Merci bcp Juve, je vais voir si le FAI veut bien me mettre en place une seconde IP au niveau du routeur, vu le prix qu'on paye ce lien fibre j'espère bien que c'est possible.
Bonne journée et merci encore. ;)

ouais des fois faut abandonner…j'y suis retourné et j'ai resolu le pb en 15 minutes...

sinon je pensais ca aussi, mais en regardant le fichier /tmp/rules_debug, la derniere ligne est

"block in log quick all label "Default deny  rule"
"block out log quick all label "Default deny  rule"

j'en conclue qu'il filtre en entré et en sortie par defaut...En entré un deny all c'est normal, mais en sortie je ne voit pas la raison, mais il doit y en avoir une, surtout que "label" je ne sais pas trop ce que ca veux dire, pour moi cela signifie "label"...heu bon ok je sors...

je pensais donc que label voulait dire "tous les interfaces"...En tout cas en commantant cette ligne (temporaire puisque a chaque sauvegarde de regles il faut le recommenté...), cela fonctionne parfaitement...

En effet, même DSLAM, même subnet donc même gateway…ca ne marchera pas. Il faut faire comme vous avez fait une des deux freebox en routeur et l'autre en modem pour avoir deux WAN avec deux gateway différentes.

Je me serais mal exprimé ? N'ai pas répondu à cette question ?

(NB : Il n'y a pas besoin de NAT)

Si je me donne la peine de décrire "un peu clairement" un schéma, des adressages, c'est qu'il faut reprendre cela en écrivant VOS valeurs, VOS propres informations.
C'est VOTRE réseau, ce n'est pas le mien. La façon de décrire que je propose est une façon qui a le mérite d'être claire, simple et compréhensible par tous …

Ok, j'avais pensé au VPN.
Je vais voir sa de plus prés.

Merci beaucoup

script javascript et pas script java !

Cela continue à me dire que snort est une fausse bonne idée : mélanger de l'analyse de paquets ip à de l'analyse dans le flux protocolaire qui devrait être réalisé par un proxy applicatif.

en effet y a un champs pour télécharger directement depuis :

ftp://eole.orion.education.fr/maj/blacklists/blacklists.tar.gz

merci je ne l'avais pas vu.

LaQuiche

jme fais un ptit up ca fait pas de mal :p :p

32 interfaces physiques.

Il suffit de comparer les features sur les deux sites.
Monowall est destiné à de l'embarqué principalement.

@lunmorg:

Bonjour,

Voici ma conf:

2 serveurs Pfsense: 1 qui me fait du load balancing et un qui va m'optimiser mes réseaux.
Mon premier pc est connecté avec deux cartes réseaux (WAN et optWAN2) puis sur le LAN
c'est mon second Pfsense qui y est connecté.

Un schéma serait bienvenu. Je ne comprend pas.

Je ne sais pas si de base l'interface WAN ( du second serveur) laisse tout passer, le LAN bloque tout.

Sans configuration lan comme wan n'autorise aucun trafic. C'est indiqué lors que vous accédez aux règles d'une interface si, justement aucune règle n'a été insérée.
Pour Wan, si vous n'avez pas de serveur interne devant être accessible depuis internet il n'est pas nécessaire d'ajouter de règle.
Dans le cas contraire il faut une règle et un transfert de port.

RE RE BONJOUR, ;D

Voila mon nouveau problème :

Tout fonctionne parfaitement avec firefox que ce soit au niveau de l'exception https  (ajouter l'exception qu'une seul fois dans le navigateur)et de WPAD (détection automatique du proxy ok dés le démarrage du navigateur).
Mais sa se corse avec IE, j'ai le même fichier wpad.dat mais je n'arrive pas a accéder a la page d'authentification et si je fais une exception sur le proxy pour le nom d'hôte pfsense (page d'auth =https://pfsense:8001) cela fonctionne mais pas pour firefox.
L'autre problème est qu'on est obliger d'ajouter l'exception de sécurité sur IE a chaque connexion (sa devient lourd et oui j'ai accès a la page d'auth si je met pas de proxy dans le navigateur).
Je pense à un problème de certificat ?
Je penserai a copier le fichier .pem et le .key en dure sur pfsense et non par l'interface graphique mais je ne retreouve pas le dossier contenant les certificats (commande find ne fonctionne pas ?)

Je doit finir le portail captif  pour demain sinon on repasse a l'ancienne configuration (Ipcop plus COPSPOT) solution nickel hormis le fait que l'on n'arrive pas a filtrer que ce soit au niveau du proxy et au niveau de parefeu.

RE RE MERCI DE VOTRE AIDE  ::)

512 Mo me semble très court pour le proxy et 1Ghz court pour le vpn.
Je ne vois pas ce matériel assurer du 24/7/365. C'est peut être un peu de la déformation ISO and Co.

Merci pour la confirmation, c'est ce que j'avais mis en place.

Merci encore.

pour que la machine qui doit sortir via OPT1 utilise le bon gateway (IP du router de mon provider).

Je ne suis pas certain de comprendre ce que vous avez fait. Pouvez vous poster un schéma avec des ip (même fausses) incluant le router de votre fournisseur d'accès ainsi que la copie d'écran de votre règle.

Je me permet de faire un petit up  ;)

Bonjour,
trop c…

la passerelle!!!  :(
donc resolu

merci
a+

Salut,

pour ta 1ère question, je ne sais pas ; par contre tu dois pouvoir utiliser un "Pont" wifi, un matériel qui va transformer un signal wifi en filaire. (grosso merdo)

Pour la seconde question  : le failover est basé sur un principe actif/passif, alors que le load balancing est un principe actif/actif. En clair, le 1er fait en sorte que ta connexion bascule du WAN 1 au WAN 2 et inversement lorsque le lien principal est down (ou qu'il est de nouveau UP) : un seul des deux lien est utilisé ;  alors que le loadbalancing (littéralement "répartition de charge") fait fonctionner les deux liens en parallèle, et selon tes réglages envoie le trafic sur le WAN1 ou le WAN2.

A noter que si ton LB est mal réglé, tu peux avoir des soucis d'accès à certains sites ou applications.

A+

Comme tu a ouvert une parenthèse sur la sécurité du Serveur Mail jdh, j'en profite pour avoir ton ou vos ;) avis sur une securité accrus sur les ouvertures extérieure, je pensais ne pas ouvrir SMTP et utiliser ceux de SFR (Ces pour des téléphones portables), pour IMAP utiliser ssl.

Il y aurai autre chose?