Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pourquoi pas de proxy sur le firewall

    Français
    6
    25
    3.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • TataveT
      Tatave
      last edited by

      salut salut

      je me permet juste d'intervenir sans prendre partie pour un ou l 'autre solution.

      il y a des cas ou la théorie n'a pas de place et ou les bonnes pratiques non plus (budget ou DAF trop serré et ou pingre qui ne comprendra que quant il l'aura dans le dos et profond et encore pas si sûr que cela lui serve de leçon)

      il y a des cas la théorie comme les bonnes pratiques ne doivent pas être contournés, il en va de certaines obligations légales (et autre considérations plus pointues) et là il faut les appliquer là aussi le budget et le DAF on leur mots a dire mais avec messieurs avocats et tout se qui s'en suit aux "luc" pour leur serrer les trois pièces cuisines dans le cas où s'il ne suivent pas les recommandation c'est eux qui iront aux frais pour leur fautes voir dans le meilleur des cas faire les chercheurs ailleurs…

      Juste une intervention pour recadrer les points de vues sans partie pris si possible de ma part.

      Cordialement.

      aider, bien sûre que oui
      assister, évidement non !!!

      donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
      apprendre à un homme comment cuisiner, il sera vivre.

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        @jdh:

        Les services basic comme DNS, DHCP, NTP peuvent bien évidemment fonctionner ailleurs. Mais pas le VPN et le portail captif !

        Pourquoi ? Pourquoi, comme pour le débat initial (proxy sur le firewall) amènes-tu une conclusion aussi catégorique, d'autant que tu expliques juste après que c'est techniquement faisable ?

        Il me parait bien plus intéressant pour tous de bien comprendre quelles sont les raisons de tel ou tel choix, et donc d'expliquer les vrais problèmes engendrés par tel ou tel type de design plutôt que d’asséner quelque chose de manière dogmatique, afin que chacun puisse faire son choix en connaissance de cause.

        Pour le VPN, si on veut le placer sur une autre machine, il faut que le protocole VPN puisse être routé (p.e. pour Ipsec, NAT traversal requis) et il faut des routes qui passent par le serveur VPN. Bilan, il est préférable de le positionner sur le firewall sauf très gros besoins.

        Pour le portail captif, si on le place dans le LAN, il y a possibilité de passer outre, ce qui n'est pas le but. De plus la charge est probablement faible, donc, il est sans doute plus efficace de le placer sur le firewall.

        une DMZ répond en partie aux points (au demeurant tout à fait justes) que tu évoques.

        Concernant du cache, compte tenu de ton expérience/example, je serais TRES étonné de placer cette charge sur un firewall. Pourtant un fichier de conf est un fichier de conf. Tu vois bien que l'élément clé est la charge hardware.

        Correct. Je ne me serais pas risqué à un tel déploiement sur des machines "firewall". Et je ne dis pas qu'il faut le faire  ;)
        Je dis, encore et encore, que la position dogmatique "le proxy sur le firewall c'est hérétique" n'a pas de sens si elle n'est pas argumentée et que le seul argument de la charge hardware n'en n'est pas un, dans la très grande majorité des cas.

        Bref la règle "pas de proxy sur le firewall" est correcte

        • en milieu pro
        • sous charge (disons à partir de 10-15 utilisateurs, et à fortiori, 100, ou des milliers).
          On peut la contourner
        • pour un milieu perso
        • avec 3-5 utilisateurs
        • et avec un hardware un peu sérieux (et surtout de la mémoire).

        Voila enfin quelques chiffres  :)
        Pour te donner un ordre de comparaison, un proxy d'entré de gamme chez BlueCoat, mettons le SG200-10, donné pour 400 utilisateurs, c'est 500 Go de disque (hors système) et 6 GB de mémoire. avec 8 GB de mémoire, BLueCoat couvre des config pour 2500 utilisateurs.
        Ce n'est pas si énorme que ça n'est-ce pas  ;D

        En fait la règle "pas de proxy sur le firewall" est la bonne à presque tous les coups.

        Je suis tout à fait d'accord, y compris le presque

        Aussi ceux qui, par pur esprit pointilleux, vienne à alimenter le doute de ceux débutants ne vont pas du tout dans le bon sens !
        Et c'est ce que tu ne veux pas comprendre ! Une réponse trop exacte n'est pas, loin s'en faut, la meilleure réponse ! Elle peut gêner même !

        Du coup, ce long échange est bénéfique car tu as mis le doigt précisément sur ce qui différencie nos points de vue:

        • tu es partisan d’énoncer des axiomes (des dogmes pour reprendre la connotation religieuse de ta remarque sur l'hérésie du design) en demandant à tous de les accepter aveuglément et de ne surtout pas les discuter.
        • je prône plutôt d'expliquer avec un niveau raisonnable de détail les principaux impacts des différents designs afin que celui qui déploie choisisse en connaissance de cause.

        Je comprends maintenant beaucoup mieux ta position, même si je ne la partage.
        Celle-ci me semble acceptable dans le cadre d'une prestation chez un client où tu aurais une obligation de résultat mais dans un forum de ce type, je suis perplexe.  8)

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • L
          Lolight
          last edited by

          Hello,
          Je passe mettre mon grain de sel. Ce que je vais dire n'a rien a voir avec le débat je vais donc rester bref.
          Un sujet comme celui ci est génial il permet de comprendre le pourquoi du comment autour d'un débat, j'ai pas votre niveau et aujourd'hui je me couche moins con, sans ce topic et juste en ayant lu "pas de proxy sur un FW" je me serais couché encore plus con parce que j'aurais lus un truc dont je suis pas sûr et sans en comprendre la raison. A votre bon cœur  :P

          Merci pour ce débat très instructif en tout cas  ;D

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            @Tatave:

            il y a des cas ou la théorie n'a pas de place et ou les bonnes pratiques non plus (budget ou DAF trop serré et ou pingre qui ne comprendra que quant il l'aura dans le dos et profond et encore pas si sûr que cela lui serve de leçon)

            C'est également un aspect important du débat, qui rejoint, d'une certaine manière, mon propos sur la faisabilité en terme d'opérations qui doit être adaptée aux ressources disponibles.

            Le travail de l'architecte doit prendre en compte ces paramètres (coût, cahier des charges, aspects légaux) afin de proposer la solution la mieux adaptée. Et c'est, au final, presque tout le temps une affaire de compromis  :-\ (ce que je trouve, puisque c'est mon métier, souvent frustrant  :-X)

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              @chris4196 : Tu indiques ta config personnelle dans un fil : je constate que le proxy n'est pas sur le firewall !

              J'affirme qu'il ne faut "pas de proxy sur le firewall" (et je le répète).
              C'est LA BONNE règle dans 99% des cas ! (99,9% ?) : en entreprise, sous charges, c'est LA BONNE config, celle qu'il FAUT mettre en place.
              Le cas où on peut passer outre est assez simple et rare : utilisation perso, avec 3-5 utilisateurs, et avec une machine qui a de la ressource (2 Go de mémoire, un cpu qui avance).
              En fait, on peut mettre le proxy sur le firewall quand on a une machine trop grosse comme firewall !

              Donc, il est TRES souhaitable de diffuser l'affirmation que de multiplier partout "ce n'est pas exact" : un débutant n'a pas les compétences pour savoir ce qui est vrai, et c'est mal !
              C'est ce dernier point que je voudrais VRAIMENT que tu changes !

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                @jdh:

                @chris4196 : Tu indiques ta config personnelle dans un fil : je constate que le proxy n'est pas sur le firewall !

                Effectivement car je ne pense pas que ce soit LA bonne solution systématique.

                Ce contre quoi je m'insurge, ce n'est pas le choix technique en lui même mais le dictat qui consiste à :

                • ne répondre que de manière lapidaire et manichéenne aux personnes qui posent la question "pas de proxy sur le FW, c'est hérétique !" sans autre explication factuelle.
                • faire croire qu'il n'y a qu'une seule bonne solution sans compromis sans prendre le temps de comprendre le contexte

                Ce que j'essaie d'expliquer à longueur de message, c'est que, dans certains cas, mais pas le mien car j'ai la prétention d'assez bien maîtriser ces aspects techniques, l'approche "all-in-one" est un compromis, parfois meilleur que la solution intellectuellement parfaite qui consisterait à multiplier les serveurs.
                Le type qui veut faire un proxy transparent (et pourtant je lutte contre cette approche, va voir mes messages dans la section anglaise)  n'a pas beaucoup d'autre choix si il ne veut / peut pas faire une DMZ.

                En fait, on peut mettre le proxy sur le firewall quand on a une machine trop grosse comme firewall !

                Ce n'est pas un problème de hardware  ;)  le hardware, c'est un choix, qui a des impacts certes, mais ce n'est jamais, dans les cas qui nous intéressent, une contrainte.

                Donc, il est TRES souhaitable de diffuser l'affirmation que de multiplier partout "ce n'est pas exact" : un débutant n'a pas les compétences pour savoir ce qui est vrai, et c'est mal !
                C'est ce dernier point que je voudrais VRAIMENT que tu changes !

                Indeed, c'est notre point de désaccord, car sur le reste, nous sommes à peu près en ligne, hormis les besoins hardware nécessaire pour faire tourner un proxy  :)
                Deux visiosn s'opposent:

                • D'un coté : "le débutant n'a pas les compétences pour comprendre, balançons lui LA vérité"
                • D'un autre : "essayons d'expliquer l'impact des choix et les raisons qui poussent à certains designs afin que le débutant puisse faire son choix"

                Tu sais, l'histoire du gars à qui tu apprends à pécher  ;)

                mais visiblement, nous n'allons pas converger vers cette vision  :(  Ce n'est pas grave mais c'est pourtant bien plus enrichissant pour la progression de tous de discuter de ces aspects plutôt que de prétendre venir avec la vérité absolue, surtout qu'en grattant un peu, je ne partage pas ton argumentaire technique et surtout la manière, à mon sens un peu biaisée dont tu le présentes

                En fait, on peut mettre le proxy sur le firewall quand on a une machine trop grosse comme firewall !

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  C'est ce qu'il faut faire dans 99% des cas.
                  C'est donc ce qu'il faut dire dans 99% des cas !

                  Ecrire, comme tu le fais, de façon répété, 'peut-être qu'on peut le faire' alors que cela ne concerne que 1% des cas, ne fait qu'encourager le doute. Et c'est TRES mauvais !

                  Il est bien préférable d'entendre 'ne pas faire' parce que cela convient et évite les tracas,
                  que de lire 'on peut le faire' alors que ce n'est valable que dans 1% des cas.

                  Visiblement tu as du mal à comprendre cela.
                  Donc, je ne vois pas ce qu'il y a à dire de plus pour te faire cesser de toujours rappeler ce doute.

                  J'arrête donc ce fil puisque j'ai expliqué pourquoi c'est ce qu'il faut faire dans 99% des cas, et que ces arguments sont simples, clairs et parfaitement adaptés.
                  Je regrette que tu souhaites indiquer un mauvais choix et que tu continues à faire douter des débutants alors que ce que tu annonces n'est pas le bon choix à faire …

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    Inutile de l'écrire à nouveau (mais cela va mieux en le disant) : j'approuve le message qui précède.

                    Pour ceux qui ne seraient pas convaincus et qui demandent encore "mais alors pourquoi les packages existent ?" je conseille la lecture de ce post : https://forum.pfsense.org/index.php?topic=91169.0 de Jim (un des concepteurs et développeurs de Pfsense :

                    We can't be responsible for packages that are contributed/maintained by the community, only the ones we maintain directly.

                    et d'autre part :

                    It may be used by a few people but due to the nature of the package running a mail server on a firewall it's not one we have ever supported nor encouraged.

                    1 Reply Last reply Reply Quote 0
                    • C
                      chris4916
                      last edited by

                      et nous sommes donc parfaitement d'accord  :)  8)

                      La seule bonne raison pour ne pas installer de proxy "pfSense" sur un serveur pfSense, c'est que c'est un package, donc potentiellement peu stable et dans tous les cas pas supporté.
                      Et il convient de faire de même avec TOUS les autres packages…. puis de changer le tire pour "pourquoi pas de packages sur le firewall pfSense"  :P

                      C'est à la fois assez simple à expliquer et à comprendre.

                      Les autres arguments, au delà des aspects sécurité, demandent à être expliqués.

                      Au delà de ça, il y a un autre débat (qui a déclenché la réaction de JDH): il y a d'autres distributions qui intègrent un serveur proxy voire d'autres services. Est-ce raisonnable ou pas ? C'est là que je dis que c'est une histoire de compromis. Idéalement, il est préférable d'avoir des éléments séparés mais ponctuellement, en fonction de l'environnement, une solution "all-in-one" va être plus stable et plus facile à gérer.

                      Et dans tous les cas de figure, pour l'utilisateur qui aborde le sujet (du proxy sur pfSense), une courte explication me semble plus claire que "c'est hérétique".

                      Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccnet
                        last edited by

                        Je rappelle la première phrase de mon premier post :

                        Un post spécifique sur cette pratique si souvent rencontrée du proxy sur le firewall et la question qui en découle que l'on peut généralisée ainsi : Pourquoi pas de package sur le firewall ?

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.