Utilisation de FwBuilder avec PfSense
-
Bonjour à tous,
je suis nouveau mais je tiens à préciser que j'ai lu pas mal de documentation et que je continue mes recherches en parallèle à ce topic.Je viens d'installer 4 PfSense en FailOver utilisant CARP et 2 autres PfSense fonctionnant chacun sur des machines dédiées.
Mes équipements étant en production, je ne peux effectuer un test directement dessus.
J'ai donc installer un équipement sur une plateforme d'essai.
Ma question est la suivante :
Ayant le besoin d'ajouter une quantité importante de règles de flux (env 2500 lignes Iptables), mon choix s'est orienté vers l'utilisation de FwBuilder afin d'ajouter facilement mes règles.
Lorsque je vais envoyer mes règles pour PfSense depuis FwBuilder , celui ci va t-il écraser les règles précédentes ? (je pense que oui).
Dans ce cas, les règles "d'administration" seront elles écrasées ou sont elles stockés dans un fichier de configuration ? (Vous connaissez le chemin d'accès à ce fichier ?)
Certains d'entre vous utilise FwBuilder + PfSense ?
Des remarques , liens ,tuto ,problèmes ?Merci pour vos éventuelles réponses et bonne continuation à tous.
ps:dsl pour les fautes d'orthographe, je fais de mon mieux.
-
Ayant le besoin d'ajouter une quantité importante de règles de flux (env 2500 lignes Iptables), mon choix s'est orienté vers l'utilisation de FwBuilder afin d'ajouter facilement mes règles.
Pfsense n'utilise pas iptables mais pf. Pensez y.
J'ai acheté FwBuider dans ce but mais je n'ai pas encore eu le temps de tester.
-
Merci pour ces infos. A noter que je remplace un équipement utilisant Iptables par un équipement sous PFSense.
Je suis impatient de savoir si tu arrive a utiliser FwBuilder avec PfSense notamment en utilisant CARPS !
-
Il y a une chose que je ne comprend pas bien. Comment peut on avoir besoin d'ajouter plusieurs milliers de règles dans un firewall ?
Dans ce cas, les règles "d'administration" seront elles écrasées ou sont elles stockés dans un fichier de configuration ? (Vous connaissez le chemin d'accès à ce fichier ?)
Il est facile d'accéder au fichier décrivant les règles. C'est un fichier XML qu'il est facile de downloader : "Diagnostics: Backup/restore" choisir "Firawall Rules" dans backup area puis cliquer le bouton "download".
-
Ce qui séduit à l'utilisation de pfSense, ce sont ses multiples capacités et l'intégration de celles-ci sous une interface web assez homogène.
- CARP permet, en quelques minutes, de faire du failover en toute simplicité.
- les règles sont faciles à créer, surtout si on utilise les alias.
J'arrive difficilement à rédiger plus de 30 lignes de règles pour un firewall (même s'il s'agit de petites sociétés).
Aussi je suis surpris de lire 2500 lignes d'iptables. Il y a forcément plus de risque d'erreurs avec 2500 lignes qu'avec 30 lignes.
Je crois qu'il faut impérativement regarder du côté des alias … -
Il y a une chose que je ne comprend pas bien. Comment peut on avoir besoin d'ajouter plusieurs milliers de règles dans un firewall ?
Dans ce cas, les règles "d'administration" seront elles écrasées ou sont elles stockés dans un fichier de configuration ? (Vous connaissez le chemin d'accès à ce fichier ?)
Il est facile d'accéder au fichier décrivant les règles. C'est un fichier XML qu'il est facile de downloader : "Diagnostics: Backup/restore" choisir "Firawall Rules" dans backup area puis cliquer le bouton "download".
Merci pour ta réponse à ma question.
Concernant le besoin d'ajouter plusieurs milliers de règles, suffit d'avoir plusieurs milliers de chaque cotés de l'équipement. -
Plusieurs milliers de quoi ?
-
Deja entre iptables et pf on divise le nombre de regles par deux car pas besoin d'écrire la regle retour ;D
Ensuite, pour ma part j'ai également des firewall avec un nombre élevé de rules (>500, 10 interfaces avec 50 rules ca va vite) mais dans de très rares cas et sur des infras assez volumineuses (>50 000sessions/s). -
J'ajouterais que les Iptables sont dits "statefull" ce qui implique qu'un flux autorisé dans un sens le sera en retour. (Du moins c'est le cas sur la version que j'utilise …)
Bonne continuation et merci pour ces discutions intéressantes sur ce forum. Je vois que je ne suis pas seul à passer du temps à faire de l'ouverture de flux.
;D
-
Il y a une chose que je ne comprend pas bien. Comment peut on avoir besoin d'ajouter plusieurs milliers de règles dans un firewall ?
Dans ce cas, les règles "d'administration" seront elles écrasées ou sont elles stockés dans un fichier de configuration ? (Vous connaissez le chemin d'accès à ce fichier ?)
Il est facile d'accéder au fichier décrivant les règles. C'est un fichier XML qu'il est facile de downloader : "Diagnostics: Backup/restore" choisir "Firawall Rules" dans backup area puis cliquer le bouton "download".
Merci pour ta réponse à ma question.
Concernant le besoin d'ajouter plusieurs milliers de règles, suffit d'avoir plusieurs milliers de chaque cotés de l'équipement.Je repose ma question : plusieurs milliers de quoi ?
-
je ne comprends pas ce que tu veux dire.
C'est le fait que j'ai plusieurs milliers de lignes dans un firewall que tu ne comprends pas ?
-
Non, cette phrase :
Concernant le besoin d'ajouter plusieurs milliers de règles, suffit d'avoir plusieurs milliers de chaque cotés de l'équipement.
Plusieurs milliers de quoi ?
-
A ok désolé (erreur de frappe).
Plusieurs milliers d'utilisateurs de part et d'autres de l'équipement.:)
-
Même avec plusieurs milliers d'utilisateurs, je n'ai jamais eu besoin de milliers de règles pour configurer correctement un firewall. JDH vous l'a indiqué, il y a sans doute quelque chose à faire du coté des alias. Je serai curieux de voir comment vous écrivez vos règles. Tout cela me laisse dubitatif.
-
Des centaines de clients sur des centaines d'applications métiers différentes, avec du nattage / filtrage, création d'alias,etc.
Je parle de mon expérience Iptables. -
Pour iptables j'entendais par regle retour la nécessité d'expliciter sur la chaine FORWARD la validation des etats avec les macros allow_request et allow_reply.
;) -
Re,
je n'ai pas pu travailler sur ce sujet, je relance donc la question au cas ou quelqu'un a eu du nouveau.L'utilisation de FwBuilder fonctionne bien sur PfSense ? Tuto ? exemple ?
Utilisez-vous un autre logiciel afin de préparer vos règles de flux que l'interface Web (très complète) ?
Merci
pour info: J'ai par habitude de rechercher avant de demander donc les réponses style "google est ton ami", etc ne servent à rien et de plus (c'est mon avis) alourdissent les post et appauvrissent le contenu.
-
Bonjour messieurs,
Je pense que pour certains, avoir des milliers de règles n'est pas possible.
Je dirais oui pour une entreprise qui ne possède que très peu de machines (1000) et que l'ouverture des règles est assez larges (ouverture au réseau) avec en plus qu'une trentaine de ports qui se battent en duel.
Mais dés que vous avez un maillage de plusieurs sites avec quelques machines (100000) et que l'ouverture des règles peut aller à la machine près avec quelques milliers de ports qui se battent en duel, vous comprendrez fort bien que le milliers de règles arrivent vite.
Donc je dirais oui c'est possible d'avoir des milliers de règles à gérer et donc de passer par une solution graphique du genre fwbuilder par rapport à la tristounette appli web de pfsense.
Pfsense est très bon pour le cluster mais pêche énormément dans l'administration du filtrage.
y a t-il quelqu'un qui peux répondre à la question, comment interfacer fwbuider avec pfsense? -
Les milliers de machines, les milliers de ports, … cela me fait sourire ! (moi aussi j'ai été jeune, et stagiaire, et tout ...)
D'abord, il existe les alias, ce qui simplifie énormément l'écriture des règles. Avant de rigoler, il serait bon d'essayer ...
Deuxièmement, si tel était le cas, je peux imaginer que le repérage de règles est FORCEMENT documenté et normé pour un tel contexte, et qu'il vaudrait mieux s'appuyer sur cela.
Troisièmement, je lis que fwbuilder sait générer des script pour pf ... MAIS personne n'en a parlé, et cela ne peut être suffisant car pfSense est une "solution complète tout en un".Il faut peut-être observer que pfSense n'est pas qu'un firewall !
Il est illusoire de
- penser générer MIEUX des règles avec fwbuilder,
- penser que la "génération fwbuilder" se mélangerait HARMONIEUSEMENT et AISEMENT avec le CONTEXTE pfsense.
(Juste un exemple : comment gérer la case "Disable webGUI anti-lockout rule" dans fwBuilder ?)
Il est risible de lire "interface tristounette" : ce qui compte dans un firewall, ce n'est pas la règle elle-même ni son interface de saisie, c'est la politique définie et encore plus la procédure de mise en oeuvre et surtout la rigueur d'exécution (par exemple la suppression des règles devenues inutiles). (clickodrome quand tu nous tiens ...)
Enfin c'est mon avis, et je le partage.
-
J'adore les gens qui s'aiment s'écouter par leurs délires psychotiques de penser qu'ils sont les rois de la pétrolette de la sécurité et que le reste du monde ne sont que de simples cloportes du firewall qui viennent de découvrir PFSENSE ( LA SOLUTION ULTIME).
Redescends un peu du toit du monde.
Je ne vois pas pourquoi tu cherche comme ça les honorables personnes qui essaient de t'expliquer que oui ça peut arriver d'avoir plusieurs règles à gérer et que tes alias ne répondent pas à ce soucis.
Au fait tu me dire pourquoi pfsense mets un temps certains avant d'activer un règle qui a été envoyé par la superbe interface de gestion.
Peux-tu m'expliquer aussi pourquoi d'un seul coup pfsense décide de ne plus travailler et se bloque, ainsi que le trafic bien sûr.
tu vois tout n'est peut-être pas rose dans ce monde.
Mais ce n'est pas pour ça que je vais dire "pfsense n'est pas bon" car je trouve qu'il y a des bonnes choses dedans mais il mérite de grandir encore un peu et c'est pourquoi une version 2 va arriver et quelle apportera des améliorations.
Donc je t'en supplie, essaie de comprendre que des gens ont des besoins bien spécifiques et que pfsense ne réponds pas entièrement seul et qu'il faut lui adjoindre d'autres utilitaires pour améliorer la visibilité et l'administration de la sécurité.
Car si pfsense était si parfait, ne croit-tu pas qu'il serait payant?