NanoBSD

aldebaran

Bonjour et bonne année à la communauté ;)
J'ai monté à titre personnel un pare-feu pour mon réseau familial
D'abord sous IPcop, puis sous IPfire pour arriver finalement à PFsense.
Je l'ai monté sur une carte Alix 2D3 avec une CF de 2Go en utilisant NanoBSD 1.2.3 Release.
Je suis arrivé à faire fonctionner PFsense avec le pare-feu intégré est ses règles de filtrage associées ainsi que Squid en mode transparent.
Mais je n'arrive pas à faire fonctionner Suidgard (très important pour protèger mes enfants des sites néfastes pour eux).
Avec une configuration matérielle (Alix 2D3) utilisant une CF comme mémoire de masse est-ce possible?
Aussi, lorsque j'installe le package squiguard, que je télécharge la blacklist depuis Toulouse ou celle de Shalla et que j'essaie de les mettre en oeuvre," ProxyFilter" cherche systématiquement les rubriques "ads","aggressive", etc… et ne me propose pas d'autres alternatives!
J'observe bien les différentes catégories téléchargées et décompactées: blk_... sous /var/db/squidguard qui s'effacent ensuite (/var monté en mémoire n'en n'est'il pas la cause?).
Pour résumer une dernière fois: quelqu'un à t-il déjà monté PFsense sous nanoBSD avec Squid et Squidgard avec une blacklist et tout cela sur une plate-forme matérielle Alix 2D3 + CF 2Go.
Si oui: ou me trompe-je? ???

gregober

Salut,

L'utilisation de Squid et Squid Guard sur une carte CF est déconseillé.
En effet, le proxy squid passe son temps a écrire et effacer des données sur le disque (ou la carte), ce qui peut contribuer à accélérer la dégradation rapide des cartes CF.

C'est la raison pour laquelle j'ai mis au point un proxy Alix qui intègre un Disque Dur IDE.
http://www.osnet.eu/en/content/firewall-alix-2d13-hdd

De plus pour que ce type de configuration fonctionne correctement, il faut changer quelques paramètres dans certains fichiers (loader.conf principalement), les besoins d'optimisation du firewall étant assez différents de ceux d'un proxy.

–

Concernant la liste de filtrage de Toulouse, pour que cela fonctionne, il faut supprimer les liens symboliques qui sont inclus dans le fichier.
A terme je pense peut-être écrire un script qui automatise le processus. Pour le moment tu pourra télécharger une version sans liens symbolique (à jour d'il y a quelques mois à cette URL : http://www.todoo.biz/blacklists.tar.gz ).

Si tu veux le faire seul, c'est assez simple :

1. Télécharge la liste
2. Décompacte l'archive
3. Supprime les liens symboliques.
4. Re-compresse l'archive.
5. Upload là sur un serveur.
6. Indique l'url de l'archive dans l'interface pfSense
7. Va prendre un café pendant le traitement (environ 35 minutes avec un boîtier Alix).

Et voilà.

Bonne année.

aldebaran

Je te remercie pour ces explications aussi prompt GREGOBER.
Ton travail est super et je vais approfondir la chose.
En te remerciant ainsi qu'à la communauté de développeurs

Salutation d'un nouveau "mordu" du pare-feu  :D.

ccnet

Il reste un problème essentiel : un proxy n'a rien à faire sur un firewall même si c'est commercialement répandu. Le proxy sur le firawall est tolérable pour les toutes petites structures. Nous avons expliqué à maintes reprises pourquoi sur ce forum.

les besoins d'optimisation du firewall étant assez différents de ceux d'un proxy.

C'est effectivement le cas.