Oui…
J'ai trouvé depuis un moment, et j'avais oublié ce fil.
Merci pour ta réponse, c'est exactement ce que j'ai fait :

Donc, pour "ceuces" que ça intéresse… Le script fonctionne !  :)

A l'heure actuelle les cluster ne sont pas actif/actif, le premier noeuf travaille et le deuxième prend la main automatiquement et sans rupture de service lorsque le premier tombe.
Ce n'est pas avec deux ADSL que vous aller surcharger vos pfsense (à moins que ce soit du très très très vieux matériel).

Re,

Alors voila ma dernière config:

Pour la DMZ
Proto  Source          Port  Destination  Port            Gateway    Schedule    Description
–-------------------------------------------------------------------------------------------- 
UDP      DMZ net        *        DNS_IP      53 (DNS)      *              *          Autoriser UDP 53 (DNS)
TCP      192.168.2.2  *          *          80 (HTTP)      *              *          Autoriser TCP 80 (HTTP)
TCP      192.168.2.2  *          *          443 (HTTPS)  *              *          Autoriser TCP 443 (HTTPS)

(ccnet avait raison la regle suivante était inutile :
TCP      192.168.2.2  3128  LAN net      *              *              *          Autoriser DMZ To LAN via 3128 )

pour le LAN:
Proto    Source      Port            Destination          Port        Gateway    Schedule    Description
–-------------------------------------------------------------------------------------------- 
UDP      DMZ net        *        DNS_IP      53 (DNS)      *              *          Autoriser UDP 53 (DNS)
PASS    LAN net        *              192.168.2.2          3128            *              *              *
        (10.0.0.0/24)              (IP Proxy dans la DMZ)

Pour WAN:
Rien changer

Pour NAT:
port forward :
If  Proto   Ext. port range  NAT IP  Int. port range  Description 
–--------------------------------------------------------------------------------------------
LAN TCP     80 (HTTP)     192.168.2.2 3128          NAT LAN (80) To Proxy (3128) 
                                              (ext.: any)

1.1 :
rien changer

outbound :
Automatic outbound NAT rule generation (IPsec passthrough)

Voila avec cette config j'arrive bien à accéder au net via mon proxy transparent, si ca peut aider d'autres personnes ^^
Bon pour l'instant je ne peux pas accéder a des pages https, mais je travail pour résoudre ce problème, d'ailleurs si vous avez une idée ca m'intéresse ?

Si jamais vous avez le temps ccnet et les autres est ce que vous pourriez me dire si vous voyez des failles de sécurités ou si vous auriez fait autrement ? au niveau de certaines regles ?

Merci en tout cas pour le coup de main…

--
N3j1

Bonjour,

faire l'acquisition d'un client SSO et de paramétrer une "application" (au sens client SSO) avec les identifiants ?

Bon ben voila…cela fonctionne...

J'ai essayer d'enlever le routage intervlan...alors en fait c'etait pire...avec l'intervlan j'arrivai a aller sur mes serveurs et sur google...sans l'intervlan, impossible (bon je sais l'archi est tres bizarre...mais ma logique n'est malheureusement propre qu'a moi...enfin bref...)...J'ai rajouter des routes en static sur les routeurs, mis des gateway sur les pfsenses pour les interfaces qui m'interessait...pour finalement en arriver a une conclusion des plus bete...enfin surtout une question...

Pourquoi ai je besoin du loadbalancing...puisque j'ai le carp avec failover...ce n'est pas pareil, certes mais l'important n'est il pas pour mes clients de ne jamais avoir de coupures...et le load balancing fait de la repartition de charges...en aije vraiment besoin avec des lien gigabits...???

La reponse fut non, j'ai donc enlever le load balancing, et miracle de l'informatique, cela fonctionne super mega bien...j'ai bien mon failover, mes clients pointe sur la passerelle du carp, comme ca il y a quand meme l'un des 2 qui travaille...je vais voir a la longue si un est vraiment plus surchargé que l'autre, mais d'apres ce que j'avais vu, il semblait tous les 2 tourner a 2% de charges !!! (oui bon mon patron aime bien ecraser une mouche avec un marteau...autrement dit, il m'a acheté 2 machines surdimenssionner pour ce qu'il y avait a faire...)...

Bref...en resumé :

Sur mes 2 pfsenses, j'ai mes vlans sur un interfaces, et LE vlan par default sur un autre...comme ca je peux filtrer tous mes vlan avant qu'il ne repartent sur le reseau...j'ai mon failover...j'ai mon carp qui regroupe bien mes 2 adresses...j'ai mes virtuals ip qui pointes vers mes serveurs dans mon lan,mon dhcp pour le reseau client exterieur qui delivre bien des ip sur le bon vlan...enfin bref...la vie est belle...

Merci a vous juve et ccnet  pour vos conseils qui a chaque fois me donne la solution...

des que je pourrai je mettrai des copie ecran de mon taf, afin d'aider peut etre qqun...enfin des que je peux...

Merci bcp pour ces explications, le réseau 172.16.254.1 est en /16 soit 172.16.0.0 ^^
j'ai mis des règle hyper souple devant le problème que je rencontrai, je vais les changer une fois celui-ci résolu ;)

sinon, j'ai enfin trouver la solution ^^ Honte a moi de ne pas l'avoir vu ^^
Dans mon serveur DNS J'avais bien changer un pointeur vers mon serveur de messagerie, mais pas tous ^^ ouh la honte
Une fois corriger, tous c'est mis a fonctionner

c'etait bien un problème de routage asymétrique ou problème de DNS ^^

Mon conseil sera exactement le même.

Dans la version 1.2.3, il y a une option sur le portail captif vous permettant de limiter la bande passante en Kb/s pour chaque personne authentifiée.
Cette option nécessite que le Traffic Shaper soit actif.

Peut être celà répondra à votre besoin.

Au delà de l'orthographe, il y a la justification qui nous échappe …

Quelle est votre réponse à ce conseil pratique : au delà de 10 utilisateurs, nous déconseillons d'utiliser Squid sur pfSense ?

Nous avons du mal à comprendre pourquoi on n'irait chercher les logs à un autre endroit que le proxy le plus proche ! (sur une hypothèse d'un squid dédié au lieu d'un Squid/pfSense).

Néanmoins, je ne connais pas bien l'enchainement de proxy (cache hierachy ou ICQ ...) et ses fonctionnalités ...

Merci bcp Juve, je vais voir si le FAI veut bien me mettre en place une seconde IP au niveau du routeur, vu le prix qu'on paye ce lien fibre j'espère bien que c'est possible.
Bonne journée et merci encore. ;)

ouais des fois faut abandonner…j'y suis retourné et j'ai resolu le pb en 15 minutes...

sinon je pensais ca aussi, mais en regardant le fichier /tmp/rules_debug, la derniere ligne est

"block in log quick all label "Default deny  rule"
"block out log quick all label "Default deny  rule"

j'en conclue qu'il filtre en entré et en sortie par defaut...En entré un deny all c'est normal, mais en sortie je ne voit pas la raison, mais il doit y en avoir une, surtout que "label" je ne sais pas trop ce que ca veux dire, pour moi cela signifie "label"...heu bon ok je sors...

je pensais donc que label voulait dire "tous les interfaces"...En tout cas en commantant cette ligne (temporaire puisque a chaque sauvegarde de regles il faut le recommenté...), cela fonctionne parfaitement...

En effet, même DSLAM, même subnet donc même gateway…ca ne marchera pas. Il faut faire comme vous avez fait une des deux freebox en routeur et l'autre en modem pour avoir deux WAN avec deux gateway différentes.

Je me serais mal exprimé ? N'ai pas répondu à cette question ?

(NB : Il n'y a pas besoin de NAT)

Si je me donne la peine de décrire "un peu clairement" un schéma, des adressages, c'est qu'il faut reprendre cela en écrivant VOS valeurs, VOS propres informations.
C'est VOTRE réseau, ce n'est pas le mien. La façon de décrire que je propose est une façon qui a le mérite d'être claire, simple et compréhensible par tous …

Ok, j'avais pensé au VPN.
Je vais voir sa de plus prés.

Merci beaucoup

script javascript et pas script java !

Cela continue à me dire que snort est une fausse bonne idée : mélanger de l'analyse de paquets ip à de l'analyse dans le flux protocolaire qui devrait être réalisé par un proxy applicatif.

en effet y a un champs pour télécharger directement depuis :

ftp://eole.orion.education.fr/maj/blacklists/blacklists.tar.gz

merci je ne l'avais pas vu.

LaQuiche

jme fais un ptit up ca fait pas de mal :p :p

32 interfaces physiques.

Il suffit de comparer les features sur les deux sites.
Monowall est destiné à de l'embarqué principalement.