bonjour,

Si vous parlez de shallalist pour Squidguard, vous devez vous rendre dans Services > squidguard proxy filter > onglet Blacklist

il y a un update log qui vous confirme que la mise à jour a été effectuée.

Ensuite vous redemarrez le service squidguard : Status > services

Cordialement,

Mathieu

Merci . Je vais voir cette config et je reviens vers vous.

Bonne journée

Si nous résumons alors tout ce qui a été cité précédemment, ce qu'il faut mettre en place c'est :

Un portail captif affichant une charte de confidentialité lors de la connexion d'un utilisateur, Une connexion grâce à l'adresse mail de l'utilisateur qui lui enverras un code d'authentification, Les logs des URL visités par les utilisateurs,

Imaginons maintenant que l'utilisateur exemple@gmail.com se connecte à mon réseau wifi et utilise ma connexion à des fin frauduleuses, il sera nécessaire de pouvoir "l'identifier"

Les logs obtenus auront très certainement cette forme : Adresse IP local - date/heure de la requête - URL visité
–> Il faudra donc avoir la possibilité de savoir que l'utilisateur possédant l'adresse mail exemple@gmail.com c'est vu attribué l'adresse 192.168.x.x à moment précis ? comment procédé ?

De plus, si pour ses actions malveillantes l'utilisateur c'est connecté à un site utilisant le protocole HTTPS, comment avoir l'URL de ce site dans nos logs sans utilisation de SSL filtering ?

Nul besoin d'intercepter le flux https pour collecter ces données. Sur une demande de connexion faite directement en htts le hello de la négociation SSL permet de connaitre le nom du site demandé.

Comment mettre ça en place ?

Merci de vos réponses.

C'est awebster dans son post  https://forum.pfsense.org/index.php?topic=133431.msg733320#msg733320 qui imagine que les profils sont partagés, et d'autres aussi ont compris la même chose.

Si vous avez bien compris la nécessité de disposer d'un profil personnel par intervenant, l'idée d'avoir un certificat personnel pour le vpn et de fixer l'ip à partir de la connexion vpn est 'normale' et logique.

Comme on peut lire que l'idée de fixer les ip ne vous parait pas évidente, …

Merci de ce retour précieux.

(Evidemment du personnel compétent mais j'espère être celui là).

On doit écrire aussi MPLS=$$ et Ligne Internet = plus facile/rapide à disposer.
J'ajouterai : attention à bien gérer les fw pour limiter les entrées (NAT forward) sur tous les sites : que du strict nécessaire !

J'ai résolu mon deuxième problème.

Il fallait juste brancher un équipement.

Merci

Les bonnes réflexions :

un firewall traite de paquets ip : il ne travaille pas sur la couche protocole (L7), ceci est le rôle d'un proxy applicatif. un portail captif est un système qui permet ou non de traverser un firewall : une sorte d'interrupteur contrôlé. le portail captif de pfSense fonctionne avec la redirection initiale forcée (premier paquet HTTP) : le portail captif répond directement à la machine par les pages prévues et configurées.

A poursuivre …

(Bravo pour l'utilisation du formulaire.)

Un firewall stable, c'est un firewall qui fait son boulot et rien que son boulot !
Donc on n'y installe rien d'autre que le strict nécessaire.

Pas de samba ni de ftp ou tftp sur un firewall … Ils seront bien (mieux) placés sur un serveur interne.
Pour ftp, je vous suggère de plutôt considérer sftp :

pfsense ne facilite pas l'utilisation de ftp (ni en client ni en hébergement) sftp est entièrement crypté et sûr le logiciel proftpd permet, assez aisément, de créer un serveur sfrp avec users virtuels (mysql)

Bon bon, je viens de trouver un mode de Squid qui fonctionne :

http_port 3130 accel

Quand je vais voir dans mon access.log, mon proxy local forward bien au proxy parent et les sites http sont bien filtrés (testé avec un site interdit, impossible d'y aller).

Mais je ne comprends trop ce mode accelerator en tant que proxy transparent ?
Est-ce parce que mon proxy local n'est finalement qu'un forward vers son proxy parent ?

J'observe que tout cela est bien éloigné de Pfsense.

Bonjour,

Quand je parle de DMZ dans mon cas, c'est de ne plus contrôler le modem Bbox3 en PPPoe mais de rediriger tout les ports sur une IP.

De ce que tu me dis, je suis obligé d'avoir des VIP sur le WAN et LAN, je dois donc oublier le PPPOE.

Un tout grand merci à toi !

J'ai lu (A LIRE EN PREMIER)

Oui, on voit … 2 ou 3 éléments du formulaire ... mais vous n'en avez pas du tout saisi le sens et l'esprit ! L'idée du formulaire est

un, fournir des informations COMPLETES : entre le post 1 et le post 2, on voit combien d'infos auraient du être écrites DES LE DEBUT deux, fournir les réglages, les tests, les recherches effectuées : là très peu de choses voire rien (un ping qui ne répond pas et on ne cherche pas à comprendre ?)

il me semble avoir tenté de faire le tour de ma conf, expliqué l'essentiel

Eh oui, vous avez filtré les infos : ça ce n'est pas utile, … mais, le problème, c'est que ne savez pas ce qui est utile ou non.
Ah et vous êtes surpris que les lecteurs tirent des conclusions hâtives : mais ils n'ont pas les BONNES infos, les lecteurs ! Alors que vous, vous les avez mais elles ne sont pas écrites !

'J'ai un windows 10 avec Virtual box', Ok
Mais personne ne peut imaginer qu'il s'agit d'un 'quadri-processeur octocore avec 64 G de ram' !
Ici, tout le monde, avec un hardware comme cela, installe ESXi sans la moindre hésitation !

Sur ce forum, on peut rencontrer des gens qui teste pfSense avec Virtual box (cela arrive).
Que vont-ils choisir comme réseau pour les VM : 'internal networking' mais certainement pas 'Host-only networking' : c'est bien la peine de créer un firewall qui sépare des réseaux pour avoir l'hôte avec une patte en WAN et une patte en LAN !
Parce que cela fait 2 interfaces sur le PC hôte sous Windows, et que, même pour un simple ping, vous ignorez si Windows va bien passer par la bonne interface, ... sans compter qu'on ne sait rien du firewall de Windows (encore une info qu'il aurait fallu mettre des le départ).
Vous pouvez administrer pfSense (par LAN, qui n'est qu'un rappel de la doc) et vous ne pouvez pas pinger les VM en LAN !
Pas un instant, ça vous pose des doutes ?

(L'esprit du formulaire c'est de regrouper : un host, un système de virtualisation, les choix pris ... et les raisons, les valeurs configurées ...)

Une VM avec 12 cartes réseaux ? Vraiment ? Ca répond à quel besoin ?

Un autre exemple : WAN + block private networks (Post 1: la case est cochée, enfin c'est ce qu'on lit)
J'écris 'c'est surprenant, c'est incohérent'.
J'aurais pu écrire 'c'est une erreur de cocher Block Private Networks du fait, JUSTEMENT, que vous utilisez une adresse privée'.
(Un prof fatigué donne la réponse (2), un bon prof donne la réponse (1) parce qu'il veut que l'élève titillé par la réponse trouve par lui-même !)
Eh beh non, vous ne comprenez même pas ce que j'écris : je comprends que vous comprenez l'inverse au sujet de Block Private Networks, et que, pas un instant, vous doutez de votre savoir ...

La vérité est pourtant claire : on décoche Block Privates Networks pour un WAN avec adressage privé, sinon ça ne fonctionne pas (en particulier pour la surveillance de la gateway) !

Au post 2, vous critiquez cette réponse et ... la case est décochée : qui croire ?

Bref tout cela est très peu glorieux.
Il y a 2 sortes de gens :

ceux qui veulent être aidé, qui savent exposer un problème, qui comprennent que, sans infos, aucun lecteur ne peut aider, qui savent faire gagner du temps aux lecteurs, et les autres, qui insultent ceux qui osent répondre

Je peux écrire 'qu'est ce que cela vous coute de mettre des infos au début', je n'ai jamais eu de réponse ...
Donc je vais appliquer, ce qui convient, c'est à dire la citation d'Audiard : je parle pas aux cons ...

NB : avec un hôte et un réseau 'host-only network' (et donc une patte de chaque côté), y a-t-il besoin d'une route ? On doit pouvoir répondre à cela, en moins d'1 minute ...

NB2 :

le reste du problème est surement lié à virtual box plus qu'a pfSense

Depuis le temps qu'on répète que la virtualisation …

Bonjour à tous,

Comme dit plus haut, je pense avoir trouvé la réponse dans la RFC mais mon problème n'est pas résolu pour autant.
Un coté du tunnel peut avoir un DPD élevé (configuration par défaut de pfsense delay=10sec, maxfailure=5)
tandis que l'autre coté du tunnel n'est pas obligé d'avoir cette configuration, elle peut etre de delay=60sec, maxfailure=5

la modification est faite en production sur 2 tunnels avec lesquels je recontre le plus souvent l'erreur et cela ne solutionne pas mon problème.

Si l'un d'entre vous à une idée, je suis preneur :)

Ce sujet étant posté dans la partie francophone, il serait peut être judicieux de l'exposer à la partie anglophone, qu'en pensez-vous ? (je me charge de la traduction)

Cordialement,

Mathieu

Aucun rapport aucun avec pfSense.

Merci de ne pas polluer ce forum …

On ferme ...

Je débute avec PFSense

C'est certain et pas seulement : conseil lire les stickys topics et en particulier A LIRE EN PREMIER

Abstraction faite de pfSense :

les requêtes (sous entendu http) de tels sites doivent passer sur la ligne 1 les requêtes (sous entendu http) de tels autres sites doivent passer sur la ligne 2
Même sans bien connaitre le protocole HTTP, il est évident que l'échange entre client et site (serveur) est d'abord et avant tout un échange de paquets IP, c'est à dire sans notion 'directe' de nom de domaine.
Au tout début, le client (=le PC) résout le nom de domaine et envoie à l'ip trouvée une requête http correspondante.

Donc, adresse ip par adresse ip de site, il va falloir orienter au niveau pfSense l'aiguillage par la ligne 1 et 2.

C'est très clairement une solution très stupide et inmaintenable …

Bref d'une idée 'de manager', il faut soit réduire son besoin soit créer la structure qui peut le faire 'bien' (ici, il faut 3 serveurs proxy !).

C'est possible d'exploiter les logs de squid dans Graylog mais il faut ajouter un extracteur prévu à cet effet.