Ok, merci.

Topic clos.

@CreatAdict:

Ce que je veux faire :

Rediriger les ports externe genre : Tous ce qui vient de l'ip 80.0.0.2 (ip virtuel wan2) port 80 ver 192.168.2.100 port 80 (lan2)
Je pense qu'on configure ca dans la partie nat

Vous avez un serveur web en 80.0.0.2 (ip publique). C'est une ip virtuelle. L'adresse réelle du serveur est 192.168.2.100 dans votre réseau. Il y a une règle (ou deux selon la provenance, wan ou wan2) de nat à créer de any vers 192.168.2.100 en spécifiant que c'est 80.0.0.2 qui est translatée.

Que tout le trafic interne de chaque lan soit autorise (Je pense qu'on configure ca dans la partie rules)

Ce trafic ne passe pas par le firewall. Il circule sur votre segment Ethernet librement.

Que le trafic entre les deux lan passe

C'est dans la doc.

Et que le lan sorte avec le wan et lan2 avec wan2.

Pocily routing : c'est dans la doc. Il faut renseigner la gateway dans chaque règle d'autorisation.

je vous invite alors a vous documenter sur IPSEC, le NAT, et les deux utilisés simultanément.

Vous pouvez regarder NetFlow.

Pour info voici la capture de Packet :

IP_PublicWindowsClient –> Internet IP from client (WindowsXP and Windows7) - sans firewall d'activé sur les stations
IPFTPLAN ---> Ip local (192.168.x.x where my ftp server)
IP_PublicFTP --> My Public IP
Note :  bge0 Is LAN

Avec WindowsXP (ca marche)
all tcp IPFTPLAN :21 <- IP_PublicFTP:21 <- IP_PublicWindowsClient:2246      ESTABLISHED:ESTABLISHED
all tcp IP_PublicWindowsClient:2246 -> IPFTPLAN :21      ESTABLISHED:ESTABLISHED
bge0 tcp IP_PublicWindowsClient:2250 <- IPFTPLAN :20      FIN_WAIT_2:FIN_WAIT_2
all tcp IPFTPLAN :20 -> IP_PublicFTP:48730 -> IP_PublicWindowsClient:2250      FIN_WAIT_2:FIN_WAIT_2

Avec Windows7 (Ca marche pas)
pfctl -vss | grep IP_PublicWindowsClient
all tcp IPFTPLAN :21 <- PublicFTP :21 <- PublicWindowsClient:49756      ESTABLISHED:ESTABLISHED
all tcp PublicWindowsClient :49756 -> IPFTPLAN :21      ESTABLISHED:ESTABLISHED
all tcp IPFTPLAN :20 -> PublicFTP:33868 -> PublicWindowsClient :49757      SYN_SENT:CLOSED

Merci de votre aide.

Rappel je suis avec la 2.0RC1 du 7 Mars

As-tu regarde dans les logs si tu as des erreurs?

Certainement pas ! (Et c'est assez évident : que va-t-on faire d'une ip privée ???)

Je ne crois pas que vous ayez bien compris ce qu'est le "split-domain" : relisez Christian CALECA ou cherchez un peu sur Internet (dns split domain)

Merci beaucoup pour votre réponse.

Je vais me pencher sur ses solutions et je reviens vers vous pour vous tenir au courant.

Cdt,

Et quand on voit les logs de Snort on est un peut envahi.

Vous prêchez un convaincu ! C'est un des problèmes. Snort brut de fonderie c'est inexploitable.

Bonjour,

Nous te remercions Juve d'avoir pris connaissance de notre esquisse, ça reste quand même une esquisse, mais grâce à vos lumières je sens que nous avançons.

Effectivement, il ne reste plus qu'à définir les flux inter-zones et surtout inter-sites (VPN).

Nous allons prendre le temps qu'il faut pour cela, il est indispensable de ne rien oublier, après nous reviendrons pour avoir plus de détails sur les DMZ (privée et publique) car il faut dire que nous ne savons toujours pas s'il en faut plusieurs ou bien une de chaque.

Je pense que le plus urgent est de mettre en valeur, les rôles de chaque zone et de chaque site.

Autrement dit, j'affirme avec certitude au point d'avancement sur lequel nous sommes que nous optons définitivement pour Pfsense. Et pour cela nous nous sommes donc partagé nos efforts en désignant 2 personnes pour poursuivre le recensement des ressources et 3 personnes pour toute l'exploitation donc connaitre à fond les systèmes utilisés, l'architecture physique et logique à modifier et à implanter (avec un Support d'Incidents) pour savoir ce que l'on a modifié, au cas où.

D'ici là, cordialement.

merci juve

je suis tombe hier sur les routes static .

Impressionent ce pfsense.

a+

Bonjour et merci

Les modifications sont faites et ça à l'aire de tenir.

@Fr€d
Je l'ai mis quand même dans loader.conf, puis j'ai fait un full update et les valeurs n'ont pas été écrasée.

Merci

@+

JN

Config Actuelle

Merci pour ces pistes. je vais faire tester ça par notre partenaire.

Merci pour votre reponse.

Je te remercie pour cette réponse claire et rapide.
Ca fonctionne.

Merci pour ta réponse,

Le nombre d'utilisateurs de la téléphonie est peu élevé, j'ai estimé qu'il n'y aurait pas plus de 10 communications simultanée (20kbs de bande passante par com non?)

Mais en ce qui concerne le traffic data, je n'ai aucune idée du traffic.

Il me reste une question, si je fait de la QOS sur le routeur A et B comme sur le schéma ci dessous:

routeur A–--------opérateur tunisien---------routeur B

Est ce possible déjà, car je ne peux toucher aux équipements tunisiens?

Bonjour,

Super, tout d'abord, nous vous remercions pour vos réponses, je n'imaginais pas que c'est aussi rapide.

Comme le dis si bien Juve, il est indispensable de choisir du matériel pro, effectivement, nos choix ce sont portés sur du HP (pour la compatibilité hard), personnellement, j'étais plutôt pour de l'IBM (car moi même certifié dessus), mais l'esprit d'équipe l'emporte et la réalité encore plus. Maintenant, du DL ou ML, je ne sais pas, sans vous le cacher, l'investissement chez nous est une affaire, disons "TABOU"  ;D.
Bref, nous verrons cela lorsque nous terminerons le schéma global de la solution.
Cependant, j'ai vu sur un des posts qu'il vaut mieux, pour diminuer le nombre d'interfaces d'utiliser des vlans. Je vous confirme donc qu'un de nos objectifs est justement d'utiliser des Vlans et que pour se décharger un peu de notre boulot, il sera exclusivement fait par des étudiants (il y aura environ 160 switch CISCO de Niveau 2 et 3), ça leur fera de l'exercice (et pour nous aussi  ;D). Question communication, il y aura bien-sûr pas mal de sous-réseaux sur une même plage d'adresses mais aussi des plages d'adresse différentes qui pourront communiquer entre eux (par le biais des switchs niveau 3).

Voilà, si je résume bien, à part les plate-formes d'exploitation qui seront eux sous Windows - LDAP, Exchange, SQL, Autres (nous ne pouvons changer car déjà en exploitation sous une forme archaïque) tous les autres seront soit sous freebsd, Centos ou Ubuntu LTS.

PS : Juste un détail sur lequel je ne suis pas fixé, peut on utiliser Pfsense comme DMZ (Je pense que oui (Routeur), mais j'ai un doute), le doute s'est installé en se référant à la question de SQUID.

Merci pour vos précieuses lumières.

A bientôt.