frnlendeitptes
Windows 10 - gérer les themes windows

Comme tout le monde nous cherchons sur nos machines linux ou Windows et même Mac à changer les fon [ ... ]

SuperMicro - Carte mère X8dth-i

Pour mes SAN/NAS home made j'ai il y quelques années choisi cette marque "SuperMicro" acheté sur l [ ... ]

Dell - PowerEdge C6100

Il y a quelques temps que j'ai fait l'acquisition de serveurs Dell. A l'époque je cherchais des  [ ... ]

Proxmox

a suivre

Mon Projet - Ma Baie Informatique
Mon Projet - Ma Baie Informatique

Comme vous le savez j'ai plusieurs machines qui prennent pas mal de place dans mon domicile. &nbs [ ... ]

Pfsense est une Solution libre, open source personnalisée de FreeBSD adapté pour une utilisation en tant que pare-feu et routeur.

En plus d'être un puissant, plate-forme flexible pare-feu et de routage, il comprend une longue liste de caractéristiques connexes et un système de paquets permettant augmente encore l'évolutivité sans ajouter la météorisation et failles de sécurité potentielles à la distribution de base. Pfsense est un projet populaire avec plus de 1 million de téléchargements depuis sa création, et ont fait leurs preuves dans d'innombrables installations allant de petits réseaux domestiques à protéger un ou plusieurs PC et ou un plusieurs petits serveurs personnels et ou les dernières console de jeux, et pour les grandes entreprises, les universités et autres organisations de protection des milliers de périphériques réseau.

A ce jour nous sommes à la version 2.1-RELEASE au 09/2012 (pour ma part sur la version AMD).

Pfsense comprend plus toutes les fonctionnalités de pare-feu coûteux commerciales, et plus encore dans de nombreux cas. Ce qui suit est une liste de fonctionnalités actuellement disponibles dans le communiqué de Pfsense 2.0. Toutes ces choses sont possibles dans l'interface web, sans rien toucher à la ligne de commande. Cela implique une intervention minimum sur les machines sauf pour des maintenances matériels ou de grosse mise à jour qu'il est préférable de faire sur les machines. Le gros plus que je trouve à cette solution est que l'on peut mettre en œuvre une continuité de service par la redondance ; soit par le principe de "failover", soit par la répartition de charge ou "loadbalancing", de tout ou partie des services. A titre personnel j'ai mis en place un tel mode de fonctionnement chez moi, vous en découvrirez comment sur ce site dans plusieurs articles. Les petits moins sont dû à la non disponibilité des drivers pour beaucoup de produits matériels, il faut se documenter sur leur disponibilité et ou leur compatibilité, j'en ai fait les frais sur des cartes wifi que je pensais supportée par Pfsense. Les communautés BSD sont très actives et ouverte à l'entraide quelques soit la solution BSD, j'en veux pour preuve que des gens ne connaissant pas Pfsense m'ont expliqué le concept du UCARP pour leur solution et grâce à cela j'ai pu mettre en pratique sur ce système.

Je vous propose de voir les diverses façon de mettre en œuvre Pfsense au sein d'un réseau.Installation en routeur simple

 

  • le service dhcp,
  • le service de proxy web,
  • le portail captif,
  • les règles de redirection d'adresse et de port ; implantation d'une zone démilitarisée ou DMZ
  • le principe est simple et pas trop compliquer à appréhender.

 

Les Utilisations Possibles

Nous partons d'un réseau simple (un petit réseau domestique ou de pme-pmi) qui utilise un accès internet.

Le cas de l'entreprise ou le particulier décide de mettre en place un site web dans ces locaux nous mettrons le ou les serveurs web dans une zone neutre aussi appelé zone démilitarisée en anglais "demilitary zone", cette zone permet d'isoler les services web accessible de l'extérieur des autres qui seront protégés par le routeur Pfsense.

Ensuite nous pouvons pour les utilisateurs nomade (liaison sans fils) de mettre en place un portail wifi captif c'est à dire qu'il faudra que les personnes qui se connecte via le réseau sans fils s'authentifie. 

 

 

 

 

 

 

 

 

Installation en routeur pour la continuité de services : le failover

  • un accès internet vers un réseau local
  • deux accès internet vers un réseau local
  • deux accès internet vers réseau avec une zone démilitarisée

 

Le principe est simple mais complexe à mettre en œuvre.

Le concept est le suivant en sachant que pour les éléments (modems, routeurs, serveur dans la dmz) sont doublé de sorte que si l'un ces derniers se trouvent inaccessible (maintenance, incident,...) l'élément secondaire prendra le relais de façon transparente pour les utilisateurs du réseau et des connexions venant de l'extérieur.

Nous avons que les routeurs de doublé pour assurer les principaux services de connexion, seul inconvénient majeur est que si la ligne internet est en défaut, il n'y a plus d'internet du tout.

Nous avons la doublé aussi la connexion à internet avec un autre FAI (fournisseur d'accès internet), ici l'inconvénient majeur sera le surcroît lié à la deuxième ligne internet, mais l'avantage important sera que si l'une ou l'autre ligne est mise en défaut la connexion restera active.

Nous avons, sur le schéma 2, rajouté une DMZ pour isoler les serveurs et services qui seront en prise direct avec l'extérieur par un mécanisme de transfert de port et routage d'adresses pour des raisons de sécurité. L'exemple le parlant pour une entreprise est quand elle veut ouvrir un site marchand qu'elle veut en avoir la pleine maitrise et met les moyens (humain, financier) pour réaliser ce type de projet. Quoi que, il n'y a que le coût matériel et humain qui reste le même, à quelques chose prêt, le coût licence est presque nul et se transforme en coût d'assistance technique ou de hotline avec des solutions dites open source (hé oui l'open source ne veux pas dire que tout est gratuit, relisez bien les licences qui y sont rattachées)

 

Installation en routeur en répartition de charge : le load balancing

Les schémas de câble et de montage sont identiques que pour le failover là où cela change c'est sur la mise en œuvre des paramètres, car quand le failover est là pour avoir une continuité de services le load balancing ou aussi appelé l'équilibrage de charge permet de faire en sorte que le débit des connexions soit réparti entre les deux routeurs qui travaillent de concert en mutualisant les services fournis (dhcp, proxy web, portail captif...) et connexion internet s'il y en plus d'une de disponible bien sûr.

 

  • Deux accès internet vers un réseau local
  • Deux accès internet vers deux réseaux locaux

 

Installation de routeurs en cascade

Le routeur en première ligne : qui a des paramètres moins restrictifs et permet les connexions venant de l'extérieur vers les sites web ou applicatifs de e-commerce par exemple ou de laisser passer via des tunes de réseau privé jusqu'aux applications métiers que les commerciaux pourraient avoir besoin. le routeur en deuxième ligne : de mettre le réseau en deux distinct le réseau local et une dmz interne avec tous les services et serveurs métiers, serveurs de données, et autres ainsi que l'interopération avec le réseau wifi.

Ceci reste des exemples de conception de réseau, pour le dernier schéma il est tout à fait possible de doubler par le mode du failover les deux routeurs, la connexion internet, et aussi les bornes wifi, ainsi que les liens réseaux et actifs réseaux (routeur, pont...) tout va dépendre de votre budget et de la politique sur la sécurité des données informatiques que votre entreprise veut mettre en place.

 

Mes conclusions

Dans tous les cas de figure le site et le forum officiel de Pfsense sont par essence les premiers sites où aller voir avant de se lancer dans l'opération.

Le site web http://www.pfsense.org en anglais

Le forum http://forum.pfsense.org  en anglais avec une section francophone destiné pour des utilisateurs ayant déjà de bons bagages technique en informatique et surtout en réseaux.

Le Forum est dernièrement visité par des personnes qui ont une rédaction de plus en plus déplorable et cela passe très mal, vois pas du tout, donc je ne serais que trop de faire attention sur ce point-là qui même si vous n’avez pas la prose de Verlaine ou de Rousseau, s’il se faire des nœuds au cerveau à chaque fois pour comprendre une vache espagnole qui parle javanais en gothique les personnes qui sont susceptibles de vous aider ne prendrons même le temps de vous lire et encore moins de répondre

X

Right Click

No right click