DynFi™ Firewall est un pare-feu unique qui permet aux entreprises et institutions de protéger efficacement leurs réseaux tout en offrant une visibilité complète sur son code source.
DynFi Firewall dispose d’une interface intégralement traduite en français et dans onze autres langues.
C'est un fork du projet OPNsense, dont l'intégralité des mécanismes de compilation a été modernisé et migré sous FreeBSD 13 et poudriere.
Origine du projet
DynFi Firewall est un fork de OPNsense, qui a revisité tous les mécanismes de compilation grâce à l'utilisation de poudriere et d'une base FreeBSD 13.
L’accès au code source du pare-feu nous distingue de la plupart de nos concurrents, c’est un point essentiel qui permet de garantir l’absence de portes dérobées ou de logiciel malveillant sur nos pare-feu. Cette stratégie de transparence favorise l’adoption généralisée du pare-feu par les utilisateurs qui peuvent le télécharger et l’installer gratuitement.
Dans la ligné de nos prédécesseurs, nous avons publié notre code source sous licence BSD deux clauses.
Un mécanisme de compilation original et moderne
Pour les experts, nous proposons aussi un article qui détaille comment compiler le code source du pare-feu afin d'obtenir votre propre image d'installation de DynFi Firewall.
« Nous sommes très fiers de la mise au point de ce nouveau pare-feu qui offre une alternative aux firewalls Open Source Américain leader pfSense®, il permettra aux entreprises de protéger efficacement leurs réseaux tout en réalisant un grand pas vers la souveraineté numérique française et européenne. Trois années de travail avec une équipe de quatre ingénieurs ont été nécessaires pour parvenir à ce résultat ! » , @gregober, le boss de DynFi.
Des fonctionnalités au rendez-vous
Issu de la lignée des firewalls dérivés de FreeBSD tels que pfSense®, OPNsense®, mais aussi Stormshield®, DynFi Firewall peut être installé sur n’importe quelle appliance i386 ou amd64.
Une documentation originale en français
Pendant le premier confinement, les équipes de DynFi ont travaillé à la publication de la première documentation en français sur les pare-feu Open Source. C'est un travail de traduction et de compilation important qui n'est pas complet et pour lequel la communauté Open Source est la bienvenue pour apporter son support!
Disponible gratuitement, DynFi Firewall se télécharge à partir d’une image disque (retour série ou VGA) et s’installe sur la plupart des appliances du marché ou de façon virtualisée. Il est compatible avec le gestionnaire centralisé DynFi Manager qui simplifie la vie des administrateurs en permettant une gestion en nombre des pare-feux.
De nombreuses fonctionnalités
DynFi Firewall propose de très nombreuses fonctionnalités de filtrage réseau :
- Firewall à gestion d’état
- Détection et Prévention des intrusions
- VPN: IPSec / Open VPN
- Proxy
- Reverse Proxy
- Multi-WAN
- Déploiement en cluster
- Anti-virus
- Traffic shaper
- Support d’IPv6
- Intégration à DynFi Manager
Un catalogue d'appliances
Pour financer le projet, la société DynFi propose un catalogue d'appliances avec DynFi Firewall pré-installé. cela répond aux besoins des PME, ETI ou des Grands Groupes et permet d’accélérer le déploiement de politique de cybersécurité unifiée dans l’entreprise.
DynFi® Firewall a été développé par la société DynFi depuis trois ans avec le soutien de la BPI, de RECIA (Région Centre Interactive) et de Systematic Paris Région.
Aller plus loin
- Téléchargement de DynFi Firewall (518 clics)
- Pare-feux Dynfi Firewall (319 clics)
- Code source de DynFi Firewall (98 clics)
- Informations sur DynFi Firewall (192 clics)
- Gestionnaire centralisé DynFi Manager (156 clics)
# Equipe et plus
Posté par Argon . Évalué à 3.
L'équipe d'OSNet était bien sympathique à l'époque, j'ai fait une formation là bas sur pfSense sur 2 jours. C'était aussi le tout début de DynFi :D
Si on pouvait espérer avoir aussi des appliances matériel de type OPNSense, DEC840 et autres ce serait top !
de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité
[^] # Re: Equipe et plus
Posté par gregober . Évalué à 2.
Nous allons tout faire pour essayer d'avoir des utilisateurs heureux !
Des contributeurs sympas et un projet ambitieux.
N'hésitez pas à nous remonter vos envies.
# Roadmap et différences
Posté par dani . Évalué à 7.
Utilisateur de PfSense et OPNSense depuis un moment, le projet semble intéressant. Ce qui me manque, c'est les différences entre OPNSense et DynFi, du point de vue utilisateur (quelles fonctionnalités ont été ajoutées / supprimées). Et est-ce qu'il y a une roadmap définie ?
[^] # Re: Roadmap et différences
Posté par gregober . Évalué à 0.
Cela n'est pas une "plaquette publicitaire", sauf à considérer que trois années de développement avec une équipe de quatre développeurs puisse l'être. Tout a été Open Sourcé sous licence FreeBSD.
Vous pouvez regarder sur GitHub les différentes contributions et projet qui constituent notre fork.
Concernant la roadmap, celle-ci n'est pas 100% définie à ce stade.
Nous avons des grands projets comme l'intégration d'un filtrage L7 sur lesquels nous souhaitons orienter nos développements.
Cela va pas mal dépendre des retours que nous aurons de la part des utilisateurs.
[^] # Re: Roadmap et différences
Posté par Nibel . Évalué à 10. Dernière modification le 15 novembre 2021 à 15:37.
On peut mais tu te doutes bien que personne ne va aller éplucher les 266306 commits de FreeBSD-base et les 12888 commits de opnsense-core. C'est vous qui avez travaillé sur le projet, c'est vous qui connaissez les particularités.
C'est bien pour ça qu'il est demandé qu'elles sont les différences entre le projet original et votre fork.
Personnellement je trouve ça complètement lunaire de proposer un fork sans mettre en avant la valeur ajoutée de celui-ci par rapport à l'original (à part le "français" avec des screenshots en anglais…).
Je ne sais pas si c'est un problème de communication ou s'il y a vraiment une volonté de ne pas communiquer sur votre valeur ajoutée mais je crains que dans un cas ou dans l'autre, ça vous desserve.
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
[^] # Re: Roadmap et différences
Posté par BAud (site web personnel) . Évalué à 8.
la feuille de route, c'est pas le truc qui est défini au début du voyage ?! o_O
# ça fait un peu pub?
Posté par octane . Évalué à 10.
Ca ressemble à une plaquette publicitaire un peu, non?
Après, j'aime bien le côté libre, et tout et tout, mais c'est très orienté marketing?
Alors stomrshield c'est une base freeBSD, oui, mais tout le reste est du code privateur il me semble, non?
[^] # Re: ça fait un peu pub?
Posté par galerien . Évalué à 4.
Ca ne ressemble pas qu'à une plaquette publicitaire malheureusement.
J'ai essayer de l'installer en test sur mon serveur ESX en pensant remplacer mon Pfsense à partir de l'image ISO DynFi 0.99 fournit par le site.
Résultat :
- Doc française écrite avec les pieds => Beaucoup de faute mais effort louable. Cherche toujours la doc en anglais sur le site
- DOC =>
+ Complétement décalé avec ce que fournit l'ISO sur les étapes d'installation
- Installation dans une VM =>
+ Après plusieurs réinstallation, Suis toujours en train de chercher le menu d'installation.
+ Sensé y avoir un login password, la version iso ne demande que le login.
+ Semble n'avoir installé que le BSD => Suis toujours en train de chercher ou a installer les packages.
Résultat de l'essai => Poubelle direct et retour sue Pfsense qui lui a le mérite de fonctionner direct
[^] # Re: ça fait un peu pub?
Posté par barracuda . Évalué à -4.
Mais dis-moi, tu as compté le nombre de fautes dans ton message ?
[^] # Re: ça fait un peu pub?
Posté par gregober . Évalué à 4.
Pardon pardon, nous avons été un peu vite et la documentation qui a été faite pendant le premier confinement ne contient pas des images à jour de l'installer.
Nous avons publié une release qui corrige le bug d'installation constaté.
Super désolé, on a merdouillé, mais c'est corrigé.
https://dynfi.com/telecharger/dynfi-firewall/
Je sais pour la lancement officiel on aurait dû vérifier un peu mieux ce que l'on publiait, mais on était concentré sur des problématique de haut niveau quand l'installer était cassé.
Bon c'est fix.
J'espère que l'on parviendra à se faire pardonner en obtenant une seconde tentative.
Et effectivement, nous comprenons bien le résultat de l'essai => poubelle direct.
C'était la bonne destination pour cette image.
[^] # Re: ça fait un peu pub?
Posté par galerien . Évalué à 2.
Pas de souci, cela arrive bien que ce soit frustrant et oui j'ai laissé une seconde chance à DynFi.
Effectivement, l'ISO mis à jour est désormais fonctionnel et on peut enfin le configurer et utiliser.
J'apprécie particulièrement l'interface qui est très clair et intuitive pour moi => En tout cas, plus intuitive et rapide que celle de pfsense quand on veut effectuer une action.
En attente de la V1.
# Traduction d'OpenOffice
Posté par Guillaume Maillard (site web personnel) . Évalué à 10.
ou plutôt "la version traduite en francais de OPNSense".
L'affirmation ci-dessus aurait un sens si DynFi n'utilisait pas le parefeu "pf", le reste n'étant qu'une interface évoluée de configuration de "pf" et du système FreeBSD… qui n'ont rien de français.
Bref… demain je traduis TensorFlow et l'autoproclame la première plateforme d'apprentissage automatique?
[^] # Re: Traduction d'OpenOffice
Posté par gregober . Évalué à 0. Dernière modification le 15 novembre 2021 à 14:53.
Encore une fois, prenez le temps de regarder les milliers de lignes de code qui distinguent notre projet de celui d'OPNsense.
La traduction de l'interface graphique à 100% n'est qu'une des partie des travaux que nous avons effectués.
https://github.com/DynFi
Nous sommes par exemple entrain de produire une documentation en Français qui se trouve ici et à laquelle je vous invite à contribuer.
C'est incomplet, ce n'est pas parfait, mais cela représente tout de même plusieurs milliers d'heure de travail.
# Ce que tout le monde veut savoir...
Posté par Psychofox (Mastodon) . Évalué à 10.
…c'est qu'en est-il de l'intégration avec libreoffice?
[^] # Re: Ce que tout le monde veut savoir...
Posté par Colin Pitrat (site web personnel) . Évalué à 10.
Anéfé
# Liens cassés sur le site DynFI
Posté par seveso . Évalué à 4.
En visitant le catalogue j'ai voulu télécharger un fichier PDF pour avoir les specs techniques d'un appareil et je suis tombé sur un lien mort vers le domaine www-test.dynfi.lan.
J'ai pas tout vérifié mais j'en ai trouvé 3 des comme ça. Ça ressemble à une mise en prod pas vraiment terminée :)
[^] # Re: Liens cassés sur le site DynFI
Posté par gregober . Évalué à 1.
C'est corrigé.
# dynfi-manager
Posté par jil . Évalué à 2. Dernière modification le 12 novembre 2021 à 16:53.
Un truc qui me semble vraiment cool dans ce projet, c'est le dynfi-manager:
A ma connaissance, il n'existe pas d'équivalent avec PFSense et OPNSense, non?
[^] # Re: dynfi-manager
Posté par Julien (site web personnel) . Évalué à 10.
La dépêche a surtout l'air d'être là pour faire la promo de ce truc qui m'a l'air bien proprio… :
https://dynfi.com/produits-dynfi/manager/fonctionnalites-dynfi-manager/
https://dynfi.com/en/contracts/on-premise/ (après correction du lien qui, à la base, fait référence à leur LAN interne).
Et le fait qu'ils soit le 1er parefeu "français", alors qu'il s'agit essentiellement d'OPNSense avec une traduction, on peut dire qu'à minima UFW le précède :
https://translations.launchpad.net/ufw
[^] # Re: dynfi-manager
Posté par gregober . Évalué à 4.
Oui, DynFi Manager est bien propriétaire et n'est pas Open Source.
Mais la dépêche n'essaie pas de faire passer des poires pour des pommes.
C'est le contrat de licence du gestionnaire centralisé.
Vous pouvez tout de même gérer trois pare-feu gratuitement avec ce logiciel.
Et il est utilisé par des institutions et des grandes entreprises.
C'est un projet Java, qui n'a rien à voir avec DynFi Firewall, sauf que l'un et l'autres sont compatibles.
L'Open Source doit se financer, d'une façon ou d'une autre…
# Quelles sont les diffrences avec OPNSense ?
Posté par Astaoth . Évalué à 8. Dernière modification le 12 novembre 2021 à 17:05.
Donc si j'ai bien compris, en gros c'est un OPNSense avec une UI traduite en français, qui est build avec poudrière (c'est pas le cas d'OPNSense ?) et qui utilise le kernel FreeBSD au lieu de celui d'OPNSense (basé sur celui d'hardened BSD si je me souviens bien) ?
Dans les screenshots, outre revoir l'UI d'OPNSense (en anglais, c'est un peu balot lorsqu'on veut vendre un produit en français) avec une charte graphique différente, j'ai noté dans le menu la présence de "DynFi Connection Agent", qu'est-ce que c'est ?
De même, dans les fonctionnalités, outre celles déjà présentes dans OPNSense et PfSense, ou des éléments tout simplement standard au 21ème siècle (tel que le firewall à gestion d’état, ça existe encore des firewall réseaux qui soient stateless ?), on y trouve "Intégration à DynFi Manager" : qu'est-ce que c'est ?
Petite question bonus, sur la partie VPN : est-ce que la gestion des VPN IPSec IKEv2 a été améliorée ? Est-ce que l'auth EAP a été ajoutée pour ces tunnels ? J'en ai quelques uns qu'actuellement je dois gérer en cli à cause des limitations de l'UI.
EDIT : au niveau des appliances je vois des PCEngines qui peuvent avoir un débit max théoriques de 800 Mbps : je suppose que la bande passante est la raison principale de l'utilisation du kernel FreeBSD au lien de celui d'OPNSense ?
Emacs le fait depuis 30 ans.
[^] # Re: Quelles sont les diffrences avec OPNSense ?
Posté par gregober . Évalué à 1.
L'analyse est assez bonne.
A priori nos packages proviennent de la version 13 de FreeBSD, donc si certaines améliorations ont été apporté aux packages dans la version 13 de FreeBSD, ils le seront dans notre version.
Nous avons souhaité démarrer par l'installer et le build.
Rome ne s'est pas construit en un jour, ni notre projet !
[^] # Re: Quelles sont les diffrences avec OPNSense ?
Posté par Julien (site web personnel) . Évalué à 0.
Ça sent la confiance… Pour un parefeu, ça laisse songeur…
[^] # Re: Quelles sont les diffrences avec OPNSense ?
Posté par ElectronLibre63 . Évalué à 6.
D'ailleurs, construire un pare-feu avec une poudrière, ça laisse aussi songeur…
[^] # Re: Quelles sont les diffrences avec OPNSense ?
Posté par Astaoth . Évalué à 5.
Mouais, pas très convaincant sans aucune réponses aux questions. Je vois toujours pas l'intérêt par rapport à un OPNSense du coup, autre que la bande passante (mais dans ce cas, autant remplacer le kernel soit-même ou aller sur un PfSense …).
J'ai jeté un coup d'oeil à la doc du fw, l'explication du pourquoi du comment du kernel ressemble plus à une justification qu'à un raisonnement technique :
Le kernel d'HardenedBSD bénéficie également de tout ces développements. Ce n'est pas juste un kernel maintenu par 2 gus dans un garage vivant en autarcie complète.
Emacs le fait depuis 30 ans.
# Des Binaires
Posté par Narmer . Évalué à 6.
Question de noob
Si vous fournissez des isos/binaires, comment peut on s'assurer que dans le processus de build, il n'ont pas été altéré ?
[^] # Re: Des Binaires
Posté par xcomcmdr . Évalué à 7.
Grande question !
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Des Binaires
Posté par Victor STINNER (site web personnel) . Évalué à 6.
Voir https://reproducible-builds.org/ pour des compilations "reproductibles".
Le projet Guix a rendu la compilateur des compileurs C (comme GCC) reproductible grâce au projet MES : https://www.gnu.org/software/mes/ "GNU Mes is a Scheme interpreter and C compiler for bootstrapping the GNU System."
Voir aussi http://bootstrappable.org/
[^] # Re: Des Binaires
Posté par Narmer . Évalué à 3.
Merci pour les liens, c'est exactement ce que je cherchais.
L'état de l'art dans le domaine !
[^] # Re: Des Binaires
Posté par Pol' uX (site web personnel) . Évalué à 6.
Cf aussi https://wiki.debian.org/ReproducibleBuilds
Adhérer à l'April, ça vous tente ?
[^] # Re: Des Binaires
Posté par BAud (site web personnel) . Évalué à 3.
et génériquement : https://reproducible-builds.org/projects/ qui liste des liens au sein de plusieurs distributions (tant Linux que BSD)
# Pourquoi forker ?
Posté par Andre Rodier (site web personnel) . Évalué à 3.
Pourquoi Forker, et pas simplement contribuer ?
D'ailleurs, le site ne contient pas cette réponse. Les seules références à OpnSense sont des promotions pour une console d'administration DynFi/PfSense/OpnSense/
Pour l'instant, cela ressemble plus à de l'appropriation qu'à de la collaboration pour un produit open source.
References opnsense sur le site: https://duckduckgo.com/?t=ffsb&q=opnsense+site%3Adynfi.com
[^] # Re: Pourquoi forker ?
Posté par gregober . Évalué à 7.
Bonjour André,
Nous avons plusieurs bonnes raisons pour forker.
Tout d'abord à l'époque ou nous avons décidé de créer le fork (2018), OPNsense fonctionnait sur HardenedBSD et fonctionne toujours avec cette distribution à cette date.
La qualité générale de HardenedBSD, son scope, la façon dont le projet était maintenu, tout nous poussait à créer un fork.
Par ailleurs, nous avions déjà véçu une situation avec pfSense ou nous avons été leur distributeurs en France et ou un changement de politique nous a conduit à ne plus l'être.
Ensuite l'installer DynFi a été intégralement revu et se base sur l'installer FreeBSD.
Enfin et surtout, nous utilisons un mécanisme de compilation totalement original et différent de celui d'OPNsense qui est basé sur Poudriere.
Enfin BIS, nous sommes passés sur FreeBSD 13 depuis déjà un certain temps.
Pour plus d'information sur le sujet, tu peux consulter notre documentation ici : https://dynfi.com/documentations/dynfi-firewall/historique_dynfi_firewall.html#un-nouveau-fork-opnsense-2015-2019
J'ai aussi donné un talk au Paris Open Source summit sur les firewalls Open Source ou j'évoquais le sujet en long en large et en travers ;-)
L'équipe DynFi.
[^] # Re: Pourquoi forker ?
Posté par nobono . Évalué à 1. Dernière modification le 15 novembre 2021 à 15:59.
OPNsense a déjà prévu depuis longtemps de migrer sur FreeBSD 13 dans sa prochaine version pour info.
source: https://forum.opnsense.org/index.php?topic=22761.0
[^] # Re: Pourquoi forker ?
Posté par Andre Rodier (site web personnel) . Évalué à 2.
Merci, très bien.
Cependant, ces informations devraient être affichés sur le site, et facilement accessibles.
Pouvez vous faire cela ?
Merci
[^] # Re: Pourquoi forker ?
Posté par gregober . Évalué à 1.
Oui, certainement.
Et nous avons démarré ce projet en 2018.
A l'époque OPNsense n'avait pas envisagé de migrer sur FreeBSD, mais était très attaché à HardenedBSD.
[^] # Re: Pourquoi forker ?
Posté par Andre Rodier (site web personnel) . Évalué à 1.
Bonjour,
Où es la page sur le fork ?
Merci
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.