Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense comme firewall

    Scheduled Pinned Locked Moved Français
    8 Posts 4 Posters 4.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rabi29
      last edited by

      Bonjour
      Bon la question est bete et la reponse doit etre oui.
      en fait je dois tester ipcop ou smoothwall quis sont des firewall, bon , c'est un peu galere avec les cartes réseau.
      Et comme je suis satifait de pfsense comme portail captif, je me suis dis pourquoi pas pfsense comme firewall avec squid et squid guard.

      merci
      a+

      1 Reply Last reply Reply Quote 0
      • T
        titofe
        last edited by

        @rabi29:

        … la question est bete et la reponse doit etre oui ...
        ... en fait je dois tester ipcop ou smoothwall quis sont des firewall ...

        Euh, j'ai hésiter avant de répondre, mais bon, je me lance.
        Donc si tu va sur ce lien http://www.pfsense.com/ qui je rappel est la page principal de pfSense tu remarquera quelque chose, la page est untitulé "pfSense Open Source Firewall Distribution".

        Sinon pour:
        @rabi29:

        … avec squid et squid guard ...

        il est déconseiller d'installer un Proxy sur un Firewall, je suis pas le mieux placer pour te l'expliquer, surtout que je ne suis pas aussi pédagogue qu'un ccnet, jdh, juve, etc.

        Cdt,

        1 Reply Last reply Reply Quote 0
        • R
          rabi29
          last edited by

          Merci pour la reponse

          je m en doutais , simplement, pfsense n 'est pas souvent a tort , cite comme firewall.
          J ai plus vu ipcop et smoothwall.

          Le squid et le firewall, question de matos, perso je ne peux dedier un firewall et  poste squid..

          merci
          a+

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Je reprends le sujet.

            • pfSense est un firewall à la base
              D'ailleurs son nom est lié à Packet Filter correspondant à Netfilter/Iptables sous Linux.
              Comme ses "concurrents" cités, le système est un firewall avec des possibilités d'addons (packages).
              Le portail captif est un addons, comme Squid, SquidGuard, et beaucoup d'autres …

            • le "meilleur" lieu pour des addons
              Les addons réalisent des taches complémentaires au "firewalling" proprement dit.
              Ces taches peuvent aussi être réalisées ailleurs que sur le firewall, lui laissant le filtrage purement ip.

            Tout les cas sont possibles :

            • l'addons est logiquement à placer sur le firewall :
              OpenVPN (Zerina) est un addons pour Ipcop alors qu'il est plutôt totalement intégré à pfSense (et le sera encore plus quand on filtrera dans le tunnel OpenVpn).
            • l'addons devrait être logiquement ailleurs que sur le firewall :
              Squid qui cache le trafic http voire le filtre gagne à être ailleurs,
              le filtrage smtp/pop de Copfilter pour ipCop gagne à être ailleurs,
              l'ids (intrusion detection system) alias snort gagne à être ailleurs (sans compter l'expertise nécessaire à une bonne exploitation),
              ...
              Les raisons varient d'une charge lourde (cpu+disque) inadapté voire pénalisante à une justification réseau insuffisante.
              Le filtrage applicatif n'a pas les mêmes besoins en terme de ressources tandis que le filtrage ip pur a besoin de rapidité.

            Cela est à tempérer en fonction du contexte :

            • une pme avec 10/15 micros se contentera d'un firewall avec filtrage "plus" sur 1 seul micro (bien sizé),
            • une pme avec 100 micros gagnera à spécialiser les machines !

            Notez que, ce n'est pas parce que l'addons existe que c'est judicieux de l'utiliser.
            Snort et Copfilter sont AMHA dans ce cas :

            • Snort ne devrait pas être sur un firewall, analysant tout le flux, mais plutôt en retrait avec un flux plus réduit et déjà débarrassé de beaucoup de choses,
            • Copfilter filtre applicativement (à l'instar des meilleures "appliance UTM") mais quelle charge cpu !

            Comme toujours, la sécurité n'est pas qu'une question de technique mais d'abord une posture, des choix avec leurs justifications, ...

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • R
              rabi29
              last edited by

              Bonsoir
              Merci pour l explication.. ;)

              je vais essayer de traiter différemment les fonctions squid et squidguard sur un poste et firewall sur un autre.
              par contre puis je mettre snort avec squid .

              et petite dernier qu est ce que AMHA, j ai regarder sur google mais il y en a trop..

              1 Reply Last reply Reply Quote 0
              • T
                titofe
                last edited by

                @rabi29:

                … qu est ce que AMHA ...

                A Mon Humble Avis

                1 Reply Last reply Reply Quote 0
                • R
                  rabi29
                  last edited by

                  Je connaissais pas
                  top ;)

                  1 Reply Last reply Reply Quote 0
                  • J
                    Juve
                    last edited by

                    IMHO en anglais :-)

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.