Un des avantages que je vois à ce forfait, c'est qu'il est proposé sur Free Pro aussi (et c'est plus courant pour des commerciaux, technico commerciaux de se déplacer à l'étranger - à voir si la différence de prix avec l'autre forfait vaut le Delta).

C’est un forfait qui a le mérite d’exister mais qui je pense ne s’adresse pas à énormément de monde, il semblerait notamment que l’utilisation de la SIM dans un routeur soit limitée selon vos observations. En ce qui concerne les voyageurs fréquents hors UE, cela ne doit pas représenter une masse énorme. Évidemment je peux me tromper!

Je pense que ce forfait aurait vraiment pu creuser l’écart si le forfait 5G+ ne proposait pas l’illimité en France aux abonnés Freebox mais je suppose que cette décision a été prise bien avant que Free n’envisage un forfait comme le Max.

Merci pour vos réponses.

"
En solution court terme, vous laissez la box en bridge, de la freebox serveur un port vers le WAN pfsense  et un autre vers le player."
Ça a marché pendant des années mais suite à un changement de freebox player, dans cette configuration, l'internet est coupé quand on allume la télé.

C'est possible, mon modele a plus de 10ans.
Vous avez tenté de désactiver le client DHCP en mode bridge sur le player ?

quand tu offres un service tu mets son IP publique en direct sur Internet.

Je suis assez d'accord, mais c'est orthogonal avec le fait d'avoir un équipement qui fait du filtrage devant à mon sens.

1 - tu maitrises ton OS ton serveur est une brique au delà du port du service que tu souhaites offrir et n'a aucun risque y a rien qui écoute ur d'autres ports.

Defense in depth.

2 - si ton firewall ne vérifie pas que c'est bien du NTP dans le paquet entrant et du NTP/UDP propre il ne sert strictement à rien en se contentant de bêtement transmettre le paquet.

Si il applique une bête ACL qui autorise 123/udp à passer dedans, ca filtre tout le reste. Ce n'est pas inutile, même si ca n'inspecte pas ce qu'il y a dedans ?

La NAT est le degrés zéro de la sécu.

Entre un firewall qui fait default inbound drop et du NAT, pas de différence.

Le tracking c'est plutôt quand on doit aller dans le paquets et changer l'IP source pour des protocoles qui ne supporte pas la NAT (SIP, GRE,FTP...) et qu'on doit surveiller le paquet de réponse pour l'acheminer à la bonne machine source

Je suis d'accord qu'un routeur doit router et être aussi stateless que possible.

On peut ceci dit vouloir faire du conntrack pour autoriser les flux dans une direction et non dans l'autre, par exemple. Dans ce cas, avoir le contexte pour permettre au firewall de discerner les paquets entrants liés à une connexion initiée depuis l'intérieur de ceux qui n'ont pas été sollicités est utile.

Je mentionnais uniquement le tracking car c'est ce qui se passe par défaut avec nftables sous linux (ce n'était pas le cas avec iptables) : par défaut, il y a création d'un contexte pour chaque flux traversant le routeur, même si on ne fait pas de filtrage sur l'état du flux, donc il fait du conntrack dans tous les cas. Je ne sais pas ce qu'il fait des paquets si la table overflow.

Note que je ne parle aucunement de NAT ici. Le NAT est une construction qui vient au dessus de cette table de connection tracking.

Bonjour stlan,

Je vous ai envoyé un message privé, en plein désespoir !

Merci beaucoup pour votre aide.