Pourquoi les paquets (ex:squid) ne sont pas à jour ?


  • Bonjour à tous,

    Je découvre Pfsense (et FreeBSD également), et je suis ravi des 1er essais !

    Mais un point m'inquiète :

    Pourquoi des packages comme squid sont t'il en version 3.1.20 pkg 2.0.7 beta lorsque les sources de l'éditeur sont en versions 3.4 stable?

    Existe t'il des sources de packages alternatifs…?

    Le portage sur FreeBSD ou l'intégration sur FreeBSD pour squid 3.4 n'est pas encore réalisé? Est-ce du au fait que FreeBSD pour Pfsense soit en 8.x?

    Merci par avance pour vos réponses,
    Cordialement

    2.1.3-RELEASE (amd64) / FreeBSD 8.3-RELEASE-p16


  • Encore un post qu prouve qu'il n'y a aucun intérêt à mettre Squid sur Pfsense. Sauf des ennuis. Les développeurs de Pfsense, de Squid et de Free BSD sont trois choses bien différentes.


  • Bonjour,

    Pourquoi déconseillez-vous l'intégration de squid dans Pfsense?
    Il vous semble plus pertinent de laisser Pfsense comme Firewall et avoir un serveur secondaire comme proxy/cache?

    Merci de votre réponse
    Cordialement


  • Ne parlons pas de serveur secondaire, ici le terme n'a aucun sens. Les besoins en terme de ressources sont assez fondamentalement différents entre un firewall et un proxy. Nous sommes plusieurs à avoir largement développé cette thématique sur ce forum. Un exemple simple de problème de sécurité potentiel. Un proxy génère beaucoup de logs qu'il faut conserver. Que se passe t il si votre espace disque est saturé ?  Que devient votre firewall ? Est il opportun d'avoir sur son firewall des fichiers comportant du code malveillant stockés parce que bloqués par le proxy ? Le firewall est une machine qui doit rester minimaliste, sanctuarisée.


  • Il y a comme des incohérences entre

    • la dernière version de Squid
    • l'incompréhension sur le placement de Squid
    • un firewall + des sources de paquets alternatifs

    Il est particulièrement étonnant que, l'évidence du placement de Squid ailleurs que sur un firewall ne soit toujours pas comprise !
    Le rôle de Squid et d'un firewall sont évidemment très différents et, partant, les besoins en ressources matérielles tellement différents.

    La sécurité c'est

    • un firewall dédié à ce rôle, et sans aucun paquet complémentaire (et une seule source de binaire !)
    • un proxy Squid dédié à ce rôle, avec les ressources matérielles adaptées
    • le moins possible de bricolage

    Si on est aux questions, moi, ce que je ne comprends pas, c'est le pourquoi de la volonté d'utiliser la dernière version de Squid.
    Car entre Squid 2.7, 3.1 et 3.4, les différences sont fonctionnelles et pas de sécurité !


  • Pour les ressources matérielles, je comptais monitorer au fur à mesures en greffant des utilisateurs tests, sur une assez longue période. Nous ne sommes pas une grande structure (env. 130 postes).
    Squid me servirait à logger les accès en cas de contrôles et servir de cache.

    Je suis d'accord avec vous, pas de bricolage au programme, mais la question était seulement de savoir si des versions de squid plus récentes était envisageable sur pfsense.

    Merci pour vos recommandations et vos conseils…


  • Je dis souvent à partir de 15 utilisateurs intensifs, il faut un proxy dédié !
    Alors pour 130 utilisateurs …

    Les rôles de firewall et proxy sont TRES différents, et, faute de réflexion, peu nombreux sont ceux qui comprennent que les ressources matérielles à mettre en face sont aussi TRES différentes !
    Votre réponse est donc assez insatisfaisante et laisse à penser que vous n'avez pas compris !


  • 130 utilisateurs justifie largement un proxy dédié et un découpage réseau assez attentif (lan, ddifférentes DMZ), un système de gestion des logs suffisamment dimensionné et un proxy dédié (et une charte informatique signée des salariés).


  • Si si j'ai bien compris l'idée.

    Je pensais seulement que pour ma maquette, démarrer avec un cpu Athlon64 3800+, ram 4GB PC3200, hdd 320GB sata 7200t pourrait assurer. la monté en charge des utilisateurs (les greffer au fur à mesure) m'aurait permis de monter un serveur adapté pour quelques années. Mais je n'avais pas pris en considérations les risques de sécurités à y coupler un proxy/cache sur le même serv, ce que j'avoue ne pas très bien évaluer pour le moment…

    Je testerai donc également avec une debian dédié au proxy/cache

    J'aimais bien cette aspect tout-en-un de Pf, je me serai donc fourvoyé..
    Pour la charte, c'est en cours.
    Merci de vos conseils
    ++


  • Un exemple de choses incomprises :
    Squid utilise abondamment la mémoire, notamment pour maintenir l'index des objets en cache.
    Donc la taille du cache, qui définit un nombre d'objets max, défini, in fine, une taille mémoire minimale nécessaire.

    Par exemple, il serait certainement stupide d'espérer avoir un cache de 20 Go avec une mémoire centrale de 4 Go (sans compter les besoins de l'OS).
    Il est probable que 4 Go de mémoire ne doit permettre qu'une taille de cache d'environ 5 Go (peut-être 8 Go mais sûrement pas 12 Go).

    Autre exemple :
    Peu de gens savent qu'il y a une taille de cache optimale : l'efficacité du cache peut diminuer en agrandissant la taille de cache !


  • Très bien, la taille du cache optimal, c'est également une donnée que je ne possédait pas. Je n'ai pas encore trouvé  d'informations à ce sujet, je chercherai ultérieurement.

    J'ai vu vos réponses (exaspérés et je peux comprendre) sur le forum, il serait peut-être pratique d'épingler un post sur le forum pour déconseiller au nouveau l'intégration d'un proxy dans pfsense. Ccnet et vous même l'avait plutôt bien résumer dans ce post :
    https://forum.pfsense.org/index.php?topic=16227.msg84786

    Voila voila
    Merci encore