Fichier de configuration
-
Bonjour à tous,
Je suis depuis quelques jours à la recherche des fichiers de configuration de PfSense. J'ai pu remarquer qu'il y avait bien évidemment un fichier de conf globale en .xml, maintenant je me demande si dans le shell de PfSense, il existe un fichier de configuration en .txt, comme sur les Cisco par exemple.
Je vous remercie par avance,
Siwek
-
Oui et non.
Le fichier XML représente la configuration globale de la machine pfsense. Le code de pfsense utilise ce fichier afin de générer le fichier de configuration du firewall (pf) entre autres. La configuration du firewall pf peut être lue dans /tmp/rules.debug. -
Je te remercie pour cette information.
J'avais bien remarquer ce fichier de conf "rules.debug", mais il ne m'avait pas l'air aussi complet que le config.xml. D'après toi, ce fichier "rules.debug" est-il aussi complet que config.xml? Puis-je me baser sur ce fichier pour modifier ma configuration de pfsense?
-
le config.xml contient TOUTE la configuration de pfsense donc plus de choses que la configuration du filtre de paquet.
Si vous voulez manipuler pf en ligne de commande il y a le PHP SHELL (option 12 au shell) -
Pourquoi ouvrir un nouveau fil sur strictement le même sujet que http://forum.pfsense.org/index.php/topic,17452.0.html ?
pfSense a une philosophie radicalement opposée à Cisco. C'est comme ça !
Vous prenez pfSense ou Cisco mais n'essayer pas de faire du Cisco avec pfSense !Je me demande vraiment ce qui tourne dans les têtes : faire des règles en ligne de commande, faire du fwbuilder pour piloter pfSense, …
Ah bon, avec mon googlephone, pourquoi ne pourrais pas configurer les liens ipsec de mes pfSense ?
Puis, il y a une profonde méconnaissance des alias qui permet de simplifier l'écriture des règles ...
(oui, je suis ronchon mais stop)
-
Tu m'as très mal compris dans la relation que je liais entre Cisco et PfSense. En ce qui concerne les alias, je sais très bien leur rôle j'ai même déployer cette fonctionnalité afin d'améliorer la gestion de mes règles. Je ne trouve donc pas tes remarques très fonder.
Je pose surement pour toi des questions qui n'ont aucune utilité, qui te semble absurde. Maintenant je suis la car j'ai envie d'apprendre et non pas pour me faire envoyer sur les roses comme tu essayes de le faire.
-
Visiblement, je ne suis pas compris. Et je ne comprendrais pas ce que vous voulez ?
Et bien, je dis que pfSense est un firewall "tout en un" comme n'importe quel IPCOP, Untangle, Clarkconnect, ou n'importe quel appliance .
La caractéristique la plus étonnante de pfSense c'est sa programmation "tout php".
Pour moi, qui travaille avec des firewalls de tout type et toute marque depuis 10 ans, je suis séduis par l'efficacité de mise en oeuvre
ainsi que tout ce qui est déjà disponible à partir de son interface bien conçue.AMHA, il y a un ensemble très complet avec d'immenses possibilités. Mais quelque chose m'aurait échappé ?
Aussi, vous m'excuserez, mais moi, je ne comprends pas
- que l'on veuille "faire mieux" avec fwbuilder,
- que l'on veuille "faire mieux" en ligne de commande,
- que l'on veuille faire des milliers de règles, …
Est ce que vous pouvez nous dire SUR QUELLE BASE vous escomptez faire mieux en ligne de commande ?
Ou pour QUEL BESOIN ?De toute façon, c'est la motivation de votre demande qui fait qu'elle n'est pas comprise ...
-
Je ne remet pas en cause votre travail, loin de moi cette idée. Vous savez cela arrive que deux personnes ne se comprennent pas. Il n'est cependant pas nécessaire de partir dans des débats qui n'ont aucune utilité.
-
que l'on veuille "faire mieux" avec fwbuilder" ==> Je n'ai jamais voulu faire mieux avec FwBuilder. Si vous vous êtes renseigner, FwBuilder permet de traduire des règles de plusieurs types, Cisco, pf, … Je ne connaissais pas FwBuilder je me suis donc permise ( grande erreur de ma part apparemment) de vous poser la question avant de me lancer dans les démarches. Je n'ai malheureusement pas trouvée les réponses que j'attendais sur le forum bien au contraire.
-
que l'on veuille "faire mieux" en ligne de commande ==> Encore une fois, je n'ai jamais voulu dire sa. Dans mon travail, j'aime bien maitriser un environnement de A-Z. Même si sous PfSense, être sous ligne de commande n'est d'aucune utilité, je trouve intéressant de rester ouvert afin de connaitre au mieux son firewall. De ce fait, cette question n'était là que pour informations. (Excusez moi encore de vouloir m'informer)
-
que l'on veuille faire des millier de règles ==> Ce n'est pas moi qui est poster ce message. Je me suis juste permise d'intervenir. Merci de ne pas généraliser
En effet, vous avez d'importantes connaissances sur PfSense, je ne pourrais pas dire le contraire et je ne le veux pas. Je suis ici car j'apprécie que des personnes avec autant de connaissances souhaitent partager leur savoir sur PfSense. De ce fait, j'espère que sa continuera.
-
-
Toutes les remarques ne vous concernent pas, c'est bien mon esprit : vous c'est "la ligne de commande" !
Néanmoins cela est des dérives sur l'utilisation de pfSense AMHA.Alors, je reprends SUR QUELLE BASE et pour QUEL BESOIN ?
Désolé de revenir sur mon expérience perso :
j'ai du créer en 2001 un firewall un peu spécial (adresses ip fixées en entrée et en sortie).
Pour ce faire, j'ai fait appel à Alcove et un jeune ingénieur (?) / mainteneur de paquets Debian.
Avec lui, en moins de 2 jours, j'ai appris (compris) Netfilter/Iptables qui remplaçait à peine ipchains.
J'ai vu la nécessité de scripter cela en ligne de commande. Progressivement je suis passé à des outils
de plus haut niveau et plus puissants (genre Shorewall).Donc je peux comprendre le "besoin" de ligne de commande. Mais pfSense me séduit depuis 2 ans.
-
Pour quelle base, et quel besoin?
Pour tout vous expliquer la prise en main de pare-feu et de packet filter est nouveau pour moi. J'ai donc envie d'appréhender le mieux possible PfSense, pour pouvoir le maitriser au mieux. Je m'étais donc poser une question, certainement pas très recherché je le sais bien, mais je me demandais si il était tout de même possible de réaliser la conf de PfSense par ligne de commande. C'est à dire tout ce qui est "Schedule", "Aliases", … . Pour moi la réponse était évidente, oui cela est possible, je voulais juste avoir confirmation de votre côté. C'est tout simplement sa. Et savoir qu'elle était le ressenti de certaines personnes sur l'utilisation de ligne de commande. Je savais presque d'avance les réponses que j'allais avoir mais je voulais avoir un ressenti surtout.
L'interface de PfSense est tellement facile et accessible pour de nouveaux adeptes, que l'on en oublierait presque les lignes de commande.
-
Je ne cache pas qu'avant d'être séduit par pfSense (j'en suis à 9 install en moins de 2 ans), je me suis posé la question :
Pourquoi, moi, qui connait assez bien iptables devrai-je aller vers pf ? (sous entendu que je connais que de docs lues sur diverses revues).
Ou, pourquoi j'accepterai de ne plus pouvoir modifier à la main le script créé via l'interface web ?
La réponse est dans la puissance de l'interface, la facilité des alias, le nat très complet (1-to-1, outbond manuel), les tunnels vpn (c'est simple il y a tout ce qu'il faut),
mais aussi les règles complètes (regardez les options avancées), le carp (bluffant), …Donc je me contente de l'interface graphique ... qui en fait plus que j'en ai besoin.
Certes, je n'ai pas des milliers de machines, des dizaines de vlans, des dizaines de serveurs, des dizaines de sites, ...
Mais pfSense est-il fait pour ces dimensions ?Cela dit, comme il y a un fichier de conf en XML, il y aura toujours, pour des astucieux, la possibilité de faire des choses différemment ...
(Je l'ai fait pour créer plus vite, mais pas mieux, des alias !) -
C'est sur, je suis tout à fait d'accord avec vous sur ce point. L'interface de PfSense simplifie au maximum des services qui en ligne de commande serait moins accessible.
Je suis pour ma part, très séduite par l'utilisation de PfSense. C'est bien pour cela que je l'implémente dans mon entreprise.
-
J'ai des plus de 50 clusters pfsense en production au 4 coins de la terre avec une charge constante moyenne allant de 200 a 50 000 sessions/secondes. L'intégralité configuré par l'interface graphique, les quelques actions en shell consistent à appliquer quelques patches nécessaires dans certaines situations (proxy ftp avec wan privé etc.).
Je suis également dépité par tous ces posts au sujet de fwbuilder ou modification en ligne de commande…qui vont à l'encontre de ce que veulent les créateurs du projet (et je suis là depuis assez longtemps pour connaitre la philosphie du projet).
Si vous voulez customiser, il y a une rubrique développement dans le forum, vous pourrez y poser ce genre de questions. -
Je trouve aussi ces posts un peu "fatiguant". Avant même de d'avoir utilisé l'outil, d'en avoir concrètement éprouvé les capacités, on en arrive à la ligne de commande pour faire quoi ? le plus souvent rien d'autre que ce que permet l'interface.
-
D'accord, ce n'est pas la peine de rajouter autant de postes pour tous dire la même chose. J'ai bien compris le message que vous souhaitiez me faire passez et j'en prend bien note.
Je ne pense pas que tout ces messages était nécessaire, mais bon. -
C'est pour que ca marque les esprits ;-)
Ne le prenez pas à titre personnel ;) -
;) D'accord,
En tout cas, de mon côté je vous comprend très bien. J'essayerais pour ma part de réfléchir à deux fois avant de poster un message.
Afin d'utiliser ce forum comme il se doit!