PfSense et boitier pf-Box de Think-ITX

[ben350ci]

Vous trouverez sans difficulté des gens pour vous expliquer que c'est parfait.

Je me doute, dès qu'il y a des intérêts financier il y a toujours du monde pour raconter n'importe quoi.
L'espace 1U, j'en ai pas. Je pourrai faire avec mais je préfèrerai pas.

Désolé je fais court car j'ai peu de temps pour le moment.

Il n'y a pas de problème, l'essentiel est la.

[jdh]

Pas mieux que ccnet !

Ce n'est pas parce que c'est possible qu'il faut le faire !
NB : entre les 2 config il y a déjà une différence technique importante qui ne vous dit visiblement rien mais qui compte.

De nombreux fabricants proposent même des boitiers dit "UTM" qui font papa, maman et le café,
c'est à dire qu'ils filtrent par antivirus les mails qui passent, les fichiers téléchargés lors de la navigation, les urls selon des catégories, etc ...
Bien sur que cela fonctionne mais y a-t-il le débit, y a-t-il la performance, y a-t-il la sécurité ?

Il y a un moment où il faut poser les arguments et faire un choix.
Ce que vous ne faîtes pas ! Parce que vous ne mettez pas la même "pondération" que nous !

[ben350ci]

Jdh vous arrêtez de me prendre pour une brêle? Ne me faite pas dire ce que je n'ai pas dit.

Ce Firewall est optimisé pour le filtrage de contenu par Squid / SquidGuard
Il n'est pas possible d'utiliser Squid avec des cartes Compact Flash
Tous nos produits sont vendus assemblés et testés.
Sur le modèle HDD, le système est obligatoirement installé.

Ce que je vois moi c'est que j'ai une bande passante de 2Mbits/s pour une vingtaine de personnes. Ces élèves ne se connectent pas tous en même temps et ils n'ont pas tous un PC.
On peut estimer qu'il y aura, au taquet, 10 sessions simultanées par ligne ADSL. Donc le besoin n'est pas celui d'une grande entreprise.

Effectivement, je n'ai peut être pas les mêmes priorités que vous. Tout simplement parce que nous ne sommes pas dans les mêmes situations.
Si je veux mettre un firewall et un proxy c'est surtout pour pouvoir empêcher les élèves d'utiliser les réseaux de P2P, le streaming et toutes les fonctionnalités web qui utilisent beaucoup trop de bande passante. Cela afin de donner la priorité aux consultations de sites web pour les recherches relatives aux devoirs et garder le contact avec les parents comme je l'avait dit sur une autre sujet sur ce même forum. De ce fait je libère de la bande passante qui aujourd'hui est gaspillée.
Par la même occasion je fait du filtre parental.
Au final, je suis en règle vis à vis de la loi et j'optimise l'utilisation d'Internet.

Quels autres arguments avez vous besoin pour enfin accepter de donner un coup de main sans trainer les pieds?

[jdh]

Il va falloir que ce fil change !

Un/ un boitier pf-box de Think-ITX : je répond que ce type de boitier ne peut faire QUE firewall
Deux/ un boitier Dlink : destiné à la maison
Trois/ un boitier Alix (avec un vrai disque dur) présenté pour faire Firewall + Proxy

Pour les besoins d'une école, avec ado, je considère que le besoin (et les obligations) n'est vraiment pas éloigné de l'entreprise.
(Avec un risque supplémentaire qu'il y ait des petits apprentis ..., dans l'entreprise, on sait qui peut bricoler !)

Ce besoin se résout avec
- un firewall simple : par exemple dans un mini-boitier
- un proxy dédié + WPAD

Maintenant je ferais comme cela, compte tenu non de ce qui est indiqué ici, mais de ce que je peux supposer d'après tous les fils.
Si vous voulez faire à votre sauce, et bien prenez vous par la main ...

[ben350ci]

Parfait! Vous m'avez donné enfin un coup de main concret! Ca a été dur mais on y est arrivé.

Ce besoin se résout avec
- un firewall simple : par exemple dans un mini-boitier
- un proxy dédié + WPAD

Donc j'en arrive à ma question subsidière.
Existe-t-il un routeur ayant un firewall digne de ce nom ou bien j'oublie complètement la fonction firewall sur un routeur?

Puis-je espérer utiliser le parefeu intégré à une box ou au routeur, ou bien est ce que je considère que c'est une daube finie. Il est vrai que la possibilité de paramétrage du firewall d'une livebox est des plus limitée mais est ce que ça ne fait pas l'essentiel? Est ce que je peux me contenter du blocage de toute les connexions entrantes puis d'ouvrir uniquement les ports 80, 25 et 110 puis éventuellement ceux nécessaires aux outils de messaging? Ce genre de materiel est généralement protéger contre les attaques DoS et peuvent filtrer jusqu'à la couche session(SPI), non?
Ensuite, il reste le proxy pour filtrer la couche application, non?

Pour ce qui est du proxy dédié, c'est acquis. J'ai commencé à lire la mise en application du protocole WPAD. OK.

Vous pouvez rester grognon, mais en tout cas ce genre de question "alacon" et vos réponses succintes mais concises me permettent d'avancer dans mon raisonnement.

[ben350ci]

[jdh]

Et maintenant un routeur ? Et comment on empêche toute autre machine que le proxy de passer ?

[ben350ci]

Si le proxy est physiquement interposé entre le firewall et le client, y a t-il un moyen de contourner le filtrage du proxy?

[ben350ci]

La machine faisant office de proxy n'est-elle pas configurée pour intercepter systématiquement toutes les trames qui transitent pas son interface LAN en direction du WAN?

[jdh]

Ceci est mon dernier post (sur ce fil).


Un BON schéma c'est un firewall + 1 proxy dédié (avec une seule carte).


J'ai dit ce qu'il y avait à dire sur ce sujet, cela suffit.

[ben350ci]

C'est très constructif dis donc. Ça donne envie de rester.

[ccnet]

Si le proxy est physiquement interposé entre le firewall et le client, y a t-il un moyen de contourner le filtrage du proxy?

Possible, tout dépend de la façon dont c'est mis en place.

La machine faisant office de proxy n'est-elle pas configurée pour intercepter systématiquement toutes les trames qui transitent pas son interface LAN en direction du WAN?

Non, pas forcément. D'ailleurs la machine n'intercepte pas, elle prend ce que l'on envoie sur son interface réseau. Même dans le cas d'un pont ou d'un routeur ce n'est pas une bonne façon de voir les choses. Encore faut il faire en sorte que l'un de ces dispositifs reste l'unique moyen de sortir du réseau (au sens ip, voire ethernet).

Je persiste à penser que l'architecture saine c'est un firewall et à côté un proxy dans une dmz (réseau ip différent). Dans votre cas, pour des raisons réglementaires et pour la couverture des risques juridiques, il me semble que vous ne pouvez pas faire l'impasse sur l'authentification des utilisateurs, sur la rédaction d'une charte informatique, son acceptation par les utilisateurs et une information formelle sur l'audit du trafic. Avec cette population vos risques ne sont pas que techniques. Partant de ce constat l'architecture puis les solutions techniques suivent.

[ben350ci]

la rédaction d'une charte informatique, son acceptation par les utilisateurs et une information formelle sur l'audit du trafic

Je l'ai déjà préparée. La phase prise de conscience des responsabilités est également achevée.
Je suis dans la phase: recherche de la meilleure solution technique prenant en compte les besoins et les impératifs.
Au fur et à mesure que vous me "lâchez" des renseignements par bribes je lis et j'apprends. Jusque la je ne voyais pas le proxy comme n'ayant qu'un seul lien physique au réseau.
C'est une des raisons pour laquelle je faisais fausse route.

Ça vous étonne tant que ça que quelqu'un veuille apprendre? Même si vous avez dix ans d'expérience, a un moment ou un autre vous avez bien dû être un bleu aussi, non?

Je suis en train de lire ce site: http://irp.nain-t.net/doku.php/220squid:010_fonctionnement Vous parait-il fiable?

[ccnet]

Ça vous étonne tant que ça que quelqu'un veuille apprendre?

Pas du tout. Simplement la question initiale posait le problème comme si tout ce qui est en amont était clair, résolu et entendu. Si vous avez les informations par bribes c'est que nous faisons le chemin en sens inverse.

Je suis en train de lire ce site: http://irp.nain-t.net/doku.php/220squid ... tionnement Vous parait-il fiable?

Très bonne source d'information. Nous la recommandons d'ailleurs très régulièrement.

[ben350ci]

Pour faire mes tests je voudrais les faire sur le matos définitif, et donc pour ça j'ai besoin d'être conseillé.
Et heureusement que je suis venu poser mes questions "débiles" sinon j'aurais commandé la "pf-box".
A un moment donné les idées paraissent claires, mais petit à petit les zones d'ombres apparaissent.
Donc je récapitule:
-modem Internet simple
-Un boitier alix pour faire office de firewall
-Un PC de récup pas trop dégueu pour le proxy

Donc si mon proxy n'est pas un genre de passerelle, et donc, fait parti du réseau sur lequel il va filtrer les requêtes, comment dois-je faire pour que tout les PC connectés à ce réseau passent par le proxy?
Le protocole WPAD implique que le navigateur soit configuré sur "détecter automatiquement les paramètres de proxy", non? Ce qui implique d'avoir soit un serveur http local (juste pour transmettre la config pour passer par le proxy!) soit un serveur ISA. Il n'y a pas un autre moyen?
J'aimerai ne pas avoir à passer sur chaque PC ou MAC des gamins pour leur configurer l'accès.