le travail pour moins de 200 €

Nightwolf

Je ne comprends pas l'intérêt de mettre un FW derrière une box qui plus est non manageable ou très difficilement.
La NAT est hyper galère à mettre en place, le FW de la box (pardon la passoire) n'est paramétrable que par paliers (ou pas selon les box) et le FAI peut-être intrusif à tout moment puisque propriétaire du matériel.

D'autre part je vois le schéma suivant :

IP publique WAN -> IP locale BOX -> IP locale FW/GW -> IP LAN -> IP PC client

Soit une double NAT et un double routage qui va bloquer le broadcast par exemple du DHCP. Il faudra donc que Pfsense fasse DHCP à la place de la box.

Je vois ça comme une usine à gaz peu pratique et difficile à maintenir pour un informaticien donc pour quelqu'un qui a juste des bases ça risque d'être quasiment impossible… Ou alors j'ai zappé quelque chose.

De plus il faut que la machine tourne 24/24 7/7 ce qui va générer un coût énergétique non négligeable.

baalserv

Bonjour,

Vu que vous étes totalement néophite en la matière, (faut bien apprendre et commancer un jour^^), plutôt que d'investir dans du matériel neuf, je vous conseille de débuter avec un vieu pc d'occas pour vous faire la main et apprendre.

Un PIV à 512 ou 1024 de ram équiper d'un hdd de 10 à 20 go + lecteur CD et surtout 2 cartes réseau ; des realteck gigabit en pci qui coute 10-15 € feront parfaitement l'affaire et permettrons un débit correct si vous utiliser le hdd de la freebox serveur.

Quand vous serai '' au point '' de ce que vous voulez faire vous pourrez envisagé l'achat d'un matériel plus adapter à vos besoins et surtout beaucoup moin énergivore.

Cdt

EDIT:

@Nightwolf :

@Nightwolf:

Je vois ça comme une usine à gaz peu pratique et difficile à maintenir pour un informaticien donc pour quelqu'un qui a juste des bases ça risque d'être quasiment impossible… Ou alors j'ai zappé quelque chose.

Faut'il encore avoir besoin de gérer des connexions entrante pour être dans un tel cas …

Pour s'affranchir du double NAT induit par l'ajout d'un 2ème routeur, il suffit d'activé la ''pseudo'' DMZ de la box vers l'ip wan du pf. Cela fonctionne parfaitement et annule les effets de bord du double NAT ^^

chris4916

@Nightwolf:

Je ne comprends pas l'intérêt de mettre un FW derrière une box qui plus est non manageable ou très difficilement.

Je ne comprends pas l'intérêt de ne pas mettre un FW derrière une Freebox car justement celle-ci est peu configurable.
Mais quelle solution proposerais-tu donc, si le FW en série derrière la box n'est pas bien ?

Probablement n'as tu pas de Freebox sans quoi tu saurais que tu n'es pas obligé de configurer celle-ci en mode routeur.
Le DHCP avec pfSense n'est en aucun cas un problème. Pas de double NAT non plus, et si le FAI prend la main sur ta box, n'es-tu pas justement content de mettre en frontal ton propre pare-feu ?

Bref, je ne comprends aucun de tes arguments et je suis perplexe…

Nightwolf

@baalserv:

Faut'il encore avoir besoin de gérer des connexions entrante pour être dans un tel cas …

Oui il veut faire du remote desktop.

@baalserv:

Pour s'affranchir du double NAT induit par l'ajout d'un 2ème routeur, il suffit d'activé la ''pseudo'' DMZ de la box vers l'ip wan du pf. Cela fonctionne parfaitement et annule les effets de bord du double NAT ^^

A ma connaissance les Livebox Sagem manageables localement acceptent cette configuration, mais les autres box ne se "managent" que via le site web du FAI pour des résultats plus que médiocres (testé la soit disante DMZ sur Freebox V4…). Peut-être ont-ils évolué ça fait un moment que je n'ai pas testé ces box SFR et Free, mais visant le particulier je n'y crois guère.
Bientôt un FAI proposera une box avec un spyware hardware :o

@chris4916:

Je ne comprends pas l'intérêt de ne pas mettre un FW derrière une Freebox car justement celle-ci est peu configurable.
Mais quelle solution proposerais-tu donc, si le FW en série derrière la box n'est pas bien ?

Ce n'est pas le FW qui n'est pas bien ;)
C'est le matériel que le FAI verrouille à sa sauce. Un boitier qui ne peut que se pseudo manager via un site web distant…
En gros du fin fond de l'Australie je décide subitement d'ouvrir un port ou une DMZ... Bah ça marche :o

@chris4916:

Probablement n'as tu pas de Freebox sans quoi tu saurais que tu n'es pas obligé de configurer celle-ci en mode routeur.
Le DHCP avec pfSense n'est en aucun cas un problème. Pas de double NAT non plus, et si le FAI prend la main sur ta box, n'es-tu pas justement content de mettre en frontal ton propre pare-feu ?

Si je suis au courant de tout ça, mais je me mets à la place de la personne qui n'a aucune connaissance et qui se lance là dedans.
Je vois déjà arriver les maux de tête lorsqu'il faudra nater les ports RDP ou créer un VPN. Et quand ça va moins bien ou plus fonctionner trouver la panne risque d'être compliqué et là le FAI dira c'est chez vous débrouillez-vous. Parce que trouver quelqu'un qui comprend la langue et l'informatique chez les FAI côté particulier c'est presque mission impossible.
Chaque fois que je veux avoir le N2 c'est la galère on y perd un temps fou.

baalserv

@Nightwolf:

@baalserv:

Faut'il encore avoir besoin de gérer des connexions entrante pour être dans un tel cas …

Oui il veut faire du remote desktop.

Oui, via un vpn sur pf, donc … , pas de NAT du tout si DMZ activé ;)

@Nightwolf:

@baalserv:

Pour s'affranchir du double NAT induit par l'ajout d'un 2ème routeur, il suffit d'activé la ''pseudo'' DMZ de la box vers l'ip wan du pf. Cela fonctionne parfaitement et annule les effets de bord du double NAT ^^

A ma connaissance les Livebox Sagem manageables localement acceptent cette configuration, mais les autres box ne se "managent" que via le site web du FAI pour des résultats plus que médiocres (testé la soit disante DMZ sur Freebox V4…). Peut-être ont-ils évolué ça fait un moment que je n'ai pas testé ces box SFR et Free, mais visant le particulier je n'y crois guère.
Bientôt un FAI proposera une box avec un spyware hardware :o

La freebox (Revolution) n'a rien à voir avec les autres box FAI car elle tourne avec un os propriétaire (certe) mais basée sur débian. Elle est donc bien plus stable et performante que les autres à l'exeption d'un problème récurant de température car design par STARK qui aurrai du se contenter de faire des chaises, un ingé aurrai penssé à faire des trous pour la refroidir ^^
Elle est manageable via le site de free (très pratique au demeurant lors d'un changement de box car elle se reconfigure automatiquement) mais aussi via une interface web plutôt complète.

Je confirme et signe mes propos concernant la pseudo DMZ qui fonctionne parfaitement !!

P.S : Je ne travaille pas pour free mais utilise les révolutions à titre perso depuis de nombreuses années pour ma plus grande satisfaction ^^

chris4916

@Nightwolf:

Ce n'est pas le FW qui n'est pas bien ;)
C'est le matériel que le FAI verrouille à sa sauce. Un boitier qui ne peut que se pseudo manager via un site web distant…
En gros du fin fond de l'Australie je décide subitement d'ouvrir un port ou une DMZ... Bah ça marche :o

et donc, concrêtement, que proposes-tu ?

@Nightwolf:

Si je suis au courant de tout ça, mais je me mets à la place de la personne qui n'a aucune connaissance et qui se lance là dedans.
Je vois déjà arriver les maux de tête lorsqu'il faudra nater les ports RDP ou créer un VPN. Et quand ça va moins bien ou plus fonctionner trouver la panne risque d'être compliqué et là le FAI dira c'est chez vous débrouillez-vous. Parce que trouver quelqu'un qui comprend la langue et l'informatique chez les FAI côté particulier c'est presque mission impossible.
Chaque fois que je veux avoir le N2 c'est la galère on y perd un temps fou.

Désactiver le mode routeur sur une Freebox, c'est très simple (avec quelques effets de bord, j'en conviens, mais c'est le bon endroit pour en discuter)
Bien sûr que dan ce cas, tu ne vas pas appeler le support Free ::)
il n'y a pas de NAT en dehors de pfSense dans ce cas.

Mais, je ne cesse de le répéter: quelle est ta solution ? ???

Oui bien sûr il y a une solution élitiste qui consiste à dire "laissons ça aux professionnels de l'informatique" et à tous ceux qui n'y comprennent rien et qui débutent, on peut juste leur dire "de toutes façons, c'est compliqué et vous n'y comprenez rien !"
C'est une position que tu peux défendre et tu ne seras pas le seul dans la section française du forum à le faire.

J'ai un point de vue un peu différent qui consiste à tenter d'expliquer. Ce n'est pas tout le temps simple et la réponse ne tient souvent pas en 2 lignes mais de mon point de vue, c'est plus agréable pour tout le monde.

baalserv

Il n'y à strictement aucun intérer à mettre la freebox en mode bridge plutôt que routeur sauf, à vouloir se créer des problèmes avec les autres services proposé.
J'ai plusieurs services qui répondent derrière ma connexion perso et pourtant la box est en mode routeur, le NAT n'est gérer que sur pf !

@Nightwolf:

Parce que trouver quelqu'un qui comprend la langue et l'informatique chez les FAI côté particulier c'est presque mission impossible.
Chaque fois que je veux avoir le N2 c'est la galère on y perd un temps fou.

Les centre de hotline Free se trouvent en france (héxagone) et ce sont de vrai tech qui répondent aux demandes (oui, oui, ils parlent notre language ) et NON des gugus incompétant qui suivent une check-list sans rien y piger.

Pour la petite histoire, la dernière techniciène Free qui s'est connecter chez moi pour validé le changement de la box (playeur) m'a dis au bout d'une minute : Vous étes du métier vous ! C'est trop propre comme install !
Elle à trouver le wifi de la box couper et ne ''voyez'' que le Pf, le playeur freebox et un NAS freebsd servant à la diffusion de medias en UPNP pour le playeur .

chris4916

@baalserv:

Il n'y à strictement aucun intérer à mettre la freebox en mode bridge plutôt que routeur sauf, à vouloir se créer des problèmes avec les autres services proposé.
J'ai plusieurs services qui répondent derrière ma connexion perso et pourtant la box est en mode routeur, le NAT n'est gérer que sur pf !

Probablement parce que en dépit de ton installation très professionnelle ;) tu ne fais pas d'IPSec.
En mode "pseudo DMZ" comme tu l'appelles, la machine vers laquelle tu rediriges tous les flux entrants (c'est le principe de ce mode) à une IP privée (RFC1819).
L'inconvénient principal du mode bridge, c'est IPTV :-X

Comme toi j'ai des Freebox depuis… 2003 je crois. Et j'ai à peu près tout essayé. Mon installation actuelle n'est pas en mode bridge car mes services entrants utilisent un autre FAI (et le fail-over via le lien Free se satisfait de NAT) mais à une époque, j'étais bien content de disposer de l'IP publique Free sur mon FW :P

Comme je l'ai dis un peu plus haut, il y a souvent plusieurs manières différentes d'obtenir des résultats similaires. La difficulté étant souvent de bien comprendre les avantages et inconvénients de chaque design.

baalserv

@Chris4916

Heu … comment dire ;D Il faut bien une exeption pour confirmer la règle ;) IPSEC en ce cas !

Bien vu, Je fait du Ovpn ^^ 8)