16/20 avenue de l'agent Sarre
92700 Colombes
Flash Sécurité

Site internet de la société SPIREA, Société de Prestations en Informatique
Version du site en version mobile (sans images)
Logo Spirea - Solutions Informatiques
Revue des configurations possibles pour le firewall Pfsense

Appliance pfsense, pc barebone, Qotom, le plus simple sans transiger sur la configuration et les performances

Les petits appliance sont un bon compromis jusqu'à 10 ou 20 utilisateurs, ils prennent peu de place et sont généralement mis entre la ou les box internet et le switch principal.. Comme on peut brancher un écran dessus, la maintenance ou le dépannage, très occasionnels sont facilités. Le coût est aussi très raisonnable, à partir de 330EUR pour les configurations recommandées de base..

  • processeur i3 ou i5 avec support AES-NI
  • 4 ou 8Go de RAM
  • alimentation 15W
  • disque mSata SSD, typiquement 32G ou 64G
  • 4 ou 6 ports gigabit intel

Appliance rackable

Pour nous, le bon compromis coût/performance/fiabilité dès lorqu'il y a une baie de brassage et une armoire rack et au delà de 10 utilisateurs.. A peine plus cher que l'appliance en barebone, avoir ce firewall en rack apporte des avantages, les prises réseau sont en façade, les performances sont sans compris, la consommation électrique est raisonnable.

  • processeur i3, i5 ou i7 avec support AES-NI
  • disque mSata SSD, typiquement 32G, 64G ou 128Go avec possibilité de disque SATA supplémentaire
  • 8Go de RAM
  • 8 ports gigabit intel

Configuration serveur HP, Dell, etc. pour plus de puissance et de robustesse

Pour assurer le trafic et faire face aux charges processeurs et de bande passante, par exemple pour faire tourner le proxy Squid, des flux VPN openvpn ou ipsec, etc.

  • Processeur Xeon
  • Mémoire ECC
  • Cartes Intel Gigabit type Serveur
  • Doubles alimentation
  • Disques durs en RAID
  • Garanties constructeurs associées, en général de 1 à 3 ans avec extension
  • Matériel évolutif, possibilité d'ajouter des cartes, changer la RAM, etc.

Pfsense comme Machine virtuelle

Dans certains cas assez spécifiques, nous intégrons le firewall Pfsense comme une machine virtuelle, cela peut être sous Vmware, Hyper-V, Proxmox. La gestion et la configuration ne sont pas plus difficiles qu'avec une machine physique (bare metal), il y a juste un niveau d'abstraction réseau supplémentaire..

Cette configuration est possible et peut-être même nécessaire dans plusieurs cas..

1. Le firewall est nécessaire pour firewall/routeur/VPN pour un hyper-viseur hébergé..

Typiquement, vous avez un VMWARE ou PROXMOX hébergé ou en interne, vous souhaiter gérer des règles de NAT (une ip externe, plusieurs services web..), construire des VPN nomades ou site à site, etc. Alors le pfsense est installé sur l'hyperviseur, avec deux cartes réseau virtuelles ou plus :  

  • une raccordée à internet, typiquement à une adresse VIP (Virtual IP) fournie ou indiquée par l'hébergeur,
  • une autre raccordée au switch virtuel, sur lequel sont branchées vos machines virtuelles

2. Les rôles qui vous intéressent ne nécessitent pas un isolement physique du firewall

Ceci car, et c'est recommandé, vous avez déjà un autre firewall, ou encore s'il y a une infogérance du firewall par le FAI. Alors, si vous avez un hyperviseur, les prérequis très légers sdu pfsense se prêtent bien à avoir une machine virtuelle, notamment :

  • pour les rôles internes  : DNS ou relais DNS, DHCP ou relais DHCP, proxy Squid, filtrage DNS avec pfblocker, etc.
  • pour des rôles assurés derrière un NAT : routeur avec NAT, VPN ipsec/OpenVPN, nomade, etc.
  • pour assurer une DMZ sur votre hyperviseur, même si les hyperviseurs peuvent le permettre, le firewall permet de créer une DMZ configurée très précisemment..

Nous avons eu plusieurs cas où un pfsense virtualisé étaient la meilleure solution...  C'est à discuter au cas, n'hésitez pas à prendre contact avec nous...