eberkut a écrit :
Le 28 août 08 à 15:56, Hubert Ulliac a écrit :
Je n'utilise pas ces fonctionnalités actuellement mais m0n0wall et
pfsense (qui est un développement parallèle de m0n0wall et peut être
installé sur disque permettant ainsi d'installer des packages
supplémentaires) offrent la possibilité de faire du carp et pfsync.
Cela tourne sous freebsd. Sur notre campus nous avons m0n0wall (sur
boîtiers wrap) et pfsense (sur des serveur 1U) depuis plusieurs
années et ce sont de superbes logiciels.
Les serveurs sous pfsense nous permettent aussi d'avoir squid
"maison" + un proxycgi "shibolleth'isé"
Interface de gestion graphique, accès shell, ...
Nombreuses fonctionnalités (voir plus bas).
Il y a eu un bon tutoriel sur pfSense lors de la dernière BSDCan 2008,
très honnête sur les perf' et l'utilisation qui peut en être fait :
http://www.bsdcan.org/2008/schedule/attachments/66_pfSenseTutorial.pdf
Personnellement, entre l'obligation interface WAN/LAN (sinon ça
s'installe pas) et les règles par défaut, je le vois quand même plutôt
comme une passerelle de branch office ou pour faire un frontend devant
quelques serveurs que comme un vrai firewall.
Tout à fait d'accord pour m0n0wall.
Pour pfsense c'est vrai que nous l'utilisons principalement pour des
flux sortants. Pour nos flux entrants généraux nous avons autre chose
donc pas vraiment de retour d'expérience dans ce cas pour son utilisation.
Et pour les mêmes raisons que Youssef (d'expérience), j'irai plutôt
sur des appliances moins compliquées à gérer.
D'expérience, je ne trouve pas pfsense compliqué à gérer, en tous cas
pas par rapport aux appliances ou plateformes propriétaires que je
connais. Mais d'accord sur le fait qu'il ne convient pas forcément à ce
que recherche Pierre. Je pense quand même que ce sont des logiciels
qu'il est bon de connaître, voire essayer (chez soi par exemple:-).
Surtout si maintenant, vu les limitations de Linux pour faire de la
redondance de firewalls, Pierre commence à se tourner vers OpenBSD et
qu'il admet lui-même que personne ne maîtrise dans son équipe.
Ou alors se passer de firewall ;-}
Il y a eu il y a quelques mois un long thread intéressant avec les pour
et les contre sur ce sujet dans une liste de diffusion sur le thème des
firewall (je n'ai pas en tête le nom de la liste et je n'ai pas le temps
de chercher).
Une grosse université américaine était citée en exemple.
Cordialement,
--eberkut---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
