Pourquoi pas de proxy sur le firewall
-
@jdh:
@chris4196 : Tu indiques ta config personnelle dans un fil : je constate que le proxy n'est pas sur le firewall !
Effectivement car je ne pense pas que ce soit LA bonne solution systématique.
Ce contre quoi je m'insurge, ce n'est pas le choix technique en lui même mais le dictat qui consiste à :
- ne répondre que de manière lapidaire et manichéenne aux personnes qui posent la question "pas de proxy sur le FW, c'est hérétique !" sans autre explication factuelle.
- faire croire qu'il n'y a qu'une seule bonne solution sans compromis sans prendre le temps de comprendre le contexte
Ce que j'essaie d'expliquer à longueur de message, c'est que, dans certains cas, mais pas le mien car j'ai la prétention d'assez bien maîtriser ces aspects techniques, l'approche "all-in-one" est un compromis, parfois meilleur que la solution intellectuellement parfaite qui consisterait à multiplier les serveurs.
Le type qui veut faire un proxy transparent (et pourtant je lutte contre cette approche, va voir mes messages dans la section anglaise) n'a pas beaucoup d'autre choix si il ne veut / peut pas faire une DMZ.En fait, on peut mettre le proxy sur le firewall quand on a une machine trop grosse comme firewall !
Ce n'est pas un problème de hardware ;) le hardware, c'est un choix, qui a des impacts certes, mais ce n'est jamais, dans les cas qui nous intéressent, une contrainte.
Donc, il est TRES souhaitable de diffuser l'affirmation que de multiplier partout "ce n'est pas exact" : un débutant n'a pas les compétences pour savoir ce qui est vrai, et c'est mal !
C'est ce dernier point que je voudrais VRAIMENT que tu changes !Indeed, c'est notre point de désaccord, car sur le reste, nous sommes à peu près en ligne, hormis les besoins hardware nécessaire pour faire tourner un proxy :)
Deux visiosn s'opposent:- D'un coté : "le débutant n'a pas les compétences pour comprendre, balançons lui LA vérité"
- D'un autre : "essayons d'expliquer l'impact des choix et les raisons qui poussent à certains designs afin que le débutant puisse faire son choix"
Tu sais, l'histoire du gars à qui tu apprends à pécher ;)
mais visiblement, nous n'allons pas converger vers cette vision :( Ce n'est pas grave mais c'est pourtant bien plus enrichissant pour la progression de tous de discuter de ces aspects plutôt que de prétendre venir avec la vérité absolue, surtout qu'en grattant un peu, je ne partage pas ton argumentaire technique et surtout la manière, à mon sens un peu biaisée dont tu le présentes
En fait, on peut mettre le proxy sur le firewall quand on a une machine trop grosse comme firewall !
-
C'est ce qu'il faut faire dans 99% des cas.
C'est donc ce qu'il faut dire dans 99% des cas !Ecrire, comme tu le fais, de façon répété, 'peut-être qu'on peut le faire' alors que cela ne concerne que 1% des cas, ne fait qu'encourager le doute. Et c'est TRES mauvais !
Il est bien préférable d'entendre 'ne pas faire' parce que cela convient et évite les tracas,
que de lire 'on peut le faire' alors que ce n'est valable que dans 1% des cas.Visiblement tu as du mal à comprendre cela.
Donc, je ne vois pas ce qu'il y a à dire de plus pour te faire cesser de toujours rappeler ce doute.J'arrête donc ce fil puisque j'ai expliqué pourquoi c'est ce qu'il faut faire dans 99% des cas, et que ces arguments sont simples, clairs et parfaitement adaptés.
Je regrette que tu souhaites indiquer un mauvais choix et que tu continues à faire douter des débutants alors que ce que tu annonces n'est pas le bon choix à faire … -
Inutile de l'écrire à nouveau (mais cela va mieux en le disant) : j'approuve le message qui précède.
Pour ceux qui ne seraient pas convaincus et qui demandent encore "mais alors pourquoi les packages existent ?" je conseille la lecture de ce post : https://forum.pfsense.org/index.php?topic=91169.0 de Jim (un des concepteurs et développeurs de Pfsense :
We can't be responsible for packages that are contributed/maintained by the community, only the ones we maintain directly.
et d'autre part :
It may be used by a few people but due to the nature of the package running a mail server on a firewall it's not one we have ever supported nor encouraged.
-
et nous sommes donc parfaitement d'accord :) 8)
La seule bonne raison pour ne pas installer de proxy "pfSense" sur un serveur pfSense, c'est que c'est un package, donc potentiellement peu stable et dans tous les cas pas supporté.
Et il convient de faire de même avec TOUS les autres packages…. puis de changer le tire pour "pourquoi pas de packages sur le firewall pfSense" :PC'est à la fois assez simple à expliquer et à comprendre.
Les autres arguments, au delà des aspects sécurité, demandent à être expliqués.
Au delà de ça, il y a un autre débat (qui a déclenché la réaction de JDH): il y a d'autres distributions qui intègrent un serveur proxy voire d'autres services. Est-ce raisonnable ou pas ? C'est là que je dis que c'est une histoire de compromis. Idéalement, il est préférable d'avoir des éléments séparés mais ponctuellement, en fonction de l'environnement, une solution "all-in-one" va être plus stable et plus facile à gérer.
Et dans tous les cas de figure, pour l'utilisateur qui aborde le sujet (du proxy sur pfSense), une courte explication me semble plus claire que "c'est hérétique".
-
Je rappelle la première phrase de mon premier post :
Un post spécifique sur cette pratique si souvent rencontrée du proxy sur le firewall et la question qui en découle que l'on peut généralisée ainsi : Pourquoi pas de package sur le firewall ?