Pare-feu Nanopi R4S et FriendlyWrt

Tags: #<Tag:0x00007f993f3e8930> #<Tag:0x00007f993f3e8840>

Bonjour les connaisseurs,

Est-ce vous auriez un avis sur la qualité / l’efficacité d’un parefeu Nanopi R4S (NanoPi R4s : une solution RK3399 avec double support Ethernet) tournant sous FriendlyWrt (How to Build FriendlyWrt - FriendlyARM WiKi), lequel OS est une version personnalisée de OpenWrt ?
Est-ce que cela peut faire l’affaire pour sécuriser le réseau d’un particulier ou d’une PME, ou est-ce que c’est juste gadget ?

Merci d’avance.

Je pense qu’au niveau performance pour une PME ce sera juste, et encore que tout dépends du besoin.

Pour un particulier ce sera sans doute suffisant pour des besoins raisonnable.

Que cherches-tu à faire, quels est ton besoin exact ?

Je cherche juste à sécuriser mon réseau domestique tout en essayant de monter un peu en compétence. Ne pas m’en tenir au seul parefeu intégré dans ma box.
Mon réseau domestique LAN contient mes ordinateurs et un NAS. Cet ensemble est isolé (sauf erreur de configuration de ma part) par le dispositif ci-dessus mentionné d’un autre ensemble (WAN) qui comprend ma box et, connectée à elle, un noeud BTC (Umbrel).

Je pense avoir correctement configuré le découpage de mon réseau en zones compartimentées… mais étant donné que je suis un grand débutant, j’ai du mal à évaluer ce que mon dispositif peut encaisser en terme d’attaques / d’intrusions… et les situations où il sera débordé.

on parle de quoi comme traffic habituel mensuel, approximativement ?

Si pas de VPN et à moins de ne pas utiliser une bande passante de malade ça devrait tenir correctement.
Maintenant je ne connais pas du tout FriendlyWrt donc pour l’apprentissage je ne saurais dire si c’est une bonne base.

Personnellement, j’envisagerai soit - tant qu’on ne parle pas de fibre optique - :

  • l’achat d’un Ubiquiti Edge Router X ; ca coûte une 50 € ~ !
    ⇒ c’est du Linux derrière ni + ni -; très facile à administrer, que ce soit par sa WebUI, qu’en console.
    Tu peux même y mettre OpenWRT dessus…
    (cf mon tuto un peu « vieillissant » : Stéphane HUC :: IT Log :: OpenWRT : Ubiquiti EdgeRouter X)
    L’ER-X est vraiment un très bon produit, pas très cher, et efficace - j’en ai eu un pendant un an @home.

  • l’achat d’un routeur Wifi, avec un chip AC2100, tel le Xiaomi Redmi Router AC2100, qui coûte un peu moins cher, et sur lequel tu peux aussi installer OpenWRT… où tout autre routeur sur lequel tu peux installer la fameuse distribution, vraiment bien faite.

  • https://openwrt.org/

  • [OpenWrt Wiki] Supported devices


(quand je vois le prix d’un RPi, y’a pas photo… un ER-X ou un routeur basé le chipset AC2100 fera mieux, plus stable ; mais ça n’est que m’AHMA ! )

Merci pour vos réponses et vos conseils, @Clochette @PengouinPdt .

En fait, mon interrogation (de grand débutant) porte sur le fait que je n’arrive pas bien à comprendre là où se situe la faiblesse, et peut-être aussi la faille, d’un parefeu « modeste ». Est-ce que tout se résume à la capacité à « encaisser » le trafic ? Un petit parefeu (comme par exemple le parefeu intégré dans la box internet) pour les petits trafics et un gros parefeu pour les gros trafics ?

Du coup, est-ce que la faiblesse principale des petits parefeu consiste uniquement dans le fait qu’ils peuvent rapidement se faire saturer et déborder par le flux (qui plus est s’il s’agit d’une attaque informatique) ?

D’un point de vue purement matériel la limitation de la puissance de calcul limitera le traitement dans de bonnes conditions, mais là ou les BOX des FAI sont limitées s’est dans les fonctions dites avancées.

Donc il y a bien deux aspects à prendre en compte :

  • tes besoins en terme de traffic
  • tes besoins en terme de fonctionalitées

Exemple simple à comprendre, selon le système déployés tu pourrais monter une passerelle VPN, un bastion, un loadbalancer, un proxy (filtrant ou autre).
Dans le même ordre d’idée pour une PME ayant des besoins particulier tel que monter un tunnel VPN site à site pour permettre une communication sur deux infrastructures en ip privées avec beaucoup de trafic, une appliance dotée de beaucoup de puissance de calcul permettra d’éviter une saturation.
Idem certains processeur et/ou unité de calcul ne permettront pas d’exploiter certains algorithme de chiffrement, etc …

Donc tout dépends de tes besoins réels pour choisir et dimensionner ton firewall.

L’autre chose à laquelle tu doit réfléchir c’est comment tu va placer ton firewall dans ton infrastructure, certains remplacent purement et simplement leur box, d’autre l’intègre derrière la box.

Si jamais @PascalHambourg passe par ici il pourra sans doute répondre bien mieux que moi de la faisabilité et des avantages/inconvénients d’un firewall maison.
@Zargos a aussi mis en place une solution maison en remplacement ou derrière une box.

Pour aller un peu plus loin sur le propos de @Clochette, on sait que certains matériels informatiques sont plus adaptés, adéquats pour tenir sur des objectifs/missions de chiffrement, de VPN que d’autres.
Certains en sont incapables, d’autres à peine.

Ainsi, un CPU avec des capacités AES-(NI) est capable de mieux gérer les chiffrements et donc supportera bien mieux la charge impliquée par des connexions multiples VPN.

Certains CPU commencent à embarquer des fonctions de gestion de la bande passante, voire de la NAT, qui se révèlent plus puissant que la gestion QOS logicielle. ( Flow Offload).
(Il y a sur le forum d’OpenWRT une comparaison faite à ce propos - si je la retrouve, je publie)

Cette page anglaise sur le wiki d’OpenWRT donne un aperçu.

Si tu maîtrises un peu l’anglais, tu trouveras d’abondantes informations sur le forum d’OpenWRT, tel que :


j’ai directement remplacé la BOX.
Pour le moment en OpnSense, en cours de remplacement par une solution full Debian (j’attends la Bullseyes pour les next steps)

C’est ce que j’avais avant OpenWRT :stuck_out_tongue:

Je te souhaite bien du courage. Bien que je fais plus que lorgner du côté du « Poisson Piquant », je ne m’y risquerais pas personnellement. Y’a quelques projets qui font ça si bien mieux que nous, perso, dans nos coins…

en fait en dehors d"'un interface web unifié, c’est assez simple.
Question de définir les focntionalités. Et ça c’est simple:

  • DNS BIND (buggé dans OPNSense, et pfsense)
  • DHCP - ISC
    -DHCPv6 (mal fait la plupart du temps dasn les distro spécialisées)
  • IGMP
  • CARP
    -VLAN
  • IDS (Suricata)
  • Shorewall en parefeu
    -netdata pour les performance realtime
    -ntopng
    -iptraf
    -iproute2
    -radv
    -freeradius au cas ou
    -ethereal/etherape pour le fun
  • Borg pour la sauvegarde
  • HAPROXY pour securiser les quelques AppliWEB (genre netdata) sans protection.
    Ca fait largement le job tranquillement. sans superinterface

Debian intègre beaucoiup de point du Hardened BSD. faut juste se les faire à la mano :slight_smile: mais une fois que c’est fait, il n’y a plus besoin d’y revenir.

Perso, si j’avais à me monter une solution comme toi, je partirais assurément sur une base d’OpenBSD, et ce pour plusieurs raisons :

  • le parefeu PF, alias Packet Filter, connu pour sa robustesse, sa facilité d’administration, et son fonctionnement intrinsèque qui n’a strictement rien à envier à netfilter (+iptables, nftables).
  • FAQ PF: Building a router - bien faite, au demeurant - traduction FR par mes soins, à jour !
  • Un excellent tutoriel non-officiel « OpenBSD Router Guide » - dont la traduction FR, toujours par mes soins, mais non-à-jour.
  • l’excellence des man-pages : https://man.openbsd.org
  • DNS avec nsd - voire couplé avec unbound
  • DHCP - abordée dans les deux documentations ci-dessus ; quant à DHCPv6, go to dhcpd + rad
  • IGMP, Carp, Vlan sont gérés

D’aucuns logiciels sont en paquets « officiels », en sus de la base…

Bref, à-priori, rien de bien plus insurmontable, et certainement plus robustes.


Bon, allez fini la digression, parce que là, on sort quand même du sujet :stuck_out_tongue:

Tout cela est dans Debian, et je trouve OpenBSD bien moins conviviale. :wink: