Utilisation de FwBuilder avec PfSense
-
Je n'ai pas géré des sites avec des milliers de règles, j'ai juste été l'un des 2 responsables systèmes et réseau d'une entreprise industrielle européenne de 8000 personnes qui achetait 1500 micros par an.
Je suis surpris de ce fil par plusieurs aspects :
- il n'y a pas une once de réflexion sur un normage, sur des procédures sur ce fil. Dans un contexte tel, je peux penser que l'on mettrait en place des procédures d'ouvertures/fermetures d'accès (qui auraient forcément un impact sur le choix du produit).
- je ne comprends pas qu'on puisse utiliser qu'un seul firewall ou un seul lien internet dans un tel contexte.
- je ne pense pas que pfSense réponde un jour à une telle problématique : ce n'est pas qu'il n'en soit pas capable mais je choisirais forcément autre chose.
- depuis 20 ans, j'ai souvent entendu "mes problèmes sont très différents des autres". J'ai (forcément) même dit cela moi-même quand j'étais plus jeune …
- 1000 micros qui ont, chacun, 30 besoins différents des 999 autres, c'est un bon job !
- pfSense n'est surement pas fait pour une telle taille.
Bien sur que si, on a des milliers de règles, le script de filtrage doit être généré par d'autres outils. Mais celui qui est responsable devrait être capable d'en faire l'intégration ...
Cela dit, la config est un fichier xml, il y a une procédure "filter reload", pfsense comporte un serveur sftp/ssh, FwBuilder génère des scripts. Quelqu'un d'un peu astucieux pourrait faire quelque chose ... Mais je ne pense pas qu'un jour Fwbuilder génèrera SEUL le script de pfSense car pfSense n'est pas qu'un firewall (il a des règles supplémentaires car il a des services internes).
(Mais ce serait assez stupide AMHA.)
"Si pfSense était si parfait, il serait payant" : phrase absurde et perverse ! (Sans compter la confusion Free=libre et Free=gratuit !)
La causalité est loin d'être démontrée. Il est simple de démontrer : si A entraine B alors (non B) entraine (non A). La phrase traduite est "comme pfSense est gratuit alors il n'est pas si parfait" : chacun voit que c'est totalement absurde !Il y a 4 cas : "logiciels nuls et payants", "logiciels nuls et gratuits", "logiciels parfaits et payants", "logiciels parfaits et gratuits". Chacun sait qu'il y a des exemples pour chacun de ces cas. La perfection n'est pas de ce monde, je préfère parler d'adéquation. Contrairement à cette phrase, on peut souvent trouver des logiciels adéquats et free.
PfSense m'a séduit par ses caractéristiques, son interface aisée. Il est bien adapté à des cas simples, pour des entreprises de taille raisonnable, pour des problématiques raisonnables.
NB : Il y a un "filter reload" : un peu de réflexion peut amener à penser que ce n'est pas instantané de générer le script opérationnel et de l'activer.
-
quelque chose qui puisse surtout authentifier avec un mot de passe et un nom d'utilisateur et que se soit rapide à mettre en place et pas contraignant pour ces utilisateurs
Mon réseau est très confidentiel je ne peux pas en dire plus
Notre réseau est très spécifique
Je veux une sécurité maximum
Mon responsable dit qu'il faut faire confiance aux utilisateurs
Petit florilège d'affirmations le plus souvent sans fondement, inexactes et parfois stupides parce que ne correspondant à aucune réflexion réelle. Parfois elles émanent, comme il y a peu de personnes qui prétendent, à les lire, être à la tête de réseaux énormes, des centaines de sites, des milliers d'utilisateurs et de machines mais qui poste ici avec des "problèmes" triviaux (je me souviens d'un à propos de dns qui n'avait rien compris à dnsmask ….).
Lorsque l'on creuse un peu on ne trouve bien sûr le plus souvent rien d'exceptionnel ou qui mérite d'être traité comme tel.
Il y a des exceptions mais elles sont rares. Les personnes en charges de ce type de réseau ne postent pas ici, ni ailleurs, pour un problème quelconque de filtrage ou de compréhension de portail captif.
Des réseaux méritant d'être appréciés comme très particuliers, ayant besoin de la sécurité maximum et de confidentialité sans que ces mots ne soient galvaudés, je pense n'en avoir vu qu'un seul. Encore que divulguer la totalité de son architecture ne mettrait probablement pas le moins du monde en péril sa sécurité. -
Bonsoir à tous,
je ne suis pas la pour débattre et passer mon temps à écrire des dialogues de sourds comme vous aimez le faire (et vous le faites bien).Cependant, je vous propose une chose , ccnet et jdh, je vous invite à me contacter en mp si vous êtes intéressé, je vous fournirais mes coordonnées perso et je m'engage à vous inviter à une petite visite dès que cela sera possible. Ne croyez pas que je vous propose cela afin de vous laisser entendre "venez et vous verrez pas vous même" mais contrairement à ce que vous pensez j'aime discuter, partager sur des solutions techniques complexes permettant de répondre à des besoins particuliers.
Peut être pensez vous de moi que je "ne suis qu'un stagiaire" par ce que je ne connais pas PfSense ou simplement parce que je n'ai pas comme vous facilité à rédiger clairement le Français et à jouer des mots afin d'appuyer ma pensée. Cependant je peux vous assurer que j'ai rencontré pas mal de personnes qui comme vous se sentez supérieur que ce soit dut à leurs expériences ou à leurs études mais je peux vous garantir qu'au final lorsque que ces personnes se retrouvent devant nos architectures, ça n'est plus nous qui ressemblons à des stagiaires mais bien ces personnes dites "hautement qualifiés" (cissp, chfi, grandes écoles, ingénieur commercial ;D).
En espérant, mettre fin à ce débat et pouvoir revenir à des questions techniques de personnes ne connaissant pas cette solution.
-
Dont acte pour que vous me prouviez à quel point votre infrastructure est spécifique. J'aime apprendre.
Je n'ai jamais douté que vous aimiez discuter. -
Je vais faire une analogie maritime.
Cela fait penser à
- des jeunes apprentis voileux qui,
- après 3 jours en école,
- en ayant vu l'optimist, le 320, l'hobie cat 16,
- se disent qu'avec un Django (7,58m), on peut traverser l'atlantique,
- mais, ils n'ont ni cartes, ni gps, ni formation/expérience de la navigation hauturière, et n'ont jamais pris le moindre grain …
La sagesse c'est d'utiliser les outils adaptés dans des contextes pour lesquels ils sont adaptés.
J'installe pfSense pour des PME jusqu'à 150 micros, avec proxy séparé, en multi-sites, avec une micro dmz (serveur mail relais).
J'ai la gestion correcte de l'Ipsec multi-sites, de l'OpenVpn en roadwarrior (plus un site derrière une box).
C'est simple, c'est sain, c'est adapté. Il y a 30 règles en tout. Et ça roule ... -
Maintenant je suis d'accord avec vous. Pfsense est fait pour des réseaux d'entreprises de faibles intensités réseaux.
Mais la question du départ ce n'était pas de savoir si pfsense était puissant ou pas.
la personne (wpicsou) voulait simplement savoir si fwbuider pouvait s'interfacer avec pfsense.
Fwbuilder génère des script en pf sous debian.
La question est: "est-ce que pfsense sait lire ces scripts?"
J'en demande aux spécialistes de pfsense afin d'avoir la réponse tant attendue.
merci. -
J'ai donné une piste de réflexion sur ce sujet :
pfSense n'est pas qu'un firewall : il propose des services.
Comment les gérer ?Mais si on utilise pfSense pour ce qu'il est conçu, il n'y a nul besoin d'apprendre un outil comme fwbuilder. Enfin AMHA.
(Je dirais que FwBuilder est surement capable de générer une partie du script pf de pfSense.
Mais au lieu de chercher dans le vide, il faudrait aussi penser à l'installation de ce qui serait généré par FwBuilder.
Là on a une question théorique sans qu'une vision pratique soit approchée …) -
Justement vu que personne n'est capable de répondre à wpicsou sur la possibilité d'intégrer fwbuider à pfsense pour avoir une vue graphique plus souple d'emploi, je vais réaliser les tests et de lui dire si c'est possible.
Car c'est bien de discuter mais maintenant il faut agir.
Malheureusement je laissais venir car je pensais que les admins de pfsense aurait pu répondre assez facilement à cette question.
Au vue des non réponses, il apparaît que cette intégration ne se fait pas sans douleur. -
Je suis en train d'intégrer FwBuilder a PfSense. Avez-vous de votre côté réalisé plusieurs test pour configurer fwbuilder? Savez-vous si il est possible avec fwbuilder de convertir une configuration IOS Cisco en pf?
-
Donc je me suis renseigner auprès d'un des concepteurs américain de FwBuilder. Il a ainsi pu me renseigner sur l'utilisation de celui-ci au sein de PfSense. Il m'a alors confié que FwBuilder ne fonctionnait pas avec PfSense.
Je pense qu'il était important que je vous renseigne pour vous évitez de perdre du temps comme moi j'ai pu le faire. :-\
-
merci beaucoup pour la confirmation.
j'ai testé et j'ai vu que ce n'était pas possible.
Du coup, j'attends avec impatience la sortie de nftable, prévue fin 2009.
Pfsense ne me servira que pour les petits réseaux.
encore merci.