Pfsense dual wan + Ipcop

[smeb]

Bonjour

Je vous expose mon petit souci avec Pfsense
J'ai actuellement un Ipcop en passerelle qui s'occupe de tout (firewall, filtrage, etc ...)
J'ai souscris un nouvel abonnement ADSL et je voudrais installer pfsense pour la gestion du multi wan (failover + load balancing)

J'ai donc restirer mon ipcop pour pfsense et la load balancing + failover fonctionne bien

Le problème est que je souhaite conserver mon ipcop et mettre pfsense devant.

_________
WAN 1 -----| |
|PFSENSE |----IPCOP----LAN
WAN 2 -----|________|

Je n'ai malheureusement pas réussi à mettre pfsense en mode bridge afin que tous les flux provenant des 2 interfaces WAN arrivent sur Ipcop.

Avez vous des idées?

[jdh]

J'écris souvent le mot utilisé par les anglophones : KISS : Keep It Simple and Stupid

Il me semble que pfSense est capable de gérer bien plus qu'Ipcop :
- il sait gérer du double WAN,
- il intègre "BOT" de base (avec les merveilleux "alias").
(et bien d'autres possibilités non exposées ici comme le VPN)
Que demander de plus ?

Quelles sont les raisons de garder Ipcop ?
Dès que vous les aurez posé, vous saurez ce qu'il faut faire ..


NB : Si c'est Squid + filtrage http en tout genre, la réponse est "comment convertir ma machine Ipcop en un superbe proxy dédié ...

[smeb]

Je souhaite garder ipcop pour la simple et bonne raison c'est que je lui ai rajouté quelques addons qui ne sont pas présent sur pfsense (guardian et l'antispam pour ne citer qu'eux)

je ne pense pas que pfsense sache blacklister (arretez moi si je me trompe) les adresses ip s'il voit une tentative d'attaque via snort, je ne pense pas non plus (arretez moi encore si je me trompe) que pfsense sache gerer l'antispam

d'ou ma raison de conserver l'ipcop. Apres je ne veux pas commencer a gerer le firewal sur l'un, les regles sur l'autres etc ... d'ou ma question initiale du premier post

[jdh]

Concernant Snort, il est clair que ce n'est pas sa place sur un firewall (même si un package est dispo tant pour Ipcop que pfSense).
Je ne reviens pas sur l'inutilité pratique de Snort dans de petites structures et les énormes ressources dispo/compétence pour tirer un intérêt de Snort.
De plus, il NE faut PAS boucler Snort avec un blocage d'ip (pour des règles inconnues). (A la rigueur on peut s'intéresser à fail2ban ou denyhosts parce que cela concerne juste quelques protocoles).


Concernant l'antispam, il est clair que ce n'est pas sa place sur un firewall (même si un package est dispo tant pour Ipcop que pfSense).
Un antispam ou un antivirus doit être placé sur le "proxy" applicatif concerné : par exemple un relais mail.



Curieux de répéter cette phrase, mais KISS veut aussi dire qu'il faut spécialiser les machines/fonctions :
un firewall doit filtrer des flux, gérer du vpn, gérer du failover WAN,
mais le filtrage http doit être réalisé sur un proxy dédié, le filtrage mail sur un "proxy" dédié (relais mail) ...
et les vaches seront bien gardées.

Pensez simplicité, efficacité ...

Ce n'est pas parce que c'est prévu d'une certaine manière que c'est celle qu'il faut perpétuer.

NB : Snort + blocage d'adresse = un formidable "auto-denial of service" potentiel !

[smeb]

un firewall, un proxy, un relais, un antispam, ca fait un sacré investissement (ideal pour les petites structures) !

pour info, l'ipcop que j'ai tourne depuis 2 ans et gere le filtrage http, spam, ftp,, proxy, antivirus, en plus de snort /guardian (je me permetterais de t'interesser a cette solution loin d'etre un formidable "auto-denial of service" potentiel comme tu dis) la gestion de vpn client (openvpn) ainsi que de vpn site a site (ipsec)

et ouais magnifique tout ca dans la meme machine !! mais qu'est ce que c'est que cette bete de course vous allez me dire? un simple atom 1.6ghz et 2go de ram!

sur les 2 ans, statistiquement mon cpu tourne à 2% et ma mémoire a 1go d'utilisée. Ils sont bon chez ipcop ! d'ou je réaffirme ma raison de le garder.

Mais si tu n'as pas envie de répondre et effectivement (ce qui est bien, de tout séparer de la meme machine) et casser du sucre sur les gens, je t'invite à t'abstenir de répondre et laisser l'éventualité à quelqu'un de répondre a ma question initiale

[ccnet]

NB : Si c'est Squid + filtrage http en tout genre, la réponse est "comment convertir ma machine Ipcop en un superbe proxy dédié ...

Cela il vaut mieux le faire avec Pfsense V2 actuellement en béta 4. Pourquoi ? Parce qu'il accepte d'être configuré avec une seule interface ce qui n'est pas possible sans certaines contorsion avec Ipcop. De plus les packages squidguard, lightsquid sont disponibles. De quoi obtenir une très belle appliance sur la base de Pfsense V2. Je dis bien V2. Au passage vos problèmes de bridge ne se poseraient alors plus.

mon cpu tourne à 2% et ma mémoire a 1go d'utilisée.

Le problème n'est pas là. Il est sur le plan de la sécurité (c'est à dire intégrité, disponibilité, confidentialité) avec cette architecture.

un firewall, un proxy, un relais, un antispam, ca fait un sacré investissement (ideal pour les petites structures) !

La sécurité a un prix, mais pas celui que vous laisser entendre. Le firewall ne devrait faire rien d'autre. C'est une nécessité quasiment vitale.
Petite structure mais qui a quand même un serveur de mail interne et donc besoin d'un relais mais qui ne pourrait pas avoir un ESX avec le proxy, et la passerelle smtp ? La cohérence n'est pas évidente. Surtout lorsque l'on peur se procurer des DL360, DL385 G4 bien dotés pour un maximum de 200 euros. On est loin d'un sacré investissement. Ma perplexité augment encore si l'on parle de Snort qui est une excellente idée sur le papier et un bon produit mais ... la clé de Snort c'est les RH, les ressources, les compétences. Certains de mes clients ont des plateformes surveillées par un IDS. Mais le monitoring est 24/7 sur deux sites distants en backup dans deux pays d'Europe. Le temps maximum de réaction sur incident grave est contractuellement de 30mn. Là on peut utiliser un ids. Sinon on constate les dégâts le lendemain matin ou au retour de we. Dual wan, petite structure pas les moyens je suis toujours perplexe.

Mais si tu n'as pas envie de répondre et effectivement (ce qui est bien, de tout séparer de la meme machine) et casser du sucre sur les gens, je t'invite à t'abstenir de répondre et laisser l'éventualité à quelqu'un de répondre a ma question initiale

Il y a parfois des remises en cause nécessaires. Il ne s'agit pas de casser du sucre mais d'indiquer des solutions potentielles qui feront le travail avec un bon niveau de sécurité parce que l'architecture est bien pensée. Elle ne l'est pas forcément du premier coup ou pour l'éternité. Les besoins évoluent et il faut évoluer aussi. Il s'agit aussi d'attirer l'attention sur les risques de certaines solutions.

A réfléchir au mode de fonctionnement du bridge dans Pfsense, je ne vois pas comment cela est possible dans votre cas. Je pense qu'il faut revoir l'architecture. Réfléchissez à ce qu'implique le bridge en terme de réseau et sous réseaux ... et quel est le problème avec un dual Wan.

[jibe]

Salut,

Sans casser de sucre, je dirais que ta demande me rappelle étrangement le "troll du siècle", résumé ici. Et encore : il s'agissait de mettre un firewall (ipcop) devant un serveur-passerelle "tout en un" (SME), ce qui me parait plus cohérent que d'empiler deux firewalls (je veux dire : deux distribs dédiées aux firewalls)...

Comme l'expliquent bien jdh et ccnet, il y a deux approches : soit on sépare les tâches, et on a plusieurs machines, soit on choisit une solution économique en essayant de rassembler les choses, mais il faut le faire de manière à avoir le meilleur rapport sécurité/prix possible en fonction du budget.

Je ne connais pas assez tes besoins pour me faire une opinion et donner des conseils valables, mais une chose est sûre, mettre ipcop derrière pfsense est une des plus mauvaises solutions possibles. Selon le cas, je mettrais soit pfsense seule (s'il ne faut vraiment qu'une machine), soit SME derrière pfsense (s'il faut conserver les machines existantes).

Mais il faut quand même savoir que :

- PfSense seule, c'est mettre tout un tas de services sur un firewall, avec les inconvénients qu'ont bien exposé jdh et ccnet,
- SME est conçue de manière interne comme un micro-réseau, avec un WAN, un LAN et une DMZ. C'est donc bien différent que de tout mettre sur une Ipcop ou pfsense qui sont uniquement des firewall, avec des addons (autrement dit, des verrues ). Mais mettre SME derrière ipcop ou pfsense présente les inconvénients dont il a été question dans le "troll du siècle" ! Toutefois, en cas de multi-wan, on n'a pas le choix. Il faut simplement laisser la partie firewall à SME (on n'a de toutes manières pas le choix !) et confier à PfSense uniquement la partie gestion du multiwan (load balancing, failover...).

Reste qu'en pratique, ce n'est pas simple à mettre en place... Je ne l'ai jamais fait, et pour mon cas personnel j'ai préféré mettre deux SME, une sur chaque WAN avec le LAN commun, et utiliser tantôt l'une, tantôt l'autre comme passerelle selon les services. Pas de load balancing ni de failover donc, simplement une répartition des charges fixe réalisée par la configuration de chaque machine et/ou service. L'inconvénient est compensé par une simplicité d'architecture et de configuration, une meilleure sécurité et une très bonne souplesse d'adaptation aux besoins instantanés (changement de passerelle et donc choix du FAI facile à la demande). C'est une configuration que j'avais mise en place provisoirement faute de temps pour résoudre certains problèmes liés à l'association PfSense-SME, mais qui a l'usage me donne toute satisfaction et que je ne changerai pas.

Il est question de tout cela dans ce fil, et de mon REX dans ce post.

[jdh]

Moi casser du sucre ? Je ne vois pas.

Bon, puisque vous n'acceptez que votre point de vue, puisque vous ne voulez entendre que ce que vous voulez, c'est terminé pour moi.
Il est surprenant que, bien que si fort, vous n'ayez pas encore résolu ce simple, cet élémentaire problème.
Pour un fil, trois posts, le même jour que votre inscription, vous allez fort ...



@Jibe, je pensais que tu citerais ton formidable fil "comment se faire aider efficacement".
Tu sais, le passage sur ceux qui, en plus, le prennent de haut ... ("rabats ton caquet")
Je trouve assez juste ton expression "plus mauvaise solution possible" !
"la simple et bonne raison c'est que je lui ai rajouté", ça c'est l'affectif ! On ne doit jamais rien dire sur l'affectif. C'est une erreur importante.

@ccnet, j'entends bien ta solution pfsense v2 comme proxy (ici et sur le forum pfSense), il n'empêche cela ne vaudra pas un bon proxy dédié (sur Debian) avec une config Squid, SquidGuard au petits oignons (qui demande certes une bonne expertise) . Je reste persuadé que cela peut perturber le débutant d'avoir une machine avec plein d'autres possibilités. (Je prends un pfSense où on enlève tout et on ne garde que Squid, SquidGuard et LightSquid et leurs réglages.)

Je m'excuse de configurer des firewalls depuis plus de 10 ans ...

[ccnet]

Entierement d'accord pour la solution appliance. Elle ne peut égaler la version montée entièrement comme il faut sur un OS Debian par exemple. Cette solution ne saurait remplacer l'expertise et elle trouvera des limites dans bien des cas. Toute la variété des configurations possibles n'est pas réalisable par l'interface de Pfsense.
Il est vrai qu'elle requiert aussi du discernement (ne pas se laisser emporter par le reste des fonctionnalités de Pfsense).

[jibe]

Salut,

@Jibe, je pensais que tu citerais ton formidable fil "comment se faire aider efficacement".
Tu sais, le passage sur ceux qui, en plus, le prennent de haut ... ("rabats ton caquet")

Ça me paraissait un peu exagéré dans ce cas : si smeb a eu une réaction d'impatience un peu trop violente et très injuste, il n'y avait pas de graves manques de précisions et de recherches comme je le dénonce dans mon fil. Mais du coup, j'en ai fait un autre sur la manière d'interpréter les (nos) réponses