Le 2013-09-21 10:46, Xavier Beaudouin a écrit :
Hello,
Le 20 sept. 2013 à 11:53, Leslie-Alexandre DENIS <m...@ladenis.fr> a
écrit :
#include reply.h
Je vais pas aller dans les détails, je parle pour moi et c'était le
sujet (migrer depuis pfSense et pas vers pfSense) donc sentiments de
côté pfSense est un bon produit base BSD donc stable mais faut pas
trop cumuler les services d'une part, d'autre part les packages c'est
confus, les migrations et autres upgrades c'est pas fait pour la
grosse prod, et tu peux avoir des phénomènes particuliers sur des VLAN
qui montent pas, des trunks qui tombent, du Snort qui boit beaucoup.
Comme tout logiciels opensource, ceci dépends très sérieusement de
ton matériel. Si tu fais des VLAN / Lagg (trunk) sur des cartes
réseau
à l'eau bénite (ou en mousse, au choix), comme des realtek ou autres
chipset a la con (broadcom...), là tu es sûr d'avoir des emmerdes.
Alors avec du matériel sérieux : Chipset intel / Cpu Intel / carte
réseau intel, j'ai jamais eu le moindre problème.
Donc évites de dénigrer des soft qui sont aussi utilisé dans des truc
comme juniper (pour info une série J chez JunOS c'est un pauvre CPU -
P4 je crois - et des cartes réseaux intel, sur une base FreeBSD avec
quelques modules low level) ou Netapp (idem c'est du FreeBSD 7... +
logiciels proprios dans des modules).
Un barbu qui s'enflamme :)
Je ne pense pas qu'il dise du mal de bsd. Je le rejoins sur la partie
Pfsense, c'est pas vraiment pour de la grosse prod. Ceci étant, il faut
que les barbus s'enflamment, sinon, les valeurs se perdraient !
J'utilise beaucoup Pfsense, Srx et un peu de Fortinet, et pour chaque
FW un type d'utilisation.
Pfsense pour de l'oob,ou la maison ou un truc pas super critique ok,
pour de la prod, je partirais plutôt sur un constructeur ( apliance ou
soft dans une vm )
Si tu ne fais pas d'UTM, Go SRX. par contre, si tu fais de l'utm, je
partirais plutôt sur du Stonesoft ou Fortinet ( ça me fait mal de dire
ça pour le dernier :) ).
Je suis pro Juniper, mais bon tant qu'ils n'auront pas de GUI digne de
ce nom pour éviter de faire le debug en cli pour tout ce qui est sécu ce
ne sera qu'un outsider et encore. ( je suis bon pour un coup de tel de
Juniper maintenant :) )
Attention, le CLI est inexistant sur ces deux derniers, c'est
clickodrome. Mais pour du firewall, très franchement, le tout cli je
crois que c'est dépassé
Pour un déploiement avec une centaine de FW avec corrélation des logs,
sans hésiter ==> Stonesoft.
Si c'est une boîte en cluster pour protéger une plateforme, sans utm,
je ferais juste un POC avec un injecteur de trafic ( Ex Breaking point )
et aussi un test avec des tables de nat bien full, j'ai vu des trucs
marrant avec des machines vérolés qui ont détruit de l'ASA par exemple.
Ensuite, les trucs genre Checkpoint, Cisco ASA "leaders" du marché ...
Je passerais mon chemin. Je me demande meme comment les trucs comme ASA
se vendent encore, jamais vu un truc aussi pénible à administrer.
Checkpoint, bah checkpoint :) CQFD.
Après, si tu es joueur, j'ai vu un test sur le "firewall" F5
Si FreeBSD tenais pas le pavé, je pense que ces 2 marques "auraient"
des soucis.
Après je l'utilise aussi en gw vpn ssl, avec un peu de routage/fw,
ça va super bien oui.
Evidement si tu mets 200000 règles de firewall c'est que tu as un
problème de fond : est-ce que tu utilises bien ton firewall...
Perso je préfère avoir 3 firewalls successifs que un seul avec 90
interfaces / vlan.
Xavier
Le 20/09/2013 11:04, Xavier Beaudouin a écrit :
Hello,
Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS <m...@ladenis.fr> a
écrit :
Pour l'avoir essayé en VM une fois, le produit est plutôt bien
fait et complet en terme de fonctionnalités. C'est plus corporate
que pfSense, je dirais que c'est du Netasq/Fortinet like.
Heu j'utilise pfsense pour pas mal de choses là où je bosse...
#define "corporate" pour un firewall...
Parce que un pfSense 2.1 bien configuré c'est plus pratique que un
netscreen out the box... (pas taper on est vendredi).
Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP,
déjà c'est un *bien* infini avec le wizard qui fait le binaire
autoconf pour les windows box ou le fichier de conf pour Viscosity ca
m'as permis d'avoir "la paix romaine" avec les gens qui se baladent
un peu partout (y compris dans les UE ou les VPN IPsec sont souvent
"mouillés" on vas dire).
Xavier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
