Pfsense proxy box ou autre chose ?



  • Bonjour,

    Je vais bientôt migrer mes box pfsense (1.2.3) vers du matériel plus adapté (appliances de chez osnet.eu) et je me dis qu'il est temps de changer certaines choses. En effet, ma configuration actuelle utilise pfsense en tant que parefeu plus les packages squid, squidguard et lightsquid.

    Dans la mesure ou je vais pouvoir recycler mon ancien matériel pour autre chose et que niveau sécurité c'est plus propre d'avoir un proxy sur une machine dédiée, je me dis que c'est le moment.

    Ce qui m’amène à plusieurs questions :

    1. qui à déjà mis en place un pfsense en tant que proxy uniquement et quel est le verdict ?
    2. comment avez vous procédez techniquement ?
    3. y a t'il d'autre solutions opensource plus adaptées (exemple debian + webmin + logviewer du style sarg/webalizer)

    Merci à vous.



  • Hello,

    Personnellement, je préfère monter un proxy avec FreeBSD, ou debian

    Comme ça on peut toujours modifier ce que l'on a créé et ça reste une solution robuste.

    Je n'ai pas testé d'autre distib comme proxy/filtrage spam tel que : vyatta, ou autre
    J'aimerai bien avoir un retour sur ces solutions.

    Mais je ne pense pas que pfSense soit une bonne solution pour ce besoin : les paquets pour assurer ces fonctions ne sont pas toujours stables donc c'est pas fiable.

    pfSense est vraiment bon en tant que firewall.

    Chacun son rôle et les paquets seront bien gardés !



  • il y a également artica qui semble le faire mais j'ai peur de me retrouver avec une usine à gaz, pareil des retours serait cool

    sinon en solution manuel, j'ai trouvé ca http://www.opendoc.net/comment-realiser-solution-filtrage-contenus-squid-squiguard-havp-clamav

    pas sure que cela fonctionne avec la dernière version stable de debian car de mémoire le paquet havp n'y est pas



  • Utilisez la fonction de recherche. Il y a des dizaines de sujets qui traite du rôle proxy.



  • Le lien indiqué est excellent (et très bien écrit, bravo à l'auteur) pour avoir une base de création de son propre proxy dédié.

    Sauf quelques points :

    • c'est rédigé pour Lenny (Debian 5.0 = oldstable) et non Squeeze (Debian 6.0 = stable),
    • il serait désormais logique de passer à Squid3 meme si "apt-get install squid" installe la version 2.7,
    • Squid3 utilise plutot ICAP que des "redirect_program" (on peut bricoler en créant un lien symbolique /etc/squid -> /etc/squid3),
    • HAVP a disparu des dépots Debian stable (alors qu'il est présent en Sid.

    Pour le dernier point, il est possible que ce soit temporaire …



  • il a été avertis concernant Squeeze, un paquet est à l étude
    au pire des cas on le compile soit meme



  • Pour HAVP, je présume qu'il est possible de le compiler soi-même voire de fabriquer un paquet (méthode Debian).
    Il me semble certain que le paquet redeviendra dispo avec Squeeze …

    J'ai oublié un détail gênant dans la documentation citée :

    • le schéma proposé est Lan -> Squid -> Havp -> Internet,
    • un meilleur schéma serait Lan -> Squid -> Havp -> Squid -> Internet.
      Dans le 1er cas, ftp ne fonctionne pas alors qu'il fonctionne dans le 2nd.

    Bref, il faudrait encourager notre auteur pour une nouvelle version avec Squeeze + meilleur schéma (dès dispo du paquet Havp) ...



  • Bonjour à tous,

    je me suis permis de m'inscrire sur la forum pour pouvoir répondre à vos questions concernant la documentation dont je suis l'auteur. J'ai déjà eu quelques retour en direct, et vos propos confirment les remarques. Effectivement ma documentation date un peu, le package HAVP n'est pas présent sur la version stable de debian (6) ni testing, mais il est présent dans la version unstable. Effectivement, je vais devoir proposer une solution pour que la documentation soit valide, c'est un point bloquant.

    Il manque un schéma dans la doc, car le parcourt est bien LAN -> SQUID -> HAVP -> SQUID -> INTERNET :(

    Je note vos remarques, on m'a indiqué d'ajouter un outils pour le traitement des log. Malheureusement ce wiki est très consommateur de temps  et le temps j'en pas beaucoup mais je vais faire ce que je peux pour faire les modifications.

    Concernant votre besoin en filtrage, attention aux solutions en mode UTM, c'est pratique mais plus orienté petite entreprise. Je conseillerais de séparer routage/firewalling et le filtrage applicatif pour des raison de sécurité de flexibilité (basucle). La solution de filtrage que je propose n'est pas parfaite, elle ne va pas correspondre à tous les besoins, mais elle peux évoluer en utilisant des produits éditeur. On peux remplacer l'anti-virus et la solution de filtrage (ex : olféo).

    Je ne connais pas le besoin de base, mais si on veut mettre une solution de filtrage, même pour une petite/moyenne entreprise, il faut penser à doubler les équipements, établir des procédures de bascule, sauvegarder les logs … Quand on veux bien faire, ce n'est parce que c'est libre que c'est forcément moins cher, cela va dépendre des compétences et du temps alloué...

    Il existe pour les petites/moyennes/grandes entreprises des solutions hébergées qui permettent de limiter/ajuster les coûts, répondre au besoin de disponibilité et qualité de service, et gestion de log et cela avec une vrai interface de gestion d'utilisateurs (avec possibilité de mapper sur du ldap, authentification transparente ...) que n'auras pas directement avec une solution libre. Si tu le souhaites je peux te donner des infos en privée, à part si d'autres personnes sont intéressées.

    Alexandre



  • Bonjour à tous,

    j'ai pris sur mon temps de déjeuner pour faire le schéma et les explications. N'hésitez a me remonter vos idées d'améliorations et les correctifs.

    Alexandre



  • de mieux en mieux

    on peux aussi le faire avec une ubuntu 10.04 lts, ca reste proche du tuto et havp est présent



  • Oui ubuntu, fedora,  … peu importe si les packages sont présents, c'est juste un peu d'adaptation de la configuration pour correspondre aux chemins. A la base j'avais fait cette doc pour de la CentOS. Si tu fais le test je serais curieux de voir les différences.

    Alex


Log in to reply