Un des intérêts principaux de pfSsense est la possibilité de faire du load-balancing avec plusieurs lignes ADSL. Cela pose cependant parfois des problèmes avec certains sites dont les sessions sont liées à l’IP du client. En effet, imaginons que lorsque l’on se logue sur un site avec son login/mot de passe la connexion se soit faite sur une première ligne mais que l’affichage de la page suivante passe par une deuxième : le site verra deux adresses IP différentes et considèrera qu’il ne s’agit pas de la même session et l’utilisateur sera de nouveau appelé à entrer son login. On peut créer une règle dans le firewall pour forcer le trafic vers l’IP du site sur une ligne donnée, ce qui résout le problème.

Un autre exemple est le cas de YouTube qui affichera très souvent un message « Désolé, cette vidéo n’est plus disponible« . La vidéo est en fait bien là mais le load-balancing casse les sessions… La difficulté ici est que YouTube dispose d’un grand nombre d’adresses IP différentes et qu’il est difficile de créer autant de règles manuellement.

Pour remédier à cela il suffit de créer un alias YouTube dans pfSense qui regroupera les plages d’adresses IP utilisées par YouTube. Il faudra ensuite créer une règle dans le firewall pour rediriger le trafic vers une ligne unique.

Continuer à lire "pfSense, load-balancing et YouTube"

pfsense est un firewall open source disposant de nombreuses fonctionnalités intéressantes. En particulier il offre la possibilité de mutualiser plusieurs WANs ce qui permettra de load balancer les connexions et de se mettre à l’abri d’une coupure de ligne. Le pfsense que j’ai monté mutualise ainsi deux lignes ADSL grand public et une ligne sDSL Oléane.

Outre ses possibilités de routeur/firewall et de mutualisation de lignes, pfsense permet de mettre en place une liaison VPN (IPsec ou OpenVPN), un serveur DHCP et est extensible au moyen de packages (Snort, Squid, FreeRADIUS, ntop, NMAP, etc).

Il est possible de monitorer en permanence les débits montants et descendants de chaque ligne au moyen d’un petit programme appelé monomon, très utile pour repérer immédiatement une ligne coupée ou des uploads/downloads anormaux.

Deux limitations à garder en mémoire, l’accès à des serveurs FTP externes n’est possible que sur la première ligne WAN et il n’est pas possible de se connecter à des serveurs FTP over SSL.

pfsense est téléchargeable sous forme d’ISO et peut être exécuté depuis le CD-ROM ou une carte Flash mais peut aussi être installé sur le disque dur de la machine.

>> pfsense
>> monomon