Un ti tuto J'ai jété un oeil apres dans other y a un tas d'option avec high et low priority ?

Merci

Toujours personne?

Merci pour les infos je vais plus creuser par là :)

Ce que je voulais pas dire, mais après tout :) je suis dans la fonction publique et on s'occupe d'hébergement avec le wifi. Certains ont réussi à téléchargé via utorrent et bim, hadopi.
Je mettrais bien des mots de passes, mais beaucoup d'usagés de passage et qui va donner les informations quand je suis pas là ? :) Ne jamais rajouter de travaille a un fonctionnaire, ca le tuerait.
Donc obligé de faire en ouvert.

En tout cas, je vais plonger dans Squid :) Merki

Désolé, mais cela n'est pas possible.
Comme l'a dit précédemment JDH, se sujet a été abordé très récement

Un paquet IP entre un PC avec un navigateur (FF ou autre) et un serveur web est JUSTE un paquet IP : une ip source et une ip destination.

Or dans les data du paquet, et dans le cas spécifique de HTTP, il y a EXPLICITEMENT le nom de domaine.

Donc un serveur web, et plus précisément un proxy, sait analyser le flux et réagir en fonction.

Il FAUT donc un proxy pour y arriver puisque c'est une analyse de flux (couche 3 ou 4 comme l'écrit ccnet).

Tout cela est mieux expliqué chez Christian CALECA … qu'il faudrait que vous regardiez ...

Pas de souci.
Départ en vacances pour 3 semaines donc on voit tout ça plus tard :)

J'aurais aimé une explication très simple :

je gère un pfSense avec une interface WAN et 3 interfaces "LAN" correspondantes à 3 sociétés distinctes. il ne faut donc qu'il n'y ait aucun accès direct entre chacun des "LAN", mais cela ne doit pas empêcher chacune d'accéder au serveur web public de l'autre …

D'une, chaque zone LAN doit avoir une règle d'interdiction vers chaque autre zone.
De deux, chaque zone LAN doit utiliser une ip publique distincte via un NAT Outbound non automatique.
De trois, cela empêche-t-il d'accéder à l'ip publique destinée à un serveur public de l'autre ?

Il existe pourtant de la doc :

http://doc.pfsense.org/index.php/Multi-WAN_Version_1.2.x http://forum.pfsense.org/index.php/board,21.0.html
et http://forum.pfsense.org/index.php/topic,16923.0.html

Très bien merci pour votre retour.

ah ben j'ai trouvé, si vous pouvez me confirmer que c'est la bonne méthode :

Dans le menu du portail captif, à l'onglet "allowed IP addresses", j'ai autorisé le traffic sur la plage d'adresse correspondant à mon serveur TFTP (dans les 2 sens)…

Merci !

Je suis impardonnable, je sors d'un chantier de virtualisation ! ! !
Le DNS semble hors de cause, à moins que ça ne vienne du DNS forwader mais je n'y crois pas trop.
Je suis certain que le problème vient du proxy. Il ne filtre plus la navigation (alors que les services sont lancées), dans mes sites distants avec le proxy j'accède à internet mais pas aux url internes et si je désactive l'utilisation du proxy dans les web-browsers je n'accède plus à internet mais à mes url internes et quand je dis url internes ce sont des adresses IP.
Je me demande si je n'ai pas une erreur dans mes blacklists.

ouaip au final j'ai juste fais une règle dans Nat port forward et rouler jeunesse tout va bien

Merci

Bonjour,

Problème résolu.
Le problème vennait de ces adresses qui sont déjà prises sur le réseau.
Il faut rajouter dans les options de openVPN:

Coté openVPN serveur : –ifconfig 10.0.16.1 10.145.7.4;
Coté openVPN client : --ifconfig 10.145.7.4 10.0.16.1;

Cette option permet de définir les adresses IP des extrémités du tunel.

Il me reste des problèmes de filtrage, mais ça sera l'objet d'un autre post.
Merci encore ccnet

Oui je suis en train de rédiger quelque chose de plus ou moins correct .

Je crois avoir lu quelque part, mais où … que ce pb peut survenir lorsqu'on fait une réservation pour une machine ayant obtenu une adresse auparavant et dont le bail est en cours.
Il faut regarder du côté des fichiers concernant les baux.

Il para virtualise avec ESX. Donc je pense mettre les parefeu la dessus au final .

Aiiiieeee !! Non, non et non.

Avec quatre interfaces réseau en tout sur l'esx, je ne vois pas comment vous allez faire sauf à tout mélanger.

Donc un simple loadbalancing et failover entre deux distributions pfsense paravirtualiser suffirait a satisfaire notre demande ?

Parfait exemple où la virtualisation va dégrader fortement la sécurité. Si vous perdez l'esx vous perdez tout. Si vous avez deux esx, vos quatre interfaces sont probablement déjà utilisées, donc pas d'isolation suffisante. Une interface doit être dédiée au Vmkernel (administration) au moins une pour Vmotion, plus le storage (si ISCSI) qui doit être complètement séparée. Comme il n'y a pas plus d'infrmatin, je ne rentre pas dans les détails.
Il semble que vous ayez un seul ESX, donc sans redondance. Quid du stockage ? Vous perdez sur tous les tableaux : Disponibilité : perte de la machine physique tout tombe.
Intégrité  stockage corrompu : perte importe probable d'une ou plusieur vm
Confidentialité : augmentation des risques due à de multiples facteurs techniques (faille esx) et humain (erreur de configuration lié à la complexité induite par la virtualisation) .

500 Mhz/256Mo de ram

Pour moi aussi c'est très léger. Un DL360 G4 (Bi Xeon jusqu'à 3,4 Ghz, avec 2 Go de ram) serait déjà un bien meilleur choix. On en trouve plein pas cher, vous pouvez en acheter un stock pour du spare et pour le failover.

Vous êtres sur la mauvaise pente. C'est une image. Mais quand même.

Bonjour,
petite remontée de ce topic… et question sur le DHCP&free
j'utilise également DHCP & freebox V4 (avec adresse IP fixe externe).
J'ai vu dans les log pas mal de renouvellement du bail DHCP...
du style :

dhclient[1971]: bound to 62.xxx.xxx.xxx -- renewal in 60 seconds. Jun 21 16:03:16 dhclient[1971]: DHCPACK from 62.xxx.xxx.254 Jun 21 16:03:16 dhclient[1971]: SENDING DIRECT Jun 21 16:03:16 dhclient[1971]: DHCPREQUEST on rl1 to 62.xxx.xxx.254 port 67 Jun 21 16:02:16 dhclient[1971]: bound to 62.xxx.xxx.xxx -- renewal in 60 seconds. Jun 21 16:02:16 dhclient[1971]: DHCPACK from 62.xxx.xxx.254 Jun 21 16:02:16 dhclient[1971]: SENDING DIRECT Jun 21 16:02:16 dhclient[1971]: DHCPREQUEST on rl1 to 62.xxx.xxx.254 etc... etc...

Vu que j'utilise OpenDNS (sur le lan servi par pfsense en DHCP) et non les DNS de free, vaut-il mieux se mettre en ip fixe ou alors faire une règle pour ne pas logger toutes ces demandes/réponses concernant le DHCP (toutes les minutes quand même) de l'adresse IP externe auprès de Free?

Beh euh, par exemple, en commençant par wikipedia ?

Sur une bête Debian, un "apt-get install arpwatch" doit faire l'affaire.

Ensuite on regarde arp.dat et le log …

(Ce qui est amusant, c'est les serveurs Windows avec les outils Broadcom de "teaming" ...)

Bonsoir,

1 seule patte côté LAN ? donc 2 Vlans (côté LAN) de pfsense et sur le switch ? 1ère chose à vérifier …

Si c'est le cas il faut d'une part définir des gateway pour chaque interface publique (mais vous montrez des règles de filtrage). Ensuite il faut définir le NAT  : ce qui vient du pédagogique sera traduit par l'adresse ip coté ADSL et tout ce qui vient de l'administratif sera traduit par l'adresse IP côté SDSL.

Et ensuite seulement les règles de filtrage.

Le NAT est fait avant le filtrage, je pense que le NAT est mal configuré. Essayez ceci :

if WAN - Proto TCP - SRC ADDS * - SRC PORTS * - DEST ADDS WAN Address - DEST port 80HTTP - NAT IP 172.16.16.100 - NAT ports 80HTTP