Utilisation de FwBuilder avec PfSense



  • Bonjour à tous,
    je suis nouveau mais je tiens à préciser que j'ai lu pas mal de documentation et que je continue mes recherches en parallèle à ce topic.

    Je viens d'installer 4 PfSense en FailOver utilisant CARP et 2 autres PfSense fonctionnant chacun sur des machines dédiées.

    Mes équipements étant en production, je ne peux effectuer un test directement dessus.

    J'ai donc installer un équipement sur une plateforme d'essai.

    Ma question est la suivante :

    Ayant le besoin d'ajouter une quantité importante de règles de flux (env 2500 lignes Iptables), mon choix s'est orienté vers l'utilisation de FwBuilder afin d'ajouter facilement mes règles.

    Lorsque je vais envoyer mes règles pour PfSense depuis FwBuilder , celui ci va t-il écraser les règles précédentes ? (je pense que oui).

    Dans ce cas, les règles "d'administration" seront elles écrasées ou sont elles stockés dans un fichier de configuration ? (Vous connaissez le chemin d'accès à ce fichier ?)

    Certains d'entre vous utilise FwBuilder + PfSense ?
    Des remarques , liens ,tuto ,problèmes ?

    Merci pour vos éventuelles réponses et bonne continuation à tous.

    ps:dsl pour les fautes d'orthographe, je fais de mon mieux.



  • Ayant le besoin d'ajouter une quantité importante de règles de flux (env 2500 lignes Iptables), mon choix s'est orienté vers l'utilisation de FwBuilder afin d'ajouter facilement mes règles.

    Pfsense n'utilise pas iptables mais pf. Pensez y.

    J'ai acheté FwBuider dans ce but mais je n'ai pas encore eu le temps de tester.



  • Merci pour ces infos. A noter que je remplace un équipement utilisant Iptables par un équipement sous PFSense.

    Je suis impatient de savoir si tu arrive a utiliser FwBuilder avec PfSense notamment en utilisant CARPS !



  • Il y a une chose que je ne comprend pas bien. Comment peut on avoir besoin d'ajouter plusieurs milliers de règles dans un firewall ?

    Dans ce cas, les règles "d'administration" seront elles écrasées ou sont elles stockés dans un fichier de configuration ? (Vous connaissez le chemin d'accès à ce fichier ?)

    Il est facile d'accéder au fichier décrivant les règles. C'est un fichier XML qu'il est facile de downloader : "Diagnostics: Backup/restore" choisir "Firawall Rules" dans backup area puis cliquer le bouton "download".



  • Ce qui séduit à l'utilisation de pfSense, ce sont ses multiples capacités et l'intégration de celles-ci sous une interface web assez homogène.

    • CARP permet, en quelques minutes, de faire du failover en toute simplicité.
    • les règles sont faciles à créer, surtout si on utilise les alias.

    J'arrive difficilement à rédiger plus de 30 lignes de règles pour un firewall (même s'il s'agit de petites sociétés).

    Aussi je suis surpris de lire 2500 lignes d'iptables. Il y a forcément plus de risque d'erreurs avec 2500 lignes qu'avec 30 lignes.
    Je crois qu'il faut impérativement regarder du côté des alias …



  • @ccnet:

    Il y a une chose que je ne comprend pas bien. Comment peut on avoir besoin d'ajouter plusieurs milliers de règles dans un firewall ?

    Dans ce cas, les règles "d'administration" seront elles écrasées ou sont elles stockés dans un fichier de configuration ? (Vous connaissez le chemin d'accès à ce fichier ?)

    Il est facile d'accéder au fichier décrivant les règles. C'est un fichier XML qu'il est facile de downloader : "Diagnostics: Backup/restore" choisir "Firawall Rules" dans backup area puis cliquer le bouton "download".

    Merci pour ta réponse à ma question.
    Concernant le besoin d'ajouter plusieurs milliers de règles, suffit d'avoir plusieurs milliers de chaque cotés de l'équipement.



  • Plusieurs milliers de quoi ?



  • Deja entre iptables et pf on divise le nombre de regles par deux car pas besoin d'écrire la regle retour  ;D
    Ensuite, pour ma part j'ai également des firewall avec un nombre élevé de rules (>500, 10 interfaces avec 50 rules ca va vite) mais dans de très rares cas et sur des infras assez volumineuses (>50 000sessions/s).



  • J'ajouterais que les Iptables sont dits "statefull" ce qui implique qu'un flux autorisé dans un sens le sera en retour. (Du moins c'est le cas sur la version que j'utilise …)

    Bonne continuation et merci pour ces discutions intéressantes sur ce forum. Je vois que je ne suis pas seul à passer du temps à faire de l'ouverture de flux.

    ;D



  • @wpicsou:

    @ccnet:

    Il y a une chose que je ne comprend pas bien. Comment peut on avoir besoin d'ajouter plusieurs milliers de règles dans un firewall ?

    Dans ce cas, les règles "d'administration" seront elles écrasées ou sont elles stockés dans un fichier de configuration ? (Vous connaissez le chemin d'accès à ce fichier ?)

    Il est facile d'accéder au fichier décrivant les règles. C'est un fichier XML qu'il est facile de downloader : "Diagnostics: Backup/restore" choisir "Firawall Rules" dans backup area puis cliquer le bouton "download".

    Merci pour ta réponse à ma question.
    Concernant le besoin d'ajouter plusieurs milliers de règles, suffit d'avoir plusieurs milliers de chaque cotés de l'équipement.

    Je repose ma question : plusieurs milliers de quoi ?



  • je ne comprends pas ce que tu veux dire.

    C'est le fait que j'ai plusieurs milliers de lignes dans un firewall que tu ne comprends pas ?



  • Non, cette phrase :

    Concernant le besoin d'ajouter plusieurs milliers de règles, suffit d'avoir plusieurs milliers de chaque cotés de l'équipement.

    Plusieurs milliers de quoi ?



  • A ok désolé (erreur de frappe).
    Plusieurs milliers d'utilisateurs de part et d'autres de l'équipement.

    :)



  • Même avec plusieurs milliers d'utilisateurs, je n'ai jamais eu besoin de milliers de règles pour configurer correctement un firewall. JDH vous l'a indiqué, il y a sans doute quelque chose à faire du coté des alias. Je serai curieux de voir comment vous écrivez vos règles. Tout cela me laisse dubitatif.



  • Des centaines de clients sur des centaines d'applications métiers différentes, avec du nattage / filtrage, création d'alias,etc.
    Je parle de mon expérience Iptables.



  • Pour iptables j'entendais par regle retour la nécessité d'expliciter sur la chaine FORWARD la validation des etats avec les macros allow_request et allow_reply.
    ;)



  • Re,
    je n'ai pas pu travailler sur ce sujet, je relance donc la question au cas ou quelqu'un a eu du nouveau.

    L'utilisation de FwBuilder fonctionne bien sur PfSense ? Tuto ? exemple ?

    Utilisez-vous un autre logiciel afin de préparer vos règles de flux que l'interface Web (très complète) ?

    Merci

    pour info: J'ai par habitude de rechercher avant de demander donc les réponses style "google est ton ami", etc ne servent à rien et de plus (c'est mon avis) alourdissent les post et appauvrissent le contenu.



  • Bonjour messieurs,

    Je pense que pour certains, avoir des milliers de règles n'est pas possible.
    Je dirais oui pour une entreprise qui ne possède que très peu de machines (1000) et que l'ouverture des règles est assez larges (ouverture au réseau) avec en plus qu'une trentaine de ports qui se battent en duel.
    Mais dés que vous avez un maillage de plusieurs sites avec quelques machines (100000) et que l'ouverture des règles peut aller à la machine près avec quelques milliers de ports qui se battent en duel, vous comprendrez fort bien que le milliers de règles arrivent vite.
    Donc je dirais oui c'est possible d'avoir des milliers de règles à gérer et donc de passer par une solution graphique du genre fwbuilder par rapport à la tristounette appli web de pfsense.
    Pfsense est très bon pour le cluster mais pêche énormément dans l'administration du filtrage.
    y a t-il quelqu'un qui peux répondre à la question, comment interfacer fwbuider avec pfsense?



  • Les milliers de machines, les milliers de ports, … cela me fait sourire ! (moi aussi j'ai été jeune, et stagiaire, et tout ...)

    D'abord, il existe les alias, ce qui simplifie énormément l'écriture des règles. Avant de rigoler, il serait bon d'essayer ...
    Deuxièmement, si tel était le cas, je peux imaginer que le repérage de règles est FORCEMENT documenté et normé pour un tel contexte, et qu'il vaudrait mieux s'appuyer sur cela.
    Troisièmement, je lis que fwbuilder sait générer des script pour pf ... MAIS personne n'en a parlé, et cela ne peut être suffisant car pfSense est une "solution complète tout en un".

    Il faut peut-être observer que pfSense n'est pas qu'un firewall !

    Il est illusoire de

    • penser générer MIEUX des règles avec fwbuilder,
    • penser que la "génération fwbuilder" se mélangerait HARMONIEUSEMENT et AISEMENT avec le CONTEXTE pfsense.

    (Juste un exemple : comment gérer la case "Disable webGUI anti-lockout rule" dans fwBuilder ?)

    Il est risible de lire "interface tristounette" : ce qui compte dans un firewall, ce n'est pas la règle elle-même ni son interface de saisie, c'est la politique définie et encore plus la procédure de mise en oeuvre et surtout la rigueur d'exécution (par exemple la suppression des règles devenues inutiles). (clickodrome quand tu nous tiens ...)

    Enfin c'est mon avis, et je le partage.



  • J'adore les gens qui s'aiment s'écouter par leurs délires psychotiques de penser qu'ils sont les rois de la  pétrolette de la sécurité et que le reste du monde ne sont que  de simples cloportes du firewall qui viennent de découvrir PFSENSE ( LA SOLUTION ULTIME).
    Redescends un peu du toit du monde.
    Je ne vois pas pourquoi tu cherche comme ça les honorables personnes qui essaient de t'expliquer que oui ça peut arriver d'avoir plusieurs règles à gérer et que tes alias ne répondent pas à ce soucis.
    Au fait tu me dire pourquoi pfsense mets un temps certains avant d'activer un règle  qui a été envoyé par la superbe interface de gestion.
    Peux-tu m'expliquer aussi pourquoi d'un seul coup pfsense décide de ne plus travailler et se bloque, ainsi que le trafic bien sûr.
    tu vois tout n'est peut-être pas rose dans ce monde.
    Mais ce n'est pas pour ça que je vais dire "pfsense n'est pas bon" car je trouve qu'il y a des bonnes choses dedans mais il mérite de grandir encore un peu et c'est pourquoi une version 2 va arriver et quelle apportera des améliorations.
    Donc je t'en supplie, essaie de comprendre que des gens ont des besoins bien spécifiques et que pfsense ne réponds pas entièrement seul et qu'il faut lui adjoindre d'autres utilitaires pour améliorer la visibilité et l'administration de la sécurité.
    Car si pfsense était si parfait, ne croit-tu pas qu'il serait payant?



  • Je n'ai pas géré des sites avec des milliers de règles, j'ai juste été l'un des 2 responsables systèmes et réseau d'une entreprise industrielle européenne de 8000 personnes qui achetait 1500 micros par an.

    Je suis surpris de ce fil par plusieurs aspects :

    • il n'y a pas une once de réflexion sur un normage, sur des procédures sur ce fil. Dans un contexte tel, je peux penser que l'on mettrait en place des procédures d'ouvertures/fermetures d'accès (qui auraient forcément un impact sur le choix du produit).
    • je ne comprends pas qu'on puisse utiliser qu'un seul firewall ou un seul lien internet dans un tel contexte.
    • je ne pense pas que pfSense réponde un jour à une telle problématique : ce n'est pas qu'il n'en soit pas capable mais je choisirais forcément autre chose.
    • depuis 20 ans, j'ai souvent entendu "mes problèmes sont très différents des autres". J'ai (forcément) même dit cela moi-même quand j'étais plus jeune …
    • 1000 micros qui ont, chacun, 30 besoins différents des 999 autres, c'est un bon job !
    • pfSense n'est surement pas fait pour une telle taille.

    Bien sur que si, on a des milliers de règles, le script de filtrage doit être généré par d'autres outils. Mais celui qui est responsable devrait être capable d'en faire l'intégration ...

    Cela dit, la config est un fichier xml, il y a une procédure "filter reload", pfsense comporte un serveur sftp/ssh, FwBuilder génère des scripts. Quelqu'un d'un peu astucieux pourrait faire quelque chose ... Mais je ne pense pas qu'un jour Fwbuilder génèrera SEUL le script de pfSense car pfSense n'est pas qu'un firewall (il a des règles supplémentaires car il a des services internes).

    (Mais ce serait assez stupide AMHA.)

    "Si pfSense était si parfait, il serait payant" : phrase absurde et perverse ! (Sans compter la confusion Free=libre et Free=gratuit !)
    La causalité est loin d'être démontrée. Il est simple de démontrer : si A entraine B alors (non B) entraine (non A). La phrase traduite est "comme pfSense est gratuit alors il n'est pas si parfait" : chacun voit que c'est totalement absurde !

    Il y a 4 cas : "logiciels nuls et payants", "logiciels nuls et gratuits", "logiciels parfaits et payants", "logiciels parfaits et gratuits". Chacun sait qu'il y a des exemples pour chacun de ces cas. La perfection n'est pas de ce monde, je préfère parler d'adéquation. Contrairement à cette phrase, on peut souvent trouver des logiciels adéquats et free.

    PfSense m'a séduit par ses caractéristiques, son interface aisée. Il est bien adapté à des cas simples, pour des entreprises de taille raisonnable, pour des problématiques raisonnables.

    NB : Il y a un "filter reload" : un peu de réflexion peut amener à penser que ce n'est pas instantané de générer le script opérationnel et de l'activer.



  • quelque chose qui puisse surtout authentifier avec un mot de passe et un nom d'utilisateur et que se soit rapide à mettre en place et pas contraignant pour ces utilisateurs

    Mon réseau est très confidentiel je ne peux pas en dire plus

    Notre réseau est très spécifique

    Je veux une sécurité maximum

    Mon responsable dit qu'il faut faire confiance aux utilisateurs

    Petit florilège d'affirmations le plus souvent sans fondement, inexactes et parfois stupides parce que ne correspondant à aucune réflexion réelle. Parfois elles émanent, comme il y a peu de personnes qui prétendent, à les lire, être à la tête de réseaux énormes, des centaines de sites, des milliers d'utilisateurs et de machines mais qui poste ici avec des "problèmes" triviaux (je me souviens d'un à propos de dns qui n'avait rien compris à dnsmask ….).

    Lorsque l'on creuse un peu on ne trouve bien sûr le plus souvent rien d'exceptionnel ou qui mérite d'être traité comme tel.
    Il y a des exceptions mais elles sont rares. Les personnes en charges de ce type de réseau ne postent pas ici, ni ailleurs, pour un problème quelconque de filtrage ou de compréhension de portail captif.
    Des réseaux méritant d'être appréciés comme très particuliers, ayant besoin de la sécurité maximum et de confidentialité sans que ces mots ne soient galvaudés, je pense n'en avoir vu qu'un seul. Encore que divulguer la totalité de son architecture ne mettrait probablement pas le moins du monde en péril sa sécurité.



  • Bonsoir à tous,
    je ne suis pas la pour débattre et passer mon temps à écrire des dialogues de sourds comme vous aimez le faire (et vous le faites bien).

    Cependant, je vous propose une chose , ccnet et jdh, je vous invite à me contacter en mp si vous êtes intéressé, je vous fournirais mes coordonnées perso et je m'engage à vous inviter à une petite visite dès que cela sera possible. Ne croyez pas que je vous propose cela afin de vous laisser entendre "venez et vous verrez pas vous même" mais contrairement à ce que vous pensez j'aime discuter, partager sur des solutions techniques complexes permettant de répondre à des besoins particuliers.

    Peut être pensez vous de moi que je "ne suis qu'un stagiaire" par ce que je ne connais pas PfSense ou simplement parce que je n'ai pas comme vous facilité à rédiger clairement le Français et à jouer des mots afin d'appuyer ma pensée. Cependant je peux vous assurer que j'ai rencontré pas mal de personnes qui comme vous se sentez supérieur que ce soit dut à leurs expériences ou à leurs études mais je peux vous garantir qu'au final lorsque que ces personnes se retrouvent devant nos architectures, ça n'est plus nous qui ressemblons à des stagiaires mais bien ces personnes dites "hautement qualifiés" (cissp, chfi, grandes écoles, ingénieur commercial  ;D).

    En espérant, mettre fin à ce débat et pouvoir revenir à des questions techniques de personnes ne connaissant pas cette solution.



  • Dont acte pour que vous me prouviez à quel point votre infrastructure est spécifique. J'aime apprendre.
    Je n'ai jamais douté que vous aimiez discuter.



  • Je vais faire une analogie maritime.

    Cela fait penser à

    • des jeunes apprentis voileux qui,
    • après 3 jours en école,
    • en ayant vu l'optimist, le 320, l'hobie cat 16,
    • se disent qu'avec un Django (7,58m), on peut traverser l'atlantique,
    • mais, ils n'ont ni cartes, ni gps, ni formation/expérience de la navigation hauturière, et n'ont jamais pris le moindre grain …

    La sagesse c'est d'utiliser les outils adaptés dans des contextes pour lesquels ils sont adaptés.

    J'installe pfSense pour des PME jusqu'à 150 micros, avec proxy séparé, en multi-sites, avec une micro dmz (serveur mail relais).
    J'ai la gestion correcte de l'Ipsec multi-sites, de l'OpenVpn en roadwarrior (plus un site derrière une box).
    C'est simple, c'est sain, c'est adapté. Il y a 30 règles en tout. Et ça roule ...



  • Maintenant je suis d'accord avec vous. Pfsense est fait pour des réseaux d'entreprises de faibles intensités réseaux.
    Mais la question du départ ce n'était pas de savoir si pfsense était puissant ou pas.
    la personne (wpicsou) voulait simplement savoir si fwbuider pouvait s'interfacer avec pfsense.
    Fwbuilder génère des script en pf sous debian.
    La question est: "est-ce que pfsense sait lire ces scripts?"
    J'en demande aux spécialistes de pfsense afin d'avoir la réponse tant attendue.
    merci.



  • J'ai donné une piste de réflexion sur ce sujet :

    pfSense n'est pas qu'un firewall : il propose des services.
    Comment les gérer ?

    Mais si on utilise pfSense pour ce qu'il est conçu, il n'y a nul besoin d'apprendre un outil comme fwbuilder. Enfin AMHA.

    (Je dirais que FwBuilder est surement capable de générer une partie du script pf de pfSense.
    Mais au lieu de chercher dans le vide, il faudrait aussi penser à l'installation de ce qui serait généré par FwBuilder.
    Là on a une question théorique sans qu'une vision pratique soit approchée …)



  • Justement vu que personne n'est capable de répondre à wpicsou sur la possibilité d'intégrer fwbuider à pfsense pour avoir une vue graphique plus souple d'emploi, je vais réaliser les tests et de lui dire si c'est possible.
    Car c'est bien de discuter mais maintenant il faut agir.
    Malheureusement je laissais venir car je pensais que les admins de pfsense aurait pu répondre assez facilement à cette question.
    Au vue des non réponses, il apparaît que cette intégration ne se fait pas sans douleur.



  • Je suis en train d'intégrer FwBuilder a PfSense. Avez-vous de votre côté réalisé plusieurs test pour configurer fwbuilder? Savez-vous si il est possible avec fwbuilder de convertir une configuration IOS Cisco en pf?



  • Donc je me suis renseigner auprès d'un des concepteurs américain de FwBuilder. Il a ainsi pu me renseigner sur l'utilisation de celui-ci au sein de PfSense. Il m'a alors confié que FwBuilder ne fonctionnait pas avec PfSense.

    Je pense qu'il était important que je vous renseigne pour vous évitez de perdre du temps comme moi j'ai pu le faire.  :-\



  • merci beaucoup pour la confirmation.
    j'ai testé et j'ai vu que ce n'était pas possible.
    Du coup, j'attends avec impatience la sortie de nftable, prévue fin 2009.
    Pfsense ne me servira que pour les petits réseaux.
    encore merci.


Log in to reply