Sortie de pfSense 2.2, distribution routeur/pare-feu sur base FreeBSD

26
29
jan.
2015
Distribution

La version 2.2 de pfSense est sortie vendredi 23 janvier. pfSense est une distribution à base de FreeBSD, utilisable comme routeur et pare-feu. Cette version 2.2 passe de FreeBSD 8.3 à FreeBSD 10.1, en plus du changement de démon IPsec racoon remplacé par strongSwan, une mise à jour de la bibliothèque PHP en version 5.5 avec un remplacement de FastCGI vers PHP-FPM pour l'interface graphique, et l'ajout d'Unbound DNS server.

pfSense

Plus de détails dans la deuxième partie de la dépêche.

Présentation

pfSense est un système d'exploitation orienté routeur et pare-feu dérivé de m0n0wall et basé sur FreeBSD (NanoBSD pour la version embarquée). Il se veut complet, mais également intuitif au travers d'une interface web donnant accès à l'intégralité des fonctionnalités. On peut ainsi établir des tables de routage, des règles pour le pare-feu, faire des VLAN, activer un service DHCP, et bien d'autres choses.

pfSense s'administre depuis une interface web moderne ou via CLI/PHP et est facile à utiliser.

pfSense est léger et peut être embarqué sur du matériel de type mini-ITX (Alix), installé sur carte CompactFlash (la version embarquée charge les composants en mémoire puis n'écrit plus rien). Il peut se substituer à une box domestique ou faire office de pare-feu d'entreprise.

Fonctionnalités

  • gestion des VLAN taggés ;
  • routage IPv4 et (depuis la version 2.1) IPv6, NAT ;
  • filtrage du trafic entrant et sortant pour tout type de trafic (ICMP, UDP, TCP…) ;
  • limitation des connexions pour un pair ;
  • log du trafic avec génération de graphiques ;
  • log sur serveur syslog externe ;
  • load Balancing, Failover ;
  • agrégation de ports, IP virtuelles ;
  • proxy transparent ;
  • serveur ou client PPPoE ;
  • VPN (client ou serveur) IPsec, PPTP, OpenVPN ;
  • DNS Dynamique ;
  • portail captif ;
  • contrôle d'accès par adresses MAC ou authentification RADIUS ;
  • serveur ou relais DHCP / DNS ;
  • ajout de fonctionnalités via des paquets directement installables dans l'interface.

Nouveautés

  • pfSense 2.2 est basé sur FreeBSD 10.1 ce qui apporte non seulement de nombreux correctifs de sécurité, mais aussi une meilleure prise en charge du matériel et de la virtualisation ;
  • pf est désormais SMP friendly, ce qui améliore grandement les performances ;
  • l'interface d'administration fonctionne désormais sous PHP-FPM, ce qui apporte un gain de réactivité ;
  • ajout de nouveaux fournisseurs de DNS Dynamique (City Network, OVH DynHOST, GratisDNS, Euro DNS et CloudFlare) ;
  • Changement de démon IPSec racoon par strongSwan avec la gestion d'IKEv2, AES-GCM entre autres ;
  • et bien d'autres, que vous pouvez lire sur cette liste complète des changements.
  • # Une bonne idée le Logo blanc

    Posté par (page perso) . Évalué à 10.

    "Mode Troll On"
    Un bonne idée le logo blanc sur fond blanc :)
    "Mode Troll Off"

  • # Changement de version

    Posté par . Évalué à 1. Dernière modification le 29/01/15 à 13:47.

    pfSense 2.1 était sur FreeBSD8.3, pfSense 2.2 est maintenant sur FreeBSD10.1 !!!
    Une numérotation de version mineure pour un changement majeur !
    Tout l'inverse de Firefox…

    • [^] # Re: Changement de version

      Posté par . Évalué à 2.

      Quand j'ai vu la sortie de 2.2, je me suis dit que je pourrais faire la mise à jour sans trop de risques.

      La vu les changements annoncés, c'est autre chose, va bien falloir prévoir le coup, c'est pas simplement des trucs mineurs en effet !

      • [^] # Re: Changement de version

        Posté par . Évalué à 2.

        Oui, en particulier au niveau des liens IPSEC il faut se méfier et bien tester avant. De mon côté, c'est maintenant assez stable (beaucoup plus qu'avec la RC), mais il y a encore 1-2 liens qui tombent parfois sans raison alors qu'avec la version 2.1.x tout était très solide. Bref attendre la 2.2.1 pour peut être judicieux…

        • [^] # Re: Changement de version

          Posté par . Évalué à 1.

          Bonjour,

          personnellement je n'ai eu aucun soucis avec la mise a jour automatique via le webadmin. Ce n'est bien entendu qu'un retour ;)

  • # type mini-ITX (Alix)?

    Posté par (page perso) . Évalué à 2.

    type mini-ITX (Alix)? Qui vas conseiller ce genre de hardware!?
    Quitte à avoir un geode LX800, mon fit pc 1 été mieux.
    Bref perso je conseille quelque chose de bien plus moderne, sachant que la geode LX800 est trés vieux, l'accélération cryptographique ne couvre pas les standards moderne, consomme 5W, compact card (pas SD card).
    http://www.compulab.co.il/utilite-computer/web/home -> sera bien plus moderne, performant, ne consommant que 1W, microSD, SSD, quad core, et pas très chère.

    Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

    • [^] # Re: type mini-ITX (Alix)?

      Posté par . Évalué à 4.

      Le successeur de l'ALIX est pas mal du tout: http://www.pcengines.ch/apu.htm, en production depuis plus d'une année chez nous (avec une version beta du hardware au début). Cela chauffe juste un petit peu plus que la version d'avant, mais ça n'est pas un problème.

      Spécifications :

      CPU: AMD G series T40E APU, 1 GHz dual core (Bobcat core) with 64 bit support
      DRAM: 2 or 4 GB DDR3-1066 DRAM
      Storage: Boot from SD card (connected through USB), external USB or m-SATA SSD.
      Power: About 6 to 12W of 12V DC power depending on CPU load.
      Connectivity: 3 Gigabit Ethernet (Realtek RTL8111E), 1 DB9 serial port (console).

      • [^] # Re: type mini-ITX (Alix)?

        Posté par . Évalué à 3.

        Woaw, je ne savais pas que ce modèle existait.
        Il corrige beaucoup de défauts, effectivement.

      • [^] # Re: type mini-ITX (Alix)?

        Posté par (page perso) . Évalué à 4.

        Ça a l'air sympa, par contre, peu de distributeur ont l'air de l'avoir (à moins d'avoir un numéro de TVA).

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: type mini-ITX (Alix)?

          Posté par . Évalué à 0.

          Une petite recherche de "pcengines apu site:*.fr" donne quand même pas mal de résultats… (bon, ceux de http://www.pcengines.ch/order.php en fait). Ca n'est pas suffisant ? :)

        • [^] # Re: type mini-ITX (Alix)?

          Posté par . Évalué à 1.

          J'ai commandé une APU PC Engines pour installer pfsense il y a moins d'un an sur le site marchant militant francophone www.gooze.eu. Ca m'est revenu à un peu moins de 180€.

          J'en suis tout a fait satisfait de cette carte surpuissante (double coeur 1 GHz, 4GB de ram), même si je trouve qu'elle chauffe un peu trop vu la faible charge de pfSense lorsqu'il n'y a que le pare-feu/routeur/serveur-dhcp qui tourne.

    • [^] # Re: type mini-ITX (Alix)?

      Posté par . Évalué à 4.

      Le modèle que tu mets en lien a deux défauts :
      - Pas de carte réseau (un peu con pour faire un routeur) alors que l'Alix en a 3 (sur certains modèles)
      - C'est de l'ARM (berk)*

      *Précisions sur l'ARM : sera méga chiant à maintenir quand le constructeur décidera de ne plus fournir de kernel compatible et tu devras jongler avec le bootloader et plein d'outils différents pour réussir à charger ton image dessus.

      • [^] # Re: type mini-ITX (Alix)?

        Posté par . Évalué à 0.

        je cherche en ce moment a m'acheter ce genre de carte pour y mettre un pfsense (au début j'étais parti sur de l'ALIX 3 ports mais je ne suis pas braqué)

        par contre ce n'est clairement pas évident à trouver donc pour comparer les prix, il n'y a pas beaucoup de matière, savez vous ou on peut en trouver

        j'étais parti sur une bête avec 3 port ethernet (je ne cherche pas spécialement du giga)

        pour l'APU pourquoi pas, mais il n'y a meme pas le prix sur le site plus haut

        si vous avez des choses a conseiller je suis prenneur

      • [^] # Re: type mini-ITX (Alix)?

        Posté par (page perso) . Évalué à 0.

        Le lien redirige vers Utilite2 qui a dû sortir "récemment" et malheureusement n'a qu'un port GBE. Mais l'Utilite premier du nom a lui 2 versions du produit avec 2xGBE.

        Donc tu peux en faire un routeur qui consomme très peu et suffisamment performant (bon, à voir pour du IPsec).

        Le défaut vis-à-vis de l'article initial qui est sur pfSense, c'est que pfSense ne supporte que le x86 comme architecture. Donc il faudrait partir sur un FreeBSD pour ARM, puis recompiler tout ce qui fait de pfSense pfSense ! Bref, pas trés simple.

        Pour conclure: Les Utilite premières générations peuvent de bon petit routeur. Mais dans le contexte pfSense ils sont hors sujet.

  • # Le titre

    Posté par . Évalué à 4.

    Ce ne serait pas plutôt un routeur/pare-feu au lieu d'un routeur/par-feu ?

    Sauf s'il crame la route..

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.