Bonjour,
Effectivement je n ai pas pense a regarder les cause de la charge. Connaissant pas Linux je subis :)

Par contre monte un ubutu ou autre ne passera pas car j ai fais acheté des boitier a lix pour l emcombrement.

J ai deux boitier en plus, puis je désactiver le firewall de pfsense ,et si oui comment.

Comme je dois faire du filtrage, peut être devrais je utiliser dnsblock ( je suis pas sur du nom ,je n'ai pas pfsense sous les yeux).

Merci
A+

Bonjour,

Je vois bien qu'il y a bien une solidarité entre les anciens du forum.

Mais je crois qu'il faudrait reconsidérer vos propos messieurs. Il n'y a pas du tout de haine, désolé.

Mais je pense avant tout qu'un modérateur qui a écrit lui même les conditions d'utilisation de la section francophone doit au minimum donner l'exemple. Alors exiger à d'autres d'être poli et respectueux et ne pas le faire lui même, ça prouve quoi à votre avis?

Ce n'est pas en prétendant connaisseur qu'on peut se permettre de faire tourner au ridicule tout ceux ou celles qui demande de l'aide.

J'ai posé une question en termes clairs et en français (si vous lisez bien le topic, j'ai rempli toutes les conditions exigés), M. Juve a répondu à ma question pourquoi en rajouter????? c'est LA question que je me pose.

Je crois que c'est un forum de discussion, et de professionnels en plus, et mon avis ouvert à tous ni privé ni payant, c'est libre donc celui qui ne veut pas répondre qu'il se taise à jamais et s'il veut répondre qu'il répond mais directement à la question.

Merci

@mistersoft:

Merci Msieur Juve,

C'est ce que j'ai fait, aurais-je raté un post?

Vous pouvez pt'et le poster.

Merci d'avance.

Je suis étonné par votre façon de prendre les choses…

Je vous confirme les dire de Juve, ce problème à étais traité plusieurs fois sur ce forum.

Ayant implémenté la version 2.0 sur le second "serveur" pfsense, je désire maintenant activer le spanning tree.
Comme mes 2 switchs et les 2 pfsense gère le RSTP (802.1w), j'ai configuré ce mode sur mes deux switchs et j'ai désigné un des deux comme root et lui mettant la priorité la plus basse (1000 en hexa).
Maintenant, en ce qui concerne la configuration du RSTP sur mes interfaces de bridge je suis un peu déconcerté car quand j'affiche les paramètres avancés de mes interfaces de bridge, les paramètres STP semblent être a la foi des paramètres généraux de configuration et à la foi des paramètres propres au bridge en question; sauf que ces paramètres généraux ne sont pas recopiés d'un bridge à l'autre.

Je m'explique:
Petit rappel:
J'ai deux pfsense en paralèle (voir shéma plus haut)
Sur chacun d'eux, j'ai 2 cartes réseau (une coté LAN (em0) une coté WAN (em1))
sur em0 j'ai créé 7 vlan que j'ai nommé LAN,LAN2,SYNC,LanA,LanB,LanC,et LanD
sur em1 j'ai créé 6 vlan que j'ai nommé WAN,WAN2,WanA,WanB,WanC, et WanD
j'ai créé 4 bridges A,B,C,D composés respectivement de l'interface Lan et Wan correspondant à chaque lettre.
SYNC sert à gérér le cluster.
J'utilise LAN uniquement pour administrer PfSense.
LAN2 est configurée en failover entre les deux pfsense via carp et une IP virtuelle.
WAN, et WAN2, sont aussi en failover sur deux FAI.
Chacun des bridges est configuré pour laisser tout passer dans les deux sens et aucune ip n'est implémenté.
Afin d'éviter les boucles j'ai configuré mes switchs pour transporter les Vlans A,B,C et D uniquement sur mon master pfsense encore en version 1.2.3.

Sur le backup en version 2.0 RC1, quand je configure mon bridge A, je clique sur [Show Advanced Options], je coche 'Enable spanning tree options for this bridge.' je selectionne [RSTP] et je choisis mes interfaces STP dans la liste c'est à dire LanA,LanB,LanC,LanD,WanA,WanB,WanC, et WanD qui correspondent aux interfaces qui composent tous mes bridges. Je ne modifie rien d'autre et valide mes modifications. Je m'attends donc à retrouver ces paramètres généraux préconfigurés sur le bridge B sauf que ce n'est pas le cas. Ce n'est pas le seul paramètre dans ce cas, beaucoup d'autres paramètres énumèrent des interfaces qui ne sont pas "concernées" par le bridge que l'on est en train de configurer.

Je pense que cette partie de la version 2.0 n'est pas encore finalisée peut-être par manque de retour d'experience???

Je ne sais pas vraiment comment configurer tout ça… Si quelqu'un a plus d'expérience dans ce domaine, son aide me serait fort utile.

j'ai trouvé ;-) c'est OK !

"Arthal"
Il existe des distributions spécialisées pour des cybers, elles sont orientées vers les mêmes besoins que toi et adaptées à la législation d'un an…

Tu peux utilisé pfsense juste comme firewall et utiliser l'autre comme passerelle, serveur dhcp...

CCNET, dit toujours on ne mélange pas un firewall comme pfsense avec des proxys... chaque chose à sa place.  ;D

bye

Dans ta configuration actuelle tu n'as pas besoin de configurer l'ordinateur, tu es en proxy transparent.
Essaye de rechercher des site porno sur Google, si Squidguard est actif les résultat seront normalement censurés (safesearch).

Sinon placez votre WAN en privé (rfc1918) et demandez à votre FAI de router votre subnet publique vers votre firewall via ce WAN privé.
Ainsi votre DMZ pourra être configurée avec des adresses publiques.
Dans la théorie c'est le schéma le plus sécurisé, le plus performant et le plus "maléable" car:

WAN invisible et omniscient ne pouvant être la destination du connexion (les plages rfc1918 ne sont pas routées sur Internet) aucun NAT pour les machines publiées donc moins de latence et de charge firewall (par exemple streaming UDP à forte charge) possibilité de NAT sans nécéssité de proxy ARP (on est deja connu comme étant le routeur de référence pour le subnet) possibilité pour une même IP de NAT + routage, étant point de routage on manipule les paquets à notre guise.

Dans la pratique certains FAI sont rétissants (bien souvent parce que les techniciens ne comprennent pas comment ils doivent configurer le routeur d'extrêmité).
Pour ma part j'ai des dizaines de setup de ce genre avec Orange,Neuf,Colt etc.

Une autre approche, j'ai retrouvé un SLM 2008 dans mon stock, il gère les VLAN, çà peut le faire ?

Bonjour,

Il n'y a personne qu'il les compétences et les aptitudes pour m'aider et m'éclaircir le chemin :( :( >:( ;)

Merci.

ILAKKAB

Solution à mon problème

La version 2.0RC1 de PfSense gère les Vouchers sure une durée en minute.

Il me suffit juste d'ajouter les codes fournis sur des tickets, un petit tableau excel fait l'affaire

Vraiment sympa cette petite version 2.0

Ok, merci pour la réponse, j'avoue que je n'ai pas encore eu le temps de tester la beta, mais je suis très curieux.

Oui, certes, mais c'est Microsoft qui débloque un problème qu'il a lui-même choisi de bloquer !!
La justification du blocage est peu claire : je ne suis pas persuadé que le "spoofing" du proxy soit la première chose à regarder …

Néanmoins, c'est bien d'avoir déjà trouver la bonne info de déblocage.
Il est très surprenant de créer un nom dns et de voir qu'il n'est pas résolu !

le problème est que pour router…il faut un routeur dans le réseau.
Hors, pfsense n'a pas d'IP dans ce réseau, donc pas de routage possible.

Ajouter une interface supplémentaire (au sens logique pfsense, qui peut etre un VLAN taggé ou un carte physique), avec le subnet privé utilisé sur les routeurs wifi, branché dans le même réseau physique que le WAN.

Surveiller les intrusions, où du moins les tentatives, vaste sujet.

JDH résume la problématique de l'exploitation d'un IDS. Ceci en supposant que la partie détection et surveillance soit bien adapté au contexte, le problème de l' exploitation et de la réaction sur les alertes reste entier.

La surveillance des ports ne vous donneras pas grand chose. L'immense majorité des intrusions réussies menant à une compromission partielle ou totale du système d'information sont le fait de failles applicatives bien exploitées. Donc du trafic sur des ports ouverts de façon licite. Je doute que l'observation des ports vous informe de la mise en œuvre d'une tentative d'exploitation d'un débordement de tampon (buffer overflow). A a partir du moment où la cible est bien qualifiée et le code d'exploitation disponible il faut moins d'une minute pour prendre le contrôle de la machine visée. Avec les bons outils. N'importe quel programme en apparence inoffensif peut vous exposer, comme un simple Acrobat Reader ou un logiciel de sauvegarde.

Un de mes clients dispose d'un monitoring sécurité 24/7 avec temps de réaction garantit de 15 mn sur alerte critique. Tout cela est situé chez un hébergeur en banlieue parisienne alors que les cellules de monitoring sécurité sont réparties sur deux autres payes en Europe. L'hébergeur est aussi propriétaire de quelques milliers de kilomètres de liaisons en fibre optique. Cela vous donne une idée de l'ampleur des moyens nécessaires.

Plus raisonnablement il y a mieux à faire en déployant avec le maximum d'efficacité les outils disponible comme le firewall et … le jus de cerveau appliqué à une bonne conception de l'architecture, à de bonnes procédures d'exploitation et de réaction sur incident.

Oui en ce moment c'est compliqué, les drivers Intel pour BSD ont une bonne buglist.

Soit tu prends du chipset Intel, ce qui marche le mieux mais qui depuis un certain temps pose pas mal de problèmes à cause du driver IGB (notamment la gestion du Large Receive Offload, à désactiver en 1.2.3 sinon débit de 80ko/s).

Soit tu prends du chipset Broadcom. Si tu n' as pas beaucoup d'interfaces ca peut le faire mais si tu en as 8 (ou plus)  avec le driver BGE/BCE tu peux te retrouver dans une situation ou il n'y a plus assez d'espace memoire pour le kernel car le driver est trop gourmand.

Il faut essayer de prendre des cartes pas trop récentes, qui sont commercialisée depuis au moins 1 à 2 ans.