L'idée est de lancer le ping depuis Pfsense et de regarder ce qui arrive ou pas sur la machine 10.10.188.110.

FTP sur UDP, peu probable !! Ca vient d'ailleurs !

Le port 20 ne devrait jamais être naté en entrée,c'est qu'on ne connait pas le fonctionnement du protocol !

-> En entrée on NAT et autorise port 21 et range ports passifs
-> En sortie on autorise le serveur à sortir avec en port source le 20 et en destination 1024-65535.

Pour rappel, en FTP, le client se connecte au serveur sur le port 21, c'est le canal de commandes, puis il y a deux modes possibles pour la transmission de données:

actif : c'est le serveur qui établi le canal de données en direction du client, avec une connexion TCP émise de son port 20 (si respect RFC) en direction du client sur un port > 1024 passif : c'est le client qui établi le canal de données en direction du serveur, avec une connexion TCP émise d'un port > 1024 en direction d'un port du serveur > 1024 ( dans la fameuse range passive)

Attention en mode passif, le serveur indique au client l'IP et le Port sur lequel il doit se connecter avec la commande PORT, si le serveur est en IP privée derrière un NAT, il faut lui renseigner un parametre pour qu'il connaisse l'IP publique sur laquelle il est publié, avec d'utiliser celle-ci dans les commandes PORT et non son IP privée….

FTP c'est archaïque mais bon, toujours utilisé...

Un serveur devrait savoir travailler dans les deux modes pour être sûr de servir n'importe quel client.
Maintenant sur Internet, à cause du NAT (eh oui peu de clients sont en IP publique directe avec ports ouverts), la plupart des clients passent en passifs.
Dans le cas d'une connexion active, il faut que le modem/routeur/firewall du client possède un ftp helper pour recevoir et accepter la demande de connexion de données en provenance du serveur (port 20 en source !)

ba dans ce cas là, je fais un réseau du style

windows 7 (reseau 1) <–--> (Réseau 1)[routeur](Réseau 2) <–---> (Réseau 2)[pfsense](Réseau 3) <–-> windows 7 (Réseau 3)

tout en vm et ça devrait passer tranquille ?

C'est bon on m'a indiqué sur un autre post.

Merci quand même

Effectivement, Jdh, tes règles me plaisent !

Je confirme la proposition de JDH.
Utilisez un wpad.

Je viens de résoudre le problème comme quoi l'IP Virtuelle ne répondait pas aux pings. C'était un soucis au niveau de mon hébergeur.

Cependant, désormais que je la ping, je n'ai pas accès a l'interface d'administration …
Et savez vous comment mettre l'interface d'administration en HTTPS a tout hazard.

Oni'

Waou

Tout d'abord quand je parle d'externe cela veut dire que ce n'est pas sur la machine de Pfsense cela me semblait logique.
Bien sur que notre proxy est est en dmz, le placement du réseau que va gérer Pfsense ne dépend pas de moi et cela ne représentera qu'une infime partie du réseau totale dont je ne connais pas l'entièreté, je travail suivant des contraintes. Le réseau est protégé et utilisé par un nombre important d'agent et est géré par une équipe d'ingénieurs qualifiés je pense qu'ils savent ce qu'ils font et mêmes si le font mal je n'ai pas le choix et doit faire de mon mieux pour y intégrer ma solution.

Pour l'authentification vous comprenez de travers mais après relecture ma phrase mérite en effet éclaircicement :
Je disais cela car notre proxy demande habituellement une authentification et un profil classique pouvait donc être réalisé si j'utilisais squid qui propose une option upstream proxy avec un identifiant/mot de passe, la solution avec le nat ne permet pas cela et une règle spéciale doit être définie dans notre proxy pour ne pas demander d'authentification pour les adresse IP de mon réseau. Pour faire de l'identification sur le proxy il nous faudrait faire des modifications sur les postes clients ce qui ne peut pas être fait pour nous car les utilisateurs seront des usagers externes dont nous ne maîtrisons pas le matériel.

Par contre la présence de l'adresse IP est indispensable pour faire le recoupement avec les logs de connexion du portail captif mis en place pour pouvoir dire qui a fait quoi et à quel moment comme le nécessite la législation.

Si vous n'aviez pas compris l'architecture décrite dans le premier post qui était primitive et uniquement vraie pour les premiers tests a été dépassée et était aussi fausse au vu des changements opérés dans notre cahier des charges, cela ne me semblait pas important à préciser au vu des questions qui sont plutôt indépendantes de l'architecture.

Mais j'aurais aimé savoir comment vous voyez idéalement l'enregistrement des logs de consultation des usagers vu que j'utilise Pfsense comme portail captif. La présence d'un proxy est surement indispensable maintenant comment le liez-vous à Pfsense sachant qu'il peut être en coupure mais pas directement relié à internet sur sa patte WAN (je ne suis pas le seul sur cet accès) , notre proxy est sécurisé et disponible sur la patte WAN.
Cela m'aidera peut-être à mieux intégrer Pfsense dans mon réseau.

Merci d'avance.

Toi et Jdh, j'adore vos réponses… souvent avec ce petit ton condescendant...

Tout simplement car tu utilises pfSense comme moi, tu en es un "habitué", que tu as déjà très sûrement des alertes de liens qui tombent, ainsi que de leur retour.
Plus haut on m'indique que ce message n'est pas celui attendu en cas de retour de lien.

En cherchant un peu, j'ai trouvé … excusez moi.
http://skear.hubpages.com/hub/Port-Forwarding-in-pfSense-How-to-Configure-NAT#

merci pour les infos!
bon bein je crois que je vais patienter sagement que le bouquin de l'équipe officielle sorte…

Je trouve cela bien compliqué.
(Alors qu'il aurait fallu penser dès le départ à avoir des adressages différents pour WAN1 et WAN2 !)
En plus il est anormal (et mal pensé) d'avoir un circuit interne et 2 sorties WAN, qui plus est de même adressage, et encore plus avec des serveurs en zone WAN !

Comme on peut le lire les "virtual ip" sont destinés à être utilisées pour du "NAT forward".
Mais lors de la config d'une règle "NAT port forward", on indique "internal address" …

La bonne technique : avoir des WAN différents !
Le bon conseil : ne pas avoir de WAN identiques, et ne pas mettre de serveurs en WAN mais en DMZ !

OK c’était en effet pas bien compliqué, fallait juste apprendre a lire. Merci pour votre aide

Durcir un esx c'est appliquer certains paramètres de configuration, comme desactiver les changements d'adresses mac. Il y a un doc là dessus sur le site de Vmware. Ensuite il y a plus sophistiqué mais on entre dans le spécifique. Pas d'utilisation de root en ssh sans authentification forte, analyser les flux vmware utiles et leur cloisonnement, désactiver snmp, attention à ntp, etc …

Surement pas. Je crois que vous devriez affiner vos connaissances avant de toucher à tout cela. Enfin d'un point de vue législatif le proxy transparent ne répond pas aux exigeances.

Oups toutes mes excuses.
Je ne me sers que tu proxy filter de pfsense.
Je vais fouiller un peu sur mon proxy de qualif des fois que …

J'ai corriger mon problème seul, mauvaise manip de ma part

Bonjour à tous,

Après moultes essais, j'observe que les "safesearch" sont OK partout sauf sur google …
Je continue ma quête.