Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Utilisation de FwBuilder avec PfSense

    Français
    6
    31
    14.3k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      olest
      last edited by

      J'adore les gens qui s'aiment s'écouter par leurs délires psychotiques de penser qu'ils sont les rois de la  pétrolette de la sécurité et que le reste du monde ne sont que  de simples cloportes du firewall qui viennent de découvrir PFSENSE ( LA SOLUTION ULTIME).
      Redescends un peu du toit du monde.
      Je ne vois pas pourquoi tu cherche comme ça les honorables personnes qui essaient de t'expliquer que oui ça peut arriver d'avoir plusieurs règles à gérer et que tes alias ne répondent pas à ce soucis.
      Au fait tu me dire pourquoi pfsense mets un temps certains avant d'activer un règle  qui a été envoyé par la superbe interface de gestion.
      Peux-tu m'expliquer aussi pourquoi d'un seul coup pfsense décide de ne plus travailler et se bloque, ainsi que le trafic bien sûr.
      tu vois tout n'est peut-être pas rose dans ce monde.
      Mais ce n'est pas pour ça que je vais dire "pfsense n'est pas bon" car je trouve qu'il y a des bonnes choses dedans mais il mérite de grandir encore un peu et c'est pourquoi une version 2 va arriver et quelle apportera des améliorations.
      Donc je t'en supplie, essaie de comprendre que des gens ont des besoins bien spécifiques et que pfsense ne réponds pas entièrement seul et qu'il faut lui adjoindre d'autres utilitaires pour améliorer la visibilité et l'administration de la sécurité.
      Car si pfsense était si parfait, ne croit-tu pas qu'il serait payant?

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Je n'ai pas géré des sites avec des milliers de règles, j'ai juste été l'un des 2 responsables systèmes et réseau d'une entreprise industrielle européenne de 8000 personnes qui achetait 1500 micros par an.

        Je suis surpris de ce fil par plusieurs aspects :

        • il n'y a pas une once de réflexion sur un normage, sur des procédures sur ce fil. Dans un contexte tel, je peux penser que l'on mettrait en place des procédures d'ouvertures/fermetures d'accès (qui auraient forcément un impact sur le choix du produit).
        • je ne comprends pas qu'on puisse utiliser qu'un seul firewall ou un seul lien internet dans un tel contexte.
        • je ne pense pas que pfSense réponde un jour à une telle problématique : ce n'est pas qu'il n'en soit pas capable mais je choisirais forcément autre chose.
        • depuis 20 ans, j'ai souvent entendu "mes problèmes sont très différents des autres". J'ai (forcément) même dit cela moi-même quand j'étais plus jeune …
        • 1000 micros qui ont, chacun, 30 besoins différents des 999 autres, c'est un bon job !
        • pfSense n'est surement pas fait pour une telle taille.

        Bien sur que si, on a des milliers de règles, le script de filtrage doit être généré par d'autres outils. Mais celui qui est responsable devrait être capable d'en faire l'intégration ...

        Cela dit, la config est un fichier xml, il y a une procédure "filter reload", pfsense comporte un serveur sftp/ssh, FwBuilder génère des scripts. Quelqu'un d'un peu astucieux pourrait faire quelque chose ... Mais je ne pense pas qu'un jour Fwbuilder génèrera SEUL le script de pfSense car pfSense n'est pas qu'un firewall (il a des règles supplémentaires car il a des services internes).

        (Mais ce serait assez stupide AMHA.)

        "Si pfSense était si parfait, il serait payant" : phrase absurde et perverse ! (Sans compter la confusion Free=libre et Free=gratuit !)
        La causalité est loin d'être démontrée. Il est simple de démontrer : si A entraine B alors (non B) entraine (non A). La phrase traduite est "comme pfSense est gratuit alors il n'est pas si parfait" : chacun voit que c'est totalement absurde !

        Il y a 4 cas : "logiciels nuls et payants", "logiciels nuls et gratuits", "logiciels parfaits et payants", "logiciels parfaits et gratuits". Chacun sait qu'il y a des exemples pour chacun de ces cas. La perfection n'est pas de ce monde, je préfère parler d'adéquation. Contrairement à cette phrase, on peut souvent trouver des logiciels adéquats et free.

        PfSense m'a séduit par ses caractéristiques, son interface aisée. Il est bien adapté à des cas simples, pour des entreprises de taille raisonnable, pour des problématiques raisonnables.

        NB : Il y a un "filter reload" : un peu de réflexion peut amener à penser que ce n'est pas instantané de générer le script opérationnel et de l'activer.

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          quelque chose qui puisse surtout authentifier avec un mot de passe et un nom d'utilisateur et que se soit rapide à mettre en place et pas contraignant pour ces utilisateurs

          Mon réseau est très confidentiel je ne peux pas en dire plus

          Notre réseau est très spécifique

          Je veux une sécurité maximum

          Mon responsable dit qu'il faut faire confiance aux utilisateurs

          Petit florilège d'affirmations le plus souvent sans fondement, inexactes et parfois stupides parce que ne correspondant à aucune réflexion réelle. Parfois elles émanent, comme il y a peu de personnes qui prétendent, à les lire, être à la tête de réseaux énormes, des centaines de sites, des milliers d'utilisateurs et de machines mais qui poste ici avec des "problèmes" triviaux (je me souviens d'un à propos de dns qui n'avait rien compris à dnsmask ….).

          Lorsque l'on creuse un peu on ne trouve bien sûr le plus souvent rien d'exceptionnel ou qui mérite d'être traité comme tel.
          Il y a des exceptions mais elles sont rares. Les personnes en charges de ce type de réseau ne postent pas ici, ni ailleurs, pour un problème quelconque de filtrage ou de compréhension de portail captif.
          Des réseaux méritant d'être appréciés comme très particuliers, ayant besoin de la sécurité maximum et de confidentialité sans que ces mots ne soient galvaudés, je pense n'en avoir vu qu'un seul. Encore que divulguer la totalité de son architecture ne mettrait probablement pas le moins du monde en péril sa sécurité.

          1 Reply Last reply Reply Quote 0
          • W
            wpicsou
            last edited by

            Bonsoir à tous,
            je ne suis pas la pour débattre et passer mon temps à écrire des dialogues de sourds comme vous aimez le faire (et vous le faites bien).

            Cependant, je vous propose une chose , ccnet et jdh, je vous invite à me contacter en mp si vous êtes intéressé, je vous fournirais mes coordonnées perso et je m'engage à vous inviter à une petite visite dès que cela sera possible. Ne croyez pas que je vous propose cela afin de vous laisser entendre "venez et vous verrez pas vous même" mais contrairement à ce que vous pensez j'aime discuter, partager sur des solutions techniques complexes permettant de répondre à des besoins particuliers.

            Peut être pensez vous de moi que je "ne suis qu'un stagiaire" par ce que je ne connais pas PfSense ou simplement parce que je n'ai pas comme vous facilité à rédiger clairement le Français et à jouer des mots afin d'appuyer ma pensée. Cependant je peux vous assurer que j'ai rencontré pas mal de personnes qui comme vous se sentez supérieur que ce soit dut à leurs expériences ou à leurs études mais je peux vous garantir qu'au final lorsque que ces personnes se retrouvent devant nos architectures, ça n'est plus nous qui ressemblons à des stagiaires mais bien ces personnes dites "hautement qualifiés" (cissp, chfi, grandes écoles, ingénieur commercial  ;D).

            En espérant, mettre fin à ce débat et pouvoir revenir à des questions techniques de personnes ne connaissant pas cette solution.

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              Dont acte pour que vous me prouviez à quel point votre infrastructure est spécifique. J'aime apprendre.
              Je n'ai jamais douté que vous aimiez discuter.

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                Je vais faire une analogie maritime.

                Cela fait penser à

                • des jeunes apprentis voileux qui,
                • après 3 jours en école,
                • en ayant vu l'optimist, le 320, l'hobie cat 16,
                • se disent qu'avec un Django (7,58m), on peut traverser l'atlantique,
                • mais, ils n'ont ni cartes, ni gps, ni formation/expérience de la navigation hauturière, et n'ont jamais pris le moindre grain …

                La sagesse c'est d'utiliser les outils adaptés dans des contextes pour lesquels ils sont adaptés.

                J'installe pfSense pour des PME jusqu'à 150 micros, avec proxy séparé, en multi-sites, avec une micro dmz (serveur mail relais).
                J'ai la gestion correcte de l'Ipsec multi-sites, de l'OpenVpn en roadwarrior (plus un site derrière une box).
                C'est simple, c'est sain, c'est adapté. Il y a 30 règles en tout. Et ça roule ...

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • O
                  olest
                  last edited by

                  Maintenant je suis d'accord avec vous. Pfsense est fait pour des réseaux d'entreprises de faibles intensités réseaux.
                  Mais la question du départ ce n'était pas de savoir si pfsense était puissant ou pas.
                  la personne (wpicsou) voulait simplement savoir si fwbuider pouvait s'interfacer avec pfsense.
                  Fwbuilder génère des script en pf sous debian.
                  La question est: "est-ce que pfsense sait lire ces scripts?"
                  J'en demande aux spécialistes de pfsense afin d'avoir la réponse tant attendue.
                  merci.

                  1 Reply Last reply Reply Quote 0
                  • J
                    jdh
                    last edited by

                    J'ai donné une piste de réflexion sur ce sujet :

                    pfSense n'est pas qu'un firewall : il propose des services.
                    Comment les gérer ?

                    Mais si on utilise pfSense pour ce qu'il est conçu, il n'y a nul besoin d'apprendre un outil comme fwbuilder. Enfin AMHA.

                    (Je dirais que FwBuilder est surement capable de générer une partie du script pf de pfSense.
                    Mais au lieu de chercher dans le vide, il faudrait aussi penser à l'installation de ce qui serait généré par FwBuilder.
                    Là on a une question théorique sans qu'une vision pratique soit approchée …)

                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                    1 Reply Last reply Reply Quote 0
                    • O
                      olest
                      last edited by

                      Justement vu que personne n'est capable de répondre à wpicsou sur la possibilité d'intégrer fwbuider à pfsense pour avoir une vue graphique plus souple d'emploi, je vais réaliser les tests et de lui dire si c'est possible.
                      Car c'est bien de discuter mais maintenant il faut agir.
                      Malheureusement je laissais venir car je pensais que les admins de pfsense aurait pu répondre assez facilement à cette question.
                      Au vue des non réponses, il apparaît que cette intégration ne se fait pas sans douleur.

                      1 Reply Last reply Reply Quote 0
                      • S
                        siwek
                        last edited by

                        Je suis en train d'intégrer FwBuilder a PfSense. Avez-vous de votre côté réalisé plusieurs test pour configurer fwbuilder? Savez-vous si il est possible avec fwbuilder de convertir une configuration IOS Cisco en pf?

                        1 Reply Last reply Reply Quote 0
                        • S
                          siwek
                          last edited by

                          Donc je me suis renseigner auprès d'un des concepteurs américain de FwBuilder. Il a ainsi pu me renseigner sur l'utilisation de celui-ci au sein de PfSense. Il m'a alors confié que FwBuilder ne fonctionnait pas avec PfSense.

                          Je pense qu'il était important que je vous renseigne pour vous évitez de perdre du temps comme moi j'ai pu le faire.  :-\

                          1 Reply Last reply Reply Quote 0
                          • O
                            olest
                            last edited by

                            merci beaucoup pour la confirmation.
                            j'ai testé et j'ai vu que ce n'était pas possible.
                            Du coup, j'attends avec impatience la sortie de nftable, prévue fin 2009.
                            Pfsense ne me servira que pour les petits réseaux.
                            encore merci.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.