Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1110 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  Firewall avec DPI gratuit - Conseil/feedback : pfsense,sophos etc

 


 Mot :   Pseudo :  
 
 Page :   1  2  3
Page Précédente
Auteur Sujet :

Firewall avec DPI gratuit - Conseil/feedback : pfsense,sophos etc

n°1086436
dafunky
Posté le 20-08-2019 à 11:56:30  profilanswer
 

Dans le cadre de l'évolution du routage de mon réseau domestique pour mieux contrôler l'activité réseau de mes serveurs applicatifs et de mes progénitures, j'encourage le débat et dans le même temps j'essaie de maintenir le PP qui prendra forme au fil de l'eau.  
 
Le besoin
 
- filtrer et sécuriser le trafic HTTP car on est 6 utilisateurs et j'aimerais filtrer les URL via des listes noires de type NSFW etc..
- isoler le réseau de mes objets connectés wifi.
- protéger les flux entrants/sortants de mes serveurs applicatifs : domotique, caméras, imprimante 3D
- avoir un bon VPN et si possible du remote desktop
- superviser le trafic réseau (volumes de données par sous-réseau, par IP, etc.)
- mettre des règles d'horaires pour certaines IP (pour les tablettes des enfants).
- administrer ça avec une IHM.
- faire tenir ça sur une VM car je ne souhaite pas acheter un routeur/pc dédié.
- cloisonner mon réseau progressivement, VLAN etc.
 
Actuellement j'ai cette configuration à la maison :  
 

Spoiler :

- routeur/modem SFR 100mbps minable
- borne wifi unifi UAP AC LR
- serveur@home X86 socket 1155 avec trois VM : je suis en train de voir pour évoluer le CPU i5 3470T à un Xeon 1260L, et je souhaite basculer sur ESXI, actuellement vmware workstation.
- domotique@home sur une machine virtuelle windows (oui, je suis moins à l'aise sous linux mais je progresse).
- une trentaine d'objets connectés en wifi.
- pihole pour filtrer les pubs via le DNS.
- reverse proxy Træfɪk sur un docker
achat en cours :  
- Carte réseau intel 4 ports


 
Solutions suggérées par la communauté
 
- Routeur ubiquiti USG : visiblement assez limité en fonctionnalités, mais très efficace pour qui ne veut pas se prendre la tête. Plug and Play.  
- Pfsense : routeur logiciel open source demandant de bonnes connaissances en réseau. Permet de faire à peu près tout ce qu'on peut imaginer grâce à l'ajout d'extensions. Une extension proposée est pfBlocker qui permet de gérer des blacklists d'IP, à la façon de piHole pour les DNS, en plus paramétrable.  
- openVPN : fork de Pfsense proposant sensiblement les mêmes fonctionnalités.
- Sophos UTM : solution réputée plus facile d'accès. Gratuit pour les particuliers avec une limite de 50 adresses ip.
- Sophos XG : solution alternative plus récente et en évolution constante. Gratuit pour les particuliers avec une limite de 4 coeurs alloués à l'application et 8Go de mémoire.
 
Solution retenue et partiellement en fonction :
 
- Serveur sur baze de ryzen 2600 / 16Go DDR4 / Carte PCIe 4xIntel Nic
- Proxmox avec mélange de VM, conteneurs LXC et docker
- Sophos XG sur une VM en mode bridge, puis plus tard en gateway.
- Traefik pour le reverse proxy vers mes apps, car il gère très bien les certificats et surtout prend en charge les conteneurs docker en toute simplicité.
 
 
Bilan au 28/10, soit environ 5 semaines après la mise en place
 
- filtrer et sécuriser le trafic HTTP car on est 6 utilisateurs et j'aimerais filtrer les URL via des listes noires de type NSFW etc.. : [:yann39] via sophos . Il a même fallu que je débloque l'accès aux sites de vente chinois :D (aliexpress etc.) et aux sites de jeux vidéo. Grâce à Sophos j'ai également détecté que ma vieille caméra IP essayait de se connecter à mon serveur mutualisé OVH avec un ancien mot de passe depuis plusieurs mois, ce qui m'a permis de comprendre pourquoi je ne parvenais plus à m'y connecter avec les bons identifiants : un mécanisme de type fail2ban blacklistait mon IP à cause de la caméra.
- isoler un réseau pour mes objets connectés wifi : [:judgedredd:2] , non prévu pour le moment, je ne maîtrise pas encore assez pour créer deux réseaux sans tout casser.
- protéger les flux entrants/sortants de mes serveurs applicatifs : domotique, caméras, imprimante 3D [:judgedredd:2] , grâce à Sophos et Traefik pour le reverse proxy qui garantit le HTTPS. Cependant je pense qu'il reste des choses à faire au niveau des différentes applications pour bloquer les tentatives d'intrusion : mécanismes de type fail2ban.
- avoir un bon VPN et si possible du remote desktop : [:judgedredd:2] : pas pris le temps de le faire pour le moment.
- superviser le trafic réseau (volumes de données par sous-réseau, par IP, etc.) :  [:yann39]  ça m'apporte des infos utiles, notamment le trafic assez important causé par les màj microsoft, l'occupation de la bande passante par les streamings, et lesquels (youtube/netflix chez moi).
- mettre des règles d'horaires pour certaines IP (pour les tablettes des enfants). [:judgedredd:2] Sera vu plus tard.
- administrer ça avec une IHM.  [:yann39]  L'admin de Proxmox est vraiment intuitive, celle de sophos aussi. Pour autant, avec Sophos il y a moyen de chopper des cheveux blancs avec les règles de firewall. Je trouve qu'il est le plus souvent difficile d'identifier pourquoi Sophos a bloqué un flux, dans le journal d'évènement je vois quelques messages de type "unknown TCP packet" ou un truc comme ça, j'aurais aimé voir "TCP connection blocked by firewall rule N°xy".
- faire tenir ça sur une VM car je ne souhaite pas acheter un routeur/pc dédié.  [:yann39]  : pour le coup c'est vraiment tout confort d'avoir la totalité des services virtualisés. J'ai perdu pas mal de temps à essayer d'installer docker sur le host proxmox, il m'a pourri les iptables, et l'installation s'est retrouvée HS, il a fallu le mettre dans une VM.  
- cloisonner mon réseau progressivement, VLAN etc. [:judgedredd:2]  Je n'ai pas de besoin réel ou je ne maîtrise pas le sujet.
Et je rajoute :
- Gérer la fonction NAS :  [:yann39]  ça a été la partie la plus simple, j'ai installé samba et miniDLNA directement sur le host proxmox, c'est simple et vraiment efficace.
- Superviser la bonne activité en un coup d'oeil :   [:yann39] Grâce à Grafana et à des templates fournis par les autres utilisateur j'ai un tableau de bord super complet basé sur les métriques fournies par Proxmox, que j'ai complétées avec les  mesures hardware collectées par collectd (temp CPU, Système, vitesse ventilos, fréquence CPU, etc.). Quand j'aurai le temps je mettrai un template docker et un autre sophos.
 
Globalement je suis content, par contre je retiens une chose : il faut toucher le moins possible au host!
 
--------------------
Vocabulaire
--------------------
 
IPS : Intrusion Prevention System : prévention des intrusions
IDS : Intrusion Detection System : détection des intrusions
DPI: Deep packet inspection : technique d'analyse des flux passant dans des équipements réseau au-delà de l'entête. L'équipement recherche des informations dans la charge utile des paquets plutôt que dans les entêtes (à l'inverse des approches classiques). Des signatures sont le plus souvent recherchées pour détecter des types de flux et agir en conséquence. Il existe plusieurs domaines d'applications : priorisation ou ralentissement de flux particuliers, censure, détection d'intrusion. L'inspection est mise en œuvre par des gouvernements, des FAI et des organisations à ces fins. L'inspection peut fortement ralentir le trafic là où elle est utilisée, cela est du à la grande puissance de calcul nécessaire pour gérer un trafic important.
Snort: Snort is a free open source network intrusion detection system (IDS) and intrusion prevention system (IPS) created in 1998. In 2009, Snort entered InfoWorld's Open Source Hall of Fame as one of the "greatest [pieces of] open source software of all time"


Message édité par dafunky le 28-10-2019 à 15:30:16

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
mood
Publicité
Posté le 20-08-2019 à 11:56:30  profilanswer
 

n°1086446
LibreArbit​re
RIP mon Orion
Posté le 20-08-2019 à 12:26:17  profilanswer
 
n°1086456
LibreArbit​re
RIP mon Orion
Posté le 20-08-2019 à 13:20:25  profilanswer
 

Pour le contrôle parental moi je passerai plutôt sur Norton Family Premier (10 euros par an sur le marché gris) car le produit a l'air vraiment top et ça permet de protéger tous les devices (PC, tablette iOS/Android, et malinphone) (https://family.norton.com/web/?ULang=fra)...
 
Le combo Squid/Squidguard est pas mal mais ne fait que du filtrage alors que l'app de Norton va beaucoup plus loin (contrôle/filtrage de la diffusion de données personnelles, quota d'Internet, surveillance des recherches, filtrage du contenu sur YouTube, surveillance des app mobile) avec pleinde dashboard et d'alertes mails...
 
Si en plus de ça tu te prends un ERL-3/4 (quitte à garder ton routeur SFR et à le mettre en bridge vers l'ERL) tu vas gagner en sécurité et en performance, surtout en combinaison avec ton UAP-AC-LR et une VM Unifi (avec possibilité de faire un portail captif pour tes invités donc dans un VLAN dédié). L'ERL via le DPI va t'indiquer la BP par IP et par appli donc c'est top.
 
Tu pourras passer à la maison pour une démo en live d'ailleurs !
 
En fait, l'infra que tu veux mettre en place est sympa mais tu risques de devoir mettre les mains dans le cambouis et à troubleshooter ça risque de générer des stress et de te faire passer des nuits blanches...


---------------
Hebergement d'images | Le topic de la VR standalone
n°1086458
dafunky
Posté le 20-08-2019 à 13:35:29  profilanswer
 

Merci pour ton retour détaillé.
 
Pour norton, je vais y souscrire quand j'aurai un moment. Si je comprends bien squidguard est également client, donc je ne creuse pas plus loin cette piste si norton recouvre ses fonctionnalités.
Pour l'ERL3/4, j'avais étudié ça en juillet, je ne sais plus pourquoi j'avais conclu qu'il n'était pas adapté. Je crois qu'il manquait entre autres le VPN, et pour le filtrage de paquets/services il est super limité de mémoire.  
 
Vu que j'ai déjà l'appli unifi en service, effectivement c'est assez tentant, mais j'aimerais bien mettre en place pfsense, quitte à l'exploiter progressivement, et si je me vautre j'envisagerai de claquer les 100 balles que coûtent un erl.
Et merci pour l'invitation :jap: Faudrait qu'on se voie à l'occasion.


Message édité par dafunky le 20-08-2019 à 13:43:27

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1086459
Flipper203
Posté le 20-08-2019 à 13:40:24  profilanswer
 

drap, des choses que tu souhaites faire m'intéressent

n°1086460
Delivereat​h
Posté le 20-08-2019 à 13:41:30  profilanswer
 

Sophos UTM/XG. Probablement ce qui se fait de plus complet avec licence gratuite.

n°1086463
dafunky
Posté le 20-08-2019 à 14:23:57  profilanswer
 
n°1086470
LibreArbit​re
RIP mon Orion
Posté le 20-08-2019 à 15:18:04  profilanswer
 

Delivereath a écrit :

Sophos UTM/XG. Probablement ce qui se fait de plus complet avec licence gratuite.


Pas de vente directe pour des particuliers et 2K+ HT (modèle Sophos XG 125 v3) pour moi avec ma fibre Gb/s :lol:

 

Non merci :D

Message cité 1 fois
Message édité par LibreArbitre le 20-08-2019 à 15:18:59

---------------
Hebergement d'images | Le topic de la VR standalone
n°1086471
dafunky
Posté le 20-08-2019 à 15:20:59  profilanswer
 

Qu'est-ce qui ne te convient pas dans Sophos UTM Édition familiale?


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1086472
Delivereat​h
Posté le 20-08-2019 à 15:23:38  profilanswer
 

LibreArbitre a écrit :


Pas de vente directe pour des particuliers et 2K+ HT (modèle Sophos XG 125 v3) pour moi avec ma fibre Gb/s :lol:

 

Non merci :D


Heu, t'as des versions gratuites qui s'installent sur ton matos.

mood
Publicité
Posté le 20-08-2019 à 15:23:38  profilanswer
 

n°1086475
LibreArbit​re
RIP mon Orion
Posté le 20-08-2019 à 15:36:59  profilanswer
 

Je pensais que tu parlais de version gratuite sur HW proprio ;)

 

Sinon, review complète de la version premium de Sophos UTM : https://securitygladiators.com/sophos-home-premium/

Message cité 1 fois
Message édité par LibreArbitre le 20-08-2019 à 15:39:40

---------------
Hebergement d'images | Le topic de la VR standalone
n°1086476
dafunky
Posté le 20-08-2019 à 15:37:26  profilanswer
 

@Libre : attention chez Norton ils ont castré l'offre "premier" pour justifier une offre "premium"...
 
Ce qui est visiblement absent sur l'offre premier :  
 

  • Meilleure protection contre les virus et malwares
  • Protection contre les virus 100 % garantie
  • Protection de l’identité
  • Prise en charge de 10 appareils
  • Sauvegarde automatique
  • Stockage en cloud de 25 Go
  • Sécurité à la pointe de la technologie5  [:toyoyost:2]  
  • Détection des menaces du monde entier  [:cloud_]


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1086477
LibreArbit​re
RIP mon Orion
Posté le 20-08-2019 à 15:40:30  profilanswer
 

A 10 balles par an je ne me prendrais pas la tête, j'essaierai le deux (dans des VM) dans le doute :o


Message édité par LibreArbitre le 20-08-2019 à 15:40:42

---------------
Hebergement d'images | Le topic de la VR standalone
n°1086568
dafunky
Posté le 21-08-2019 à 13:14:09  profilanswer
 

Je suis en train d'étudier sophos, je me disais qu'avec la limitation à 50 ip pour la version home, j'allais être emmerdé à cause de mes objets connectés. En fait la version UTM se base sur le nombre d'ips, mais la version XG se contente de limiter le nombre de coeurs alloués, ce qui me va très bien.
 

Citation :

What you need
 
    Intel compatible computer with dual network interfaces. (Any previous OS or files on the computer will be overwritten when installing the XG Firewall Home Edition)
    Home Edition is limited to 4 cores and 6 GB of RAM. The computer can have more than this, but XG Firewall Home Edition will not be able to utilize it.


 
Source : https://www.sophos.com/en-us/produc [...] ition.aspx
 
 
 
 
EDIT : une comparaison imagée entre pfsense et sophos
 

Citation :

I left pfsense years ago for Sophos SG UTM (the old version). IMHO, The new Sophus UTM (XG) isn't quite fully baked just yet, but is getting close. Have a look at the Sophos forums to see which would be right for you.
 
Which is better is subject to what you want. If you want a full featured firewall with intrusion detection and application control, Sophos is the way to go. If you want a hot-rod where you control every nut and bolt, go pfsense.
 
There probably isn't anything that Sophos does that pfsense can't be made to do, but with Sophos, getting something done is one or two mouse clicks. With pfsense, anything other than basic firewall functionality requires lots of research, installing third party packages, then trying to figure out how to make it all play together using probably outdated documentation.
 
Think of pfsense as a homemade bucket-T roadster with a Chevy 350 engine. Great performance, but the driver's seat is an aluminum lawn chair, and when it rains, you get wet.
 
Another way to look at it is that Sophos has a task oriented menu system. With pfsense, the web menus are essentially just a front end for the myriad of configuration options that each component requires.
 
An example of this is creating client access VPN. With Sophos, you enter a few details, click a few buttons, and Sophos builds all of the needed pieces for you including a web portal where clients can download their certificates and client software.
 
With pfsense, you first have to make pfsense a certificate authority which requires you to configure a dozen options that require a masters degree in certificates to understand. To make matters worse, 90% of those options have reasonable default values that could have been used instead of making the user figure out what needs to go there. Then you have to configure certificates for the users. Then you have to set up the networking. Then you have to set up DHCP. Then you have to get the client cert and the client software to the user.
 
Last thought: If you decide to go with pfsense, check out OPNSense and research why you might want to choose it instead of pfsense.


 
Source : https://www.reddit.com/r/homelab/co [...] s_pfsense/


Message édité par dafunky le 21-08-2019 à 14:18:34

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1086581
dafunky
Posté le 21-08-2019 à 14:32:20  profilanswer
 

LibreArbitre a écrit :

Je pensais que tu parlais de version gratuite sur HW proprio ;)
Sinon, review complète de la version premium de Sophos UTM : https://securitygladiators.com/sophos-home-premium/


 
En fait c'est pas du tout Sophos UTM qui est dans l'article. Sophos UTM c'est une solution firewall centralisée, comme Sophos XG, tandis que le Sophos Home de ton lien c'est une solution à installer sur chaque pc, qui fait antivirus deluxe comparable à norton etc.  
Et l'article est insupportable à lire   [:calimefrog:2]


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1086582
Delivereat​h
Posté le 21-08-2019 à 14:36:23  profilanswer
 

dafunky a écrit :

Tu l'utilises?


Oui j'utilise XG depuis 2 ans je crois. Ca fonctionne très bien et plutôt simple à utiliser. Pfsense m'a fait peur par sa complexité, semble très orienté ingé sécurité IT.

 

Avec sophos, en deux cliques tu bloques Netflix ou Facebook à ta femme et gamins  :D

n°1086583
dafunky
Posté le 21-08-2019 à 14:39:23  profilanswer
 

[:mrmeth68:5]  [:baf - flop:4]   [:haha want]  [:macho man:5]  
 
je commence à être chaud pour sophos XG. Tu l'as mis sur une VM? ça consomme? J'ai 6 utilisateurs plutôt actifs à la maison, la connexion 100mbps est bien exploitée.


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1086592
Delivereat​h
Posté le 21-08-2019 à 16:19:36  profilanswer
 

dafunky a écrit :

[:mrmeth68:5] [:baf - flop:4] [:haha want] [:macho man:5]

 

je commence à être chaud pour sophos XG. Tu l'as mis sur une VM? ça consomme? J'ai 6 utilisateurs plutôt actifs à la maison, la connexion 100mbps est bien exploitée.


Ca tourne sur une VM sur une machine à base de i7-5500u et 8go de ram, avec à côté quelques containers docker (pihole, openvpn). Ca tourne bien mais j'ai seulement 60 Mbps. Je pense que sur une connexion Gigabit ça ne tournerait pas avec firewall + web filter + IPS.

n°1086598
cartemere
Posté le 21-08-2019 à 17:07:09  profilanswer
 

flag !

n°1086599
LibreArbit​re
RIP mon Orion
Posté le 21-08-2019 à 17:12:15  profilanswer
 

Ah bah l'IDS c'est le cancer hein et honnêtement, passer de 920 Mb/s à 60 Mb/s ça me hype pas tant que ça et la phrase magique :
 

Delivereath a écrit :

Pfsense m'a fait peur par sa complexité, semble très orienté ingé sécurité IT.


 
On est ingé en IT :o
 
Donc no go pour moi, surtout parce que j'ai pas envie de voir mon débit divisé par 20 donc ça sera client lourd pour tout le monde et dashboard sur mon PC :)
 
Cela dit, l'idée de monter une petite machine me hype aussi mais vla la puissance qu'il va falloir pour faire du DPI et de l'IDS... Surtout que mon ERL fait déjà ça (même si j'ai désactivé le DPI car ça consomme effectivement pas mal de ressources)...


---------------
Hebergement d'images | Le topic de la VR standalone
n°1086601
dafunky
Posté le 21-08-2019 à 17:25:06  profilanswer
 

Du coup peut être que mon i5 2C/4T@2.9-3.6Ghz sera plus efficace qu'un E3 4/8 2.4-3.3? Hum, quel suspens  [:transparency]  
Ou alors je ne me casse pas la tête, je bazarde ma config 1155 actuelle et je monte une nouvelle en faisant un underclock/undervolt sur le ryzen 2600 que je viens de chopper pour une bouchée de pain. Le problème c'est que ça me fait tout changer, DDR, carte mère etc.
 
Sinon ci-dessous ça parle de comparaison entre pfsense et sophos, ça dit que sophos consomme un peu plus mais visiblement pas besoin d'une machine de guerre pour gérer un réseau@home...
https://www.reddit.com/r/homelab/co [...] s_pfsense/


Message édité par dafunky le 21-08-2019 à 17:26:11

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1086602
cartemere
Posté le 21-08-2019 à 17:29:45  profilanswer
 

Delivereath a écrit :


Ca tourne sur une VM sur une machine à base de i7-5500u et 8go de ram, avec à côté quelques containers docker (pihole, openvpn). Ca tourne bien mais j'ai seulement 60 Mbps. Je pense que sur une connexion Gigabit ça ne tournerait pas avec firewall + web filter + IPS.


ouch, c'est sacrément gourmand  :sweat:

n°1086604
Profil sup​primé
Posté le 21-08-2019 à 17:37:36  answer
 

Je drap même si pour le moment je n'ai pas encore de solution vraiment dédiée à cette tâche :)

n°1086605
dafunky
Posté le 21-08-2019 à 17:38:14  profilanswer
 

@cartemere t'en sais rien si c'est gourmand ou pas, pour le moment il confirme juste que ça fonctionne sur son i7 ultra basse conso. Comme précisé plus haut, le principe est d'inspecter tous les paquets qui transitent sur le réseau avec une tonne de règles, visiblement avec un CPU basse conso lambda (pas ultra basse conso) ça tournera bien pour un réseau@home. La question est de savoir combien d'autres applications tu veux faire tourner sur la même machine.
 
Pour info pfsense tourne impeccable sur un celeron j1900. La seule raison pour laquelle je n'ai pas acheté de box chinoise à base de j1900 est la fameuse histoire des instruction AES-NI qui ne sont pas présentes sur ce CPU. Ce qui est tragique, c'est qu'aucun CPU n'approche les performances du J1900 dans sa tranche de prix, il faut rajouter 80€ pour retrouver ses perfs avec un CPU AES-NI dans une box chinoise. Bon, avec les promos sur le N3450, ce constat a peut être changé du coup.
 
Bon, moi la question que je me pose c'est comment je vais faire cohabiter ça avec traefik, mon reverse proxy. Ma compréhension atteint ses limites ici :'(
 
 
Sinon ceux qui veulent jeter un coup d'oeil à Sophos XG, voici une démo assez intéressante :  
 
https://demo.sophos.com/webconsole
 
login : demo
pwd : demo


Message édité par dafunky le 21-08-2019 à 17:41:48

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1086611
dafunky
Posté le 21-08-2019 à 18:17:50  profilanswer
 

Alors la discussion ci-dessous permet de dégager une règle "grosso modo" pour estimer le CPU nécessaire pour que sophos puisse encaisser une connexion 1Gbps en utilisant l'IPS (network intrusion prevention system):  
 
- Débit 1Gbps => fréquence CPU > 3Ghz.
- 1 Session = exactement 1 core pour le snort (IPS)
 
Par conséquent, si on est deux sur le réseau avec une connexion 1Gbps, autant avoir un i5 >=3Ghz , si on est 6 à la maison avec une connexion 100Mbps, autant avoir un xeon 4C/8T @2.5Ghz
 
Source : https://community.sophos.com/produc [...] t-bandwith


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1086617
katkar
Posté le 21-08-2019 à 19:05:36  profilanswer
 

J'utilise depuis environ 5 ans, PFsense avec une connexion fibre ...  
Si vous avez des questions  :hello:
 
dafunky => j'avais un J1900 , mon nouveau proc est bien plus puissant (pour la même conso) ;)
 
 
http://image.noelshack.com/minis/2019/34/3/1566407462-pfsense.png


Message édité par katkar le 21-08-2019 à 19:11:24
n°1086618
VisualC++
J'va y penser ...
Posté le 21-08-2019 à 19:17:00  profilanswer
 

Pour ma part aucun soucis sous pFSense depuis pas loin de 3 ans (depuis un peu plus de 6 mois sous VM proxmox, et sinon sous ESXI).  
 
@dafunky - Gen8 avec un Xeon 1265 v2, la VM dédiée ne dispose que de 2CPU/2GO/8GO HDD et malgré du traffic (ado, netflix, domotique, sites web hostés) sur une cnx VDSL 80/20, le CPU est tranquille même en session VPN.
 
Edit: j'allais mettre un screenshot, mais ca ressemble étrangement à celui de katkar sans squid mais avec openvpn


Message édité par VisualC++ le 21-08-2019 à 19:24:37
n°1086621
LibreArbit​re
RIP mon Orion
Posté le 21-08-2019 à 19:42:14  profilanswer
 

Dites les gens, c'est pas que la fonction FW qui intéresse Dafunky sinon autant prendre un ERL qui sera tout aussi performant sauf que lui ne consommera que 10 watts et sera petit et passif... Le cœur du problème c'est le contrôle parental... Existe-t-il des plugins couvrants ce type de fonctionnalités ?


---------------
Hebergement d'images | Le topic de la VR standalone
n°1086622
VisualC++
J'va y penser ...
Posté le 21-08-2019 à 19:52:55  profilanswer
 

pfBlocker (du même style que pihole) rempli très bien ce rôle avec de bonnes listes: pour moi le gros avantage c'est que cela fonctionne pour n'importe lequel des équipements et pas uniquement un tel/pc/tablette mais aussi les TV/box TV/chromecast etc

 

Et ce n'est pas que le filtrage qui l'intéresse ;)


Message édité par VisualC++ le 21-08-2019 à 19:53:35
n°1086625
Celos
Posté le 21-08-2019 à 21:09:29  profilanswer
 

Pour faire dans le simple, pourquoi ne pas utiliser directement opendns ? Ils proposent de configurer les catégories bloquées.

n°1086626
dafunky
Posté le 21-08-2019 à 21:48:13  profilanswer
 

Merci à tous pour vos réponses et retours d'expérience. J'ai changé le titre du topic pour mieux préciser le niveau d'exigence, et histoire de se mettre un peu de challenge, sinon Libre a raison, un ERL fait un partie du job.
 
Si je comprends bien pfSense + pfBlocker permettent de gérer des listes d'IP, c'est déjà un bon départ.  
 
Là je suis sur la démo de sophos donnée en lien plus haut, ça va d'emblée assez loin, on peut regrouper des utilisateurs (ip) dans des groupes, définir des stratégies de protection personnalisées pour chaque groupe, ainsi que des plannings, en quelques clics dans l'ihm. Partant de là, on peut interdire les réseaux sociaux au delà de 22h, bloquer le trafic HTTP à partir de minuit, etc.
 
Je ne veux pas aller jusqu'à gérer les autorisations de chaque personne et de leur planning personnalisé dans le firewall, car ce sera fait sur les appareils des gamins selon leur âge. Par contre ça m'arrange de restreindre l'activité réseau en pleine nuit de façon quasi généralisée sur la plupart des appareils.
 
Ensuite vient la question du DPI / IPS / IDS : vous qui utilisez déjà pfsense, quel niveau de sécurité avez-vous sur ces sujets?


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1086627
katkar
Posté le 21-08-2019 à 22:22:40  profilanswer
 

dafunky a écrit :


Ensuite vient la question du DPI / IPS / IDS : vous qui utilisez déjà pfsense, quel niveau de sécurité avez-vous sur ces sujets?


Je comprends pas la question :??:
Snort dans mon cas, bloque pdt 1h l'IP à l'origine de l'alerte (tentative de scan, trojan, etc ...)  
J'héberge pas de site web ... Je suis rarement embêter par Snort :)
 
Sinon, PFblocker fait le plus gros du boulot de filtrage/sécurisation ...  
Et mes "objets connecté" ne sont pas sur le même lan (et en sont isolés) que mes ordis (sauf la google home pour une question de praticité) ...  
 
Voila Voila :)


Message édité par katkar le 21-08-2019 à 22:23:13
n°1086631
VisualC++
J'va y penser ...
Posté le 21-08-2019 à 23:02:13  profilanswer
 

Perso même en hébergement de qq sites (des trucs à vocation familiale certes pour la plus part), franchement snort m'embête pas plus que cela.

n°1086639
Delivereat​h
Posté le 22-08-2019 à 08:00:26  profilanswer
 

cartemere a écrit :


ouch, c'est sacrément gourmand :sweat:


C'est peut-être mal formulé mais j'ai une connexion 60 Mbps et je les atteins. Je peux pas tester sur un lien gbps mais je vais regarder si le i7 est à genoux avec 60 mbps ou s'il a encore de la marge.

Message cité 1 fois
Message édité par Delivereath le 22-08-2019 à 10:08:53
n°1086649
webmail-75​000
Posté le 22-08-2019 à 09:27:48  profilanswer
 

drap


---------------

n°1086662
DannyElfma​n
Kinrick o Scotland
Posté le 22-08-2019 à 10:59:10  profilanswer
 

Perso, j'ai un routeur firewall dédié sous opnsense, un 4cores/8Go ram/120Gb SSD, 4 ports reseaux intel, en fanless.
 
Pas encore activé le DPI mais aucune probleme de débit en fibre (1Gbs/500Mb)
 
Je ne me voyais pas avoir une VM Sophos ou Pfsense/OPNsense sur mon esxi. Trop de surcouches et multiplication des pannes.
 
Si ma parano de la panne revient, je monte un cluster et basta.


---------------
Blood is rushing into your muscles and that's what we call The Pump. Your muscles get a really tight feeling, like your skin is going to explode any minute ...
n°1086663
DannyElfma​n
Kinrick o Scotland
Posté le 22-08-2019 à 11:01:26  profilanswer
 

Ah c'est sous opnsense (mais idem sous pfsense), tu as du web filtering :  
 
https://docs.opnsense.org/manual/ho [...] ilter.html
 
Tu peux aussi controler l'acces de tes gamins via les mac adress / ip, etc ..


---------------
Blood is rushing into your muscles and that's what we call The Pump. Your muscles get a really tight feeling, like your skin is going to explode any minute ...
n°1086666
DannyElfma​n
Kinrick o Scotland
Posté le 22-08-2019 à 11:13:49  profilanswer
 

Une piste aussi en fonction de ce que tu veux faire et de ce que tu as : https://github.com/e2guardian/e2guardian


---------------
Blood is rushing into your muscles and that's what we call The Pump. Your muscles get a really tight feeling, like your skin is going to explode any minute ...
n°1086667
Flipper203
Posté le 22-08-2019 à 11:22:23  profilanswer
 

DannyElfman a écrit :

Perso, j'ai un routeur firewall dédié sous opnsense, un 4cores/8Go ram/120Gb SSD, 4 ports reseaux intel, en fanless.
 
Pas encore activé le DPI mais aucune probleme de débit en fibre (1Gbs/500Mb)
 
Je ne me voyais pas avoir une VM Sophos ou Pfsense/OPNsense sur mon esxi. Trop de surcouches et multiplication des pannes.
 
Si ma parano de la panne revient, je monte un cluster et basta.


 
c'est quoi comme hardware ? ça peut aussi remplacer un USG pour faire box opérateur?

n°1086671
dafunky
Posté le 22-08-2019 à 11:50:30  profilanswer
 

DannyElfman a écrit :

Pas encore activé le DPI mais aucune probleme de débit en fibre (1Gbs/500Mb)
Je ne me voyais pas avoir une VM Sophos ou Pfsense/OPNsense sur mon esxi. Trop de surcouches et multiplication des pannes.


 
Je ne vois pas comment tu pourrais avoir un problème de perf si tu ne fais pas de DPI vu ta config dédiée. Ton serveur doit se tourner les pouces ou alors quelque chose m'échappe.
Par contre je ne vois pas comment on peut avoir une panne avec le couple ESXI/Sophos, ce sont deux applicatifs packagés pour une utilisation professionnelle/industrielle et tous les feedbacks que je vois au sujet de sophos mettent en avant la simplicité et stabilité.  
 
J'en profite pour demander : comment je fais pour installer ESXI sur ma machine? C'est une petite machine avec 2X sata, actuellement l'un sert pour le HDD et l'autre sert pour le SSD qui contient l'OS + les VM.
Si je bascule sur ESXI, je formate le SSD, j'installe ESXI, et ensuite je copie les VM dessus, que j'aurai préalablement copiées sur le HDD?


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  Firewall avec DPI gratuit - Conseil/feedback : pfsense,sophos etc

 

Sujets relatifs
Configuration PfSenseRouteur MikroTik, routage 1Gb/s
conseils pour reseau domicileutiliser PFsense virtualisée comme routeur
modem 4G avec filtrage adresses mac par horairesSynology - OpenVPN - Routage
Box internet et table de routage ?Routage via Virtualbox
[ Résolu ] Navigation internet PfsenseChoix modem/routeur pour vieux pc/pfsense et interrogations
Plus de sujets relatifs à : Firewall avec DPI gratuit - Conseil/feedback : pfsense,sophos etc


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR