Pfsense comme firewall



  • Bonjour
    Bon la question est bete et la reponse doit etre oui.
    en fait je dois tester ipcop ou smoothwall quis sont des firewall, bon , c'est un peu galere avec les cartes réseau.
    Et comme je suis satifait de pfsense comme portail captif, je me suis dis pourquoi pas pfsense comme firewall avec squid et squid guard.

    merci
    a+



  • @rabi29:

    … la question est bete et la reponse doit etre oui ...
    ... en fait je dois tester ipcop ou smoothwall quis sont des firewall ...

    Euh, j'ai hésiter avant de répondre, mais bon, je me lance.
    Donc si tu va sur ce lien http://www.pfsense.com/ qui je rappel est la page principal de pfSense tu remarquera quelque chose, la page est untitulé "pfSense Open Source Firewall Distribution".

    Sinon pour:
    @rabi29:

    … avec squid et squid guard ...

    il est déconseiller d'installer un Proxy sur un Firewall, je suis pas le mieux placer pour te l'expliquer, surtout que je ne suis pas aussi pédagogue qu'un ccnet, jdh, juve, etc.

    Cdt,



  • Merci pour la reponse

    je m en doutais , simplement, pfsense n 'est pas souvent a tort , cite comme firewall.
    J ai plus vu ipcop et smoothwall.

    Le squid et le firewall, question de matos, perso je ne peux dedier un firewall et  poste squid..

    merci
    a+



  • Je reprends le sujet.

    • pfSense est un firewall à la base
      D'ailleurs son nom est lié à Packet Filter correspondant à Netfilter/Iptables sous Linux.
      Comme ses "concurrents" cités, le système est un firewall avec des possibilités d'addons (packages).
      Le portail captif est un addons, comme Squid, SquidGuard, et beaucoup d'autres …

    • le "meilleur" lieu pour des addons
      Les addons réalisent des taches complémentaires au "firewalling" proprement dit.
      Ces taches peuvent aussi être réalisées ailleurs que sur le firewall, lui laissant le filtrage purement ip.

    Tout les cas sont possibles :

    • l'addons est logiquement à placer sur le firewall :
      OpenVPN (Zerina) est un addons pour Ipcop alors qu'il est plutôt totalement intégré à pfSense (et le sera encore plus quand on filtrera dans le tunnel OpenVpn).
    • l'addons devrait être logiquement ailleurs que sur le firewall :
      Squid qui cache le trafic http voire le filtre gagne à être ailleurs,
      le filtrage smtp/pop de Copfilter pour ipCop gagne à être ailleurs,
      l'ids (intrusion detection system) alias snort gagne à être ailleurs (sans compter l'expertise nécessaire à une bonne exploitation),
      ...
      Les raisons varient d'une charge lourde (cpu+disque) inadapté voire pénalisante à une justification réseau insuffisante.
      Le filtrage applicatif n'a pas les mêmes besoins en terme de ressources tandis que le filtrage ip pur a besoin de rapidité.

    Cela est à tempérer en fonction du contexte :

    • une pme avec 10/15 micros se contentera d'un firewall avec filtrage "plus" sur 1 seul micro (bien sizé),
    • une pme avec 100 micros gagnera à spécialiser les machines !

    Notez que, ce n'est pas parce que l'addons existe que c'est judicieux de l'utiliser.
    Snort et Copfilter sont AMHA dans ce cas :

    • Snort ne devrait pas être sur un firewall, analysant tout le flux, mais plutôt en retrait avec un flux plus réduit et déjà débarrassé de beaucoup de choses,
    • Copfilter filtre applicativement (à l'instar des meilleures "appliance UTM") mais quelle charge cpu !

    Comme toujours, la sécurité n'est pas qu'une question de technique mais d'abord une posture, des choix avec leurs justifications, ...



  • Bonsoir
    Merci pour l explication.. ;)

    je vais essayer de traiter différemment les fonctions squid et squidguard sur un poste et firewall sur un autre.
    par contre puis je mettre snort avec squid .

    et petite dernier qu est ce que AMHA, j ai regarder sur google mais il y en a trop..



  • @rabi29:

    … qu est ce que AMHA ...

    A Mon Humble Avis



  • Je connaissais pas
    top ;)



  • IMHO en anglais :-)


Log in to reply