đŸ§± De IPFire Ă  VyOS : mon parcours Ă  travers trois pare-feux open source

Posted on by webmaster

Quand j’ai commencĂ© Ă  monter mon home lab, je cherchais avant tout une solution open source, stable et didactique, capable de m’aider Ă  comprendre comment fonctionnent rĂ©ellement les pare-feux et le routage.
Mon parcours m’a menĂ© Ă  travers trois solutions emblĂ©matiques : IPFire, pfSense, puis VyOS.
Chacune m’a apportĂ© une Ă©tape d’apprentissage diffĂ©rente et ce n’est pas fini!

Aujourd’hui, chaque service est isolĂ© dans son VLAN.

image

đŸ”„ IPFire — la simplicitĂ© et la dĂ©couverte de Netfilter

IPFire a été ma premiÚre véritable expérience avec un pare-feu complet sous Linux.
BasĂ© sur une architecture proche de Debian, il m’a servi de porte d’entrĂ©e dans l’univers Linux et m’a permis de mettre en place mes premiers services rĂ©seau — notamment un point d’accĂšs Wi-Fi avec un serveur DHCP intĂ©grĂ©.

J’ai particuliĂšrement apprĂ©ciĂ© sa grande compatibilitĂ© matĂ©rielle, un atout essentiel quand on dĂ©bute avec du matĂ©riel hĂ©tĂ©rogĂšne, surtout sur un vieux PC portable.
L’interface web est claire, et son systĂšme Ă  quatre zones (Green, Red, Orange, Blue) rend la segmentation rĂ©seau intuitive, sans plonger immĂ©diatement dans la complexitĂ© des VLANs.

Mais surtout, IPFire m’a permis de dĂ©couvrir Netfilter en profondeur, notamment la gestion des Ă©tats de connexions (NEW, ESTABLISHED, RELATED, etc.).
Cette approche m’a aidĂ© Ă  comprendre la logique interne du pare-feu Linux et Ă  affiner mes rĂšgles pour obtenir un contrĂŽle rĂ©seau plus granulaire.

⚙ Points forts

  • Une grande simplicitĂ© d’installation et de prise en main.
  • Une interface web intuitive pour la gestion du pare-feu et des zones.
  • De nombreux packages prĂ©configurĂ©s (proxy, IDS, VPN, etc.) qui facilitent la mise en place de fonctionnalitĂ©s avancĂ©es sans configuration manuelle.

Cependant, ce nombre important de packages préconfigurés a un coût : il augmente considérablement la complexité de la maintenabilité.
C’est probablement une des raisons pour lesquelles le projet stagne encore en version 2.x, malgrĂ© sa soliditĂ©.

⚠ Limites rencontrĂ©es

  • Des logs incohĂ©rents : certaines rĂšgles IGMP marquĂ©es comme filtrĂ©es apparaissent tout de mĂȘme dans les journaux.
  • La philosophie des 4 zones semble restrictif, mĂȘme si on peut ajouter des vlans.
  • Une architecture figĂ©e, qui gagnerait Ă  se moderniser en adoptant par exemple une gestion rĂ©seau basĂ©e sur des VLANs plutot que des zones, plus adaptĂ©e aux infrastructures actuelles.
  • Des rĂšgles NAT automatiques sans rĂ©elle valeur ajoutĂ©e.
    J’ai envoyĂ© un mail Ă  l’Ă©poque qui a eu droit Ă  un ticket, mais qui ne reflĂšte pas la description du problĂšme :
    👉 Bugzilla IPFire #11977

Conclusion :
IPFire reste une excellente solution pour dĂ©couvrir Linux, Netfilter et les bases d’un pare-feu d’entreprise.
Son approche “tout-en-un” avec de nombreux packages prĂ©configurĂ©s est un vrai avantage pour dĂ©buter, mais cette richesse complique la maintenabilitĂ© et contribue probablement Ă  sa stagnation en version 2.x.
Dùs que l’architecture se complexifie, ses limites structurelles par zone se font rapidement ressentir.

🧰 pfSense — puissance et complexitĂ©

Avec un home lab plus consĂ©quent sous Proxmox, j’ai voulu passer Ă  la vitesse supĂ©rieure.
pfSense s’est imposĂ© naturellement : c’est une solution riche, stable et documentĂ©e, idĂ©ale pour structurer et sĂ©curiser un rĂ©seau plus complexe.

⚙ Points forts

  • Gestion des rĂ©gles de parefeu par VLANs : beaucoup plus flexible qu’IPFire.
  • Interface web complĂšte : VPN, multi-WAN, IDS/IPS, captive portal
 tout est accessible depuis un seul endroit.
  • Pare-feu centralisĂ© et mature : le cƓur du routage entre VLANs, parfaitement pensĂ© pour la sĂ©paration des services.
  • Proxy robuste, avec analyse antivirus via ClamAV via ICAP, permettant un contrĂŽle centralisĂ© efficace.
  • Une approche trĂšs “appliance”, idĂ©ale pour un lab avancĂ© ou une petite infra professionnelle.
  • Haproxy bien intĂ©grĂ©.
  • Peu de packages, et ceux disponibles sont bien orientĂ©s sĂ©curitĂ©/pare-feu, pas fonctions annexes.

⚠ Les limites

  • Pas de support SR-IOV, contrairement Ă  IPFire ou VyOS, ce qui freine les performances rĂ©seau en virtualisation.
  • Suricata, pourtant intĂ©grĂ©, instable sur ma configuration (crashs frĂ©quents), et rend l’interface parfois lourde et lente.
  • Une version plus est commercialisĂ©, du coup, ça fait moins “open source” que d’autres solutions, ce qui fait rĂąler une partie de la communautĂ©, mais honnĂȘtement je ne vois pas ce que ça apporte ce plus.
  • Gestion en masse des rĂšgles dĂ©licate : le XML de configuration est fragile, une petite erreur peut empĂȘcher le dĂ©marrage du systĂšme et rendre la recherche du problĂšme quasi impossible.

pfSense m’a permis de structurer mon rĂ©seau et de mieux comprendre la gestion des VLANs. Son cĂŽtĂ© monolithique, l’absence de SR-IOV et la complexitĂ© de la gestion en masse des rĂšgles peuvent freiner, mais pour centraliser la sĂ©curitĂ© et le routage, c’est une solution solide et rĂ©flĂ©chie.

⚙ VyOS — un systĂšme vraiment pensĂ© pour le rĂ©seau

DerniĂšre Ă©tape de mon parcours : VyOS.
BasĂ© sur Debian, il m’a sĂ©duit par sa lĂ©gĂšretĂ©, sa philosophie CLI (proche des routeurs professionnels comme JunOS) et sa compatibilitĂ© totale avec la virtualisation.

Ce que j’aime

DĂšs l’installation, j’ai apprĂ©ciĂ© :

  • Le support natif du SR-IOV, parfait pour tirer parti de mon environnement Proxmox.
  • La possibilitĂ© de gĂ©rer les interfaces et VLANs avec une logique claire et lisible.
  • Un fichier de configuration complet, qui permet d’appliquer une vraie politique de moindre privilĂšge (least privilege) : chaque rĂšgle est explicite, traçable et versionnable.
  • La richesse des fonctionnalitĂ©s rĂ©seau avancĂ©es : VRF, policy routing, network namespaces, PKI, et mĂȘme VPP pour l’accĂ©lĂ©ration du dataplane, ce qui montre que VyOS est vraiment pensĂ© pour le rĂ©seau et la modularitĂ©, mĂȘme si je n’exploite pas encore toutes ces capacitĂ©s (pas sĂ»r que je le ferai).
  • La possibilitĂ© de dĂ©lĂ©guer les services applicatifs Ă  des conteneurs (Suricata, Squid, HAProxy, etc.) : ce qui m’a permis une migration depuis pfsense moins agressive vu que j’ai pu importer les configurations dĂ©jĂ  prĂȘtes et fonctionnelle.

⚠ Les limites

Le manque de recul sur VyOS, je pourrai mieux en parler dans quelque temps, il faut un temps d’adaptation pour s’habituer, mĂȘme si j’aprĂ©cie sa philosophie CLI et Ă  la logique de configuration. Et honnĂȘtement, je ne regrette vraiment pas ce changement.

Autre point Ă  noter : le passage au commit peut ĂȘtre long, ce qui peut ĂȘtre frustrant lorsqu’on teste rapidement des modifications ou qu’on dĂ©ploie de nouvelles configurations.

Avec VyOS, j’ai enfin trouvĂ© un Ă©quilibre entre performance, modularitĂ© et contrĂŽle total de la configuration.

🏁 Conclusion et rĂ©capitulatif

Mon parcours dans le monde des pare-feux et du routage a Ă©tĂ© progressif et pĂ©dagogique, chaque solution m’ayant apportĂ© une Ă©tape d’apprentissage diffĂ©rente. Aujourd’hui, mes services sont isolĂ©s dans des VLANs dĂ©diĂ©s.

IPFire m’a ouvert les portes du monde Linux et Netfilter, pfSense a structurĂ© mon rĂ©seau de maniĂšre robuste, et VyOS m’offre aujourd’hui la flexibilitĂ© et le contrĂŽle total nĂ©cessaires pour un rĂ©seau moderne et performant.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *