Il y a moins de 2 mois, j'ai dû créé (du vendredi pour le lundi) un serveur de File Transfert sécurisé.
J'ai choisi Debian 8 + ProFtpd qui fait et ftp et sftp : il restait juste à faire des utilisateurs virtuels (en base MySQL).
Hors utilisation d'un template VM, j'ai du y passer environ 2h 'à la cool - le samedi matin' :

l'aspect dns prend 10', l'aspect firewall prend aussi 10', l'install de MySQL + Apache2/Php+PhpMyAdmin prend 10', l'install de ProFTPd + config (en sftp uniquement) + création d'une BD MySQL + les tests ont pris ~1h20 test depuis l'extérieur 5' (c'est la même config côté client puisque le split dns fait le job !)
Il faudra que j'y revienne pour ajouter les logs dans MySQL …
Je verrai bien aussi un petit site web de création des comptes avec envoi de mails (vers le demandeur interne et le client externe) ...

Franchement, les utilisateurs ne voient aucune différence (vs FTP) : j'ai documenté avec le paramétrage de FileZilla Client et WinScp : 3 pages de doc (faites le lundi).
Et je considère qu'en tant que fournisseur du service, c'est à moi d'imposer la sécurité !

Au moins, je n'ai pas d'inquiétude sur la sécurité 'à l'intérieur du protocole'.
Et je n'ouvre pas de tunnels VPN juste pour ça.

Je suis presque certain que ce montage (Ipsec + nattage + serveur FTP) est moins sûr que le serveur SFTP : il y a trop de choses qui doivent être parfaitement ajustées ...

salut salut.

@desirek
Pourriez vous, vous conformer à la chose première ===> ouvrir votre propre poste pour votre soucis, sauf si cela est pour aider le premier requérant.
Pourriez vous, vous conformer ceci vous aussi https://forum.pfsense.org/index.php?topic=79600.0 à fin que nous puissions vous apporter une aide plus constructive.

@all
Nota ==> personnellement ce fil est considéré comme mort pour raison qu'une avancée d'information est été apporté.

Cordialement.

En effet ma "solution" est riche
cependant : Win XP + VM server supporte les deux interface eth (intégrée+USB)
Win XP est peu consommateur de ressources (SP3 + services inutiles désactivés = 100Mo ram @full charge, 640 avec VM server (Tomcat))

Pour un netbook en Atom 1.66GHz/2 Go Ram il rend le service demandé et c'est tout ce que je lui demande.
Couplé à une multiprise IP que je peux controler à distance, plus un onduleur partagé avec un portable en céléron @650 qui me sert de serveur web et au vu de la conso électrique/service rendu, je suis satisfait !

Nota important à l'attention de 'dgtech' :

Le ccnet de ce forum est le même que celui de, feu, le forum Ixus (d'Ipcop) !
C'est à dire qu'il dispense ses conseils (judicieux), apporte son expertise (grande) depuis de très nombreuses années sur ces 2 forums (et avec un grand respect des débutants).

Vous sollicitez des conseils (gratuits), et il vous répond (et forcément correctement).
Vous ne respectez pas le formulaire (que nous avions imposé sur Ixus).

Et vous le dénigrez !?

Quelle ingratitude !
Franchement, c'est à décourager les meilleures volontés ..

J'ose dire : qui êtes vous, pour vous autoriser cela ?

@chat:

WAN: IN = 5Mbps        OUT=252Kbps
LAN : IN = 415 Kbps    OUT = 4,41 Mbps

Ces chiffres signifient qu'il y a un flux d'environ 5 Mbps depuis internet vers le LAN. Typiquement du download.

aussi j'ai effectuer un test de bande passante dont les résultat sont:
Débit Descendant = 6.82 Mbps
Débit Montant      = 10.03 Mbps

et ceci montre un flux typiquement VDSL (en ADSL, c'est souvent fortement asymétrique avec un flux descendant plus important.
On s'attend naturellement à un flux descendant plus important que le flux montant mais, pour des raisons que j'ignore, la décroissance du débit n'est pas équivalente sur les 2 flux en VDSL et le flux montant semble mieux résister à l'atténuation liée à la distance.
Ceci étant, ça ressemble (si tu es bien ne VDSL) à une perturbation "quelque part", peut-être sur la ligne mais peut-être également sur les équipements entre la machine qui fait le test et le serveur.

@jdh:

Etes vous certain que Squid sait gérer la notion d''utilisateurs' ?

oui, par exemple "acl ident" et bien sur proxy_auth qui renvoie le code HTTP 407  ;)

Certains produits gère la redondance.

Tu peux me donner plus de précision ? Mon hébergeur me facture 1000 € pour me mettre en place une seconde rocade cuivre.

Si je n'ai qu'une rocade cuivre et que je veux faire du ha avec mes pfsense, quelles sont mes solutions ?

Un switch ou je connecte mes 2 pfsense mais si le switch tombe je perds mon réseau.

Autre solution ?

Merci

tu devrais essayer de poser ta question dans la section "en anglais" du forum:
https://forum.pfsense.org/index.php?board=60.0 où tu as plus de chance de trouver une réponse.

Il y a par ailleurs dans cette section beaucoup de sujets relatifs à la mise à jour des black-list. En faisant une recherche tu y trouveras peut-être directement la réponse  ;)

Si on cherche "freebsd swap_pager_getswapspace failed", on arrive sur un lien tel https://forums.freebsd.org/threads/22362/

Comme indique ccnet (et c'est juste l'analyse des mots), cela concerne le swap de l'OS FreeBsd qui est la base de pfSense.
Il faut nécessairement regarder dans cette direction …

Il est notable qu'un système de base 'unix' (c'est le cas pour Linux ou les XBsd), utilise généralement une zone swap sur disque, pour gérer le cas de débordement mémoire.
L'utilisation du swap correspond à un débordement insoluble : le swap ajoute de la mémoire ... mais il faudrait redémarrer de suite : le swap peut aider à faire un redémarrage proprement et non 'à la sauvage' !

Un firewall est nécessairement conçu avec des règles précises de sizing du file system root et du swap. en fonction de la mémoire et de la taille du disque.
Donc un firewall, s'il doit utiliser du swap, est en situation très anormale en terme mémoire : probablement un package qui fout le bazar, un espace trop étriqué, ...

16G de disque pour 2G de mémoire, cela doit laisser de la marge : je peux imaginer un swap à 4G (même si c'est inutilement gros), il reste 12G pour la racine (root) : sans package il n'y a pas de difficulté ...
Où alors, le pire, le swap n'existe pas parce que l'install initiale aurait été manuelle à ce moment.
Peu imaginable : une erreur disque.
Aisément imaginable : le swap a été verolé : une désactivation + une recréation du swap ?

Ce n'est pas parce que vous ne voyez pas de piste, qu'il faut oublier la règle essentielle 'fournir de l'info' (et encore plus dans un tel contexte !).

@Tatave:

Effectivement, je n'avais pas penser au dédoublage des câbles réseaux ^^.
N'ayant pas de soucis sur le nombre de câbles à tirer je n'y avais pas un moment regardé de ce coté là.

En faisant l'impasse sur le gigabit, ça marche ;-)

Bonjour,

Peux tu nous indiquer comment tu as fait pour t'authentifier via clef ssh et non password. Ça pourra certainement servir à d'autre.

Sinon, je vois dans le post précédent, qu'il fallait également modifier le prompt. A tu essayé ?

J'ai lu ceci :

Sur le Pfense, il faut modifier le prompt depuis le fichier .tcshrc , commenter la ligne set prompt d'origine et la remplacer par :
set prompt="# "

Cordialement,
Soulearth

c est à se demander si vous avez véritablement cherché quelques choses et si vous n'avez pas passé votre temps le bec ouvert que la solution tombe toute.

Aider oui.
Assisté non.

La nuance est importante et énorme.
Pour le cout j'ai plus l'impression avoir assisté qu'aidé :(

@Axion:

une idée ?

Oui : https://forum.pfsense.org/index.php?topic=79600.0

Que tout cela est poussif … On est dans le basic du basic ...

Schéma :
Internet <-> Box (en bridge) <-> (WAN) pfSense (LAN) <-> switch <-> PC

Que doit-on vérifier au niveau de pfSense ?
Dans Status > Interfaces, il faut que

WAN obtienne une ip (publique), un masque (subnet mask), une passerelle (gateway), un dns (ISP Dns).
On peut faire le test des 3 ping : ping de la passerelle, ping 8.8.8.8, ping google.fr

Que doit on vérifier au niveau d'un PC ?
Soit il est en statique, et on a bien configuré une adresse ip, un masque, la passerelle = LAN de pfSense, un dns = LAN de pfSense.
Soit il est configuré en DHCP, et on vérifie qu'il obtient bien une adresse ip, un masque, la passerelle et un dns.
Ensuite on fait le test des 3 ping ...

Il est clair qu'initialement le premier PC est souvent configuré à la main, puis attaque pfSense et configure ce qu'il faut : DNS Server et DNS Forwarder.
Ensuite on configure les règles de l'onglet LAN à ce qui convient : la conf initiale est 'default allow', donc ne pose que peu de problème.

Tout cela ne doit JAMAIS poser le moindre problème à un administrateur de firewall !
Ou, à l'envers, si on rencontre des problèmes sur ces étapes très simples, c'est peut-être qu'on n'a pas les connaissances nécessaires à configurer un firewall ...

Merci de noter qu'il y a un modèle de formulaire à utiliser pour présenter un problème (cf fil 'A LIRE EN PREMIER') : merci de l'utiliser !

Bonjour,

Je suis sur la même problématique avec un U70 cependant je ne pense pas que l'on puisse faire grand chose en l'état avec ce type de boitier.

L'interface em0 est inutilisable tant qu'on ne peut pas piloter le contrôleur "vitesse vsc7398xyu", c'est lui qui permet d'utiliser les 6 ports du boitier.

Lors du démarrage de NS-BSD on peut apercevoir qu'il y a un daemon switch qui test ces ports.

C'est tout ce que j'en sais pour le moment…

Cordialement

Coté log firewall, il me dit que cela passe mais quand j'actualise après le plantage du téléchargement, je n'ai aucun log supplémentaire :

Apr 25 15:00:57 pf: 192.168.55.50.59548 > 192.168.1.30.80: Flags ~~, cksum 0x6278 (correct), seq 3742788345, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

J'ai regardé dans Status/System logs/Firewall.
En espérant que je sois au bon endroit ?~~

@sab33:

Il y a une technique bien particulière pour le https ?

Technique particulière… oui et non  ;D

En mode proxy transparent, le flux http et redirigé (de manière transparente) vers le proxy mais pas le flux https qui lui passe tout droit au travers du firewall.

Pour faire court, il y a 2 modes de fonctionnements

1 - pas de proxy

2 - si proxy transparent :
        pas de SSL bump => seul HTTP passe par le proxy
        SSL bump => tout passe par le proxy mais il faut utiliser un certificat reconnu (trust du CA) par les navigateurs

3 - proxy explicite (tout passe par le proxy) :
        si pas de SSL bump, filtrage d'URL pour tout, filtrage de contenu pour HTTP
        avec SSL bump, filtrage de contenu pour tout

et pour avoir du proxy explicite (donc pas transparent) sans avoir à gérer les navigateurs, il faut mettre en œuvre WPAD  ;)

Je ne sais pas bien quoi vous dire tant la réponse est évidente. Il s'agit d'ajouter une entrée Arp statique sur Pfsense. Connaissez vous le rôle et le fonctionnement de Arp? Si ce n'est pas le cas commencez par apprendre celà. Les choses seront beaucoup plus claires ensuite.

@Yarglo:

Pourtant il me semblait que cette règle d'interdiction totale était implicite  : "ce qui n'est pas autorisé est interdit" du coup, j'ai l'impression que ça fait doublon.

oui elle est implicite et la gestion du log pour cette règle se fait, de la même manière que pour l'affichage des paquets acceptés, dans les settings du log

Log packets matched from the default block rules put in the ruleset
Hint: packets that are blocked by the implicit default block rule will not be logged if you uncheck this option. Per-rule logging options are still respected.

Bonjour,

Merci beaucoup pour tous vos retours.

Je sais maintenant ce qui à posé problème et comment ce dernier aurait pu être évité, à savoir :

si une gateway est définie sur une interface, elle a "priorité" sur les routes statiques. Un paquet qui sort par cette interface va à la gateway sélectionnée, quelques soit les routes statiques. pour bénéficier de 2 accès internet différents, il est préférable de mettre en place 2 WAN différents coté pfSense, avec 2 interfaces

Cordialement,
Soulearth