oui, aucun problème avec les autres protocoles, simplement un pb avec la connexion outlook… je reprécise, que le problème n'arrive que lorsque je suis derriere le FW pfsense, si je suis directement connecté derriere la Box internet (free ou orange) ca marche très bien. est-ce que ca pourrait etre la taille des paquets ? changement de MTU ?

Et bien actif/passif c'est bon, pour ce qui est du proxy ftp qui ouvre les ports quant nécessaire pas de problème on va dire que c'est du port triggering (c'est plus simple dans ma tête). pour ce qui est des règles et NAT autogérées par pfsense, j'avoue qu'il des choses légèrement illogiques (mais je ne comprends certainement pas tout), je m'explique: J'active le ftp-helper sur LAN + NAT sur le 21 des adresses carp pubLiques OK  => les regles et NAT cachées sont bien présente et totalement fonctionnels. (Je persiste pas de filtrage possible) Je fait la même chose en DMZ histoire de mettre à jour les serveur en FTP et la boumpatatra, cela ne fonctionne pas. J'utilise le précieux pfctl -s nat et pfctl -s rules pour constater que les règles et NAT ne sont pas créés pour la DMZ….. Plein de bonne volonté mais pas téméraire et surtout pas expert la matière, je vois bien qu'il faut ajouter des règles et NAT pour la DZM (pas possible en GUI a première vue) et je reste planté devant mes pfsense  comme une poule devant un couteau  ??? Mais je ne désespère pas, je vois bien que ce n'est pas grave, néanmoins un p'tit peut d'aide (sans trop abuser) ne serait pas de refus  :'( Laurent

dans pfSense, TOUT est dans le fichier config.xml (y compri les images du portail captif, sérialisées en base64). Téléchargez-le et regardez le contenu.

Oui en créant les bonnes règles. La règle que vous avez créé doit être supprimée, ensuite autorisez les sites FTP désirés  avec une regle: TCP LAN net  1024-65535 [SERVEUR FTP OK ALIAS] 21 * Le mécanisme de redirection automatique du port 21 vers le 127.0.0.1:8021 (FTP helper) s'occupe du reste.

Non, pas de docs. pfcftl -s rules en console sur une install "neuve" vous donnera les règles  ;)

Messieurs, pour ma part, je n'ai jamais eu de problèmes avec la 1.2.2, alors que j'ai des soucis openVPN avec la 1.2.3RC3  ;D Comme quoi, chacun ses m…des... Donc, un conseil: sauf besoins particulliers, n'utilisez pas une version RC en production !! (c'est vrai pour tout !) Nicolas..

Merci, Oui j'ai utiliser le mot NAT, mais en réalité je redirige les ports (Port Forwarding) et cela marche très bien pour OpenVPN, donc je ne vais plus utiliser IPSec pour le Net to Net mais OpenVPN comme pour les Nomades.

Vous trouverez tout cela, et bien d'autres choses, dans ce livre en français : Sécurité réseau avec Snort et les IDS http://www.amazon.fr/S%C3%A9curit%C3%A9-r%C3%A9seau-avec-Snort-IDS/dp/2841773086/ref=sr_1_1?ie=UTF8&s=books&qid=1257692749&sr=1-1

IMHO en anglais :-)

J'aurais préféré lire que "oui, effectivement ces logs n'ont pas la même nature !". Ma solution perso à ce problème : contexte : un pfsense avec Squid/SquidGuard dans une PME à 9 utilisateurs, un petit serveur mail sous Debian dédié mais avec du disque (9 boites mail ça doit pas faire 4G par boites !) ma soluce : ajout de la clé ssh sur pfSense script bash lancé par cron de façon auto le script récupère par scp le fichier access.log un awk lit un timestamp stocké dans un petit fichier, lit le log pour $1 > timestamp et écrit dans un log.$date, (à la fin le awk devrait écrire le dernier timestamp+0,01). #!/bin/bash #  getlog.sh : recupere les logs squid de fw 28/09/09 var rep=/home/batch/squid log=$rep/log.getlog dst=date +"%y%m%d.log" initialisation cd $rep date +"%d/%m/%y %T debut" >>$log scp -P 222 fw.xxxxx.local:/var/squid/log/access.log . >/dev/nul 2>&1 awk -f traiterlog.awk access.log >$dst rm access.log date +"%d/%m/%y %T fin" >>$log echo "=============================================" >>$log #!/usr/bin/awk -f BEGIN {getline cpt <"compteur";       icpt=cpt;} {if ($1>=cpt) {cpt=$1; if ($1>icpt) {print } }       } END  {print cpt >"compteur"; }

Ouahou Je mettais pas relu , j ai fais ca entre deux manip. Pas bon :-[ Voila, j aimerai savoir s il est possible de supprimer automatiquement des comptes utilisateurs du  portail captif  quand la date de validité est expiré. dans mon cas 1 ans toto valide jusqu en 01/01/2010 le 02/01/2010 il est supprimer de la liste. merci et désole pour le premier post

Bonsoir, C'est parce que j'ai relu mes 'vieux cours' de réseau que j'ai finalement prix une autre voix scp/sftp et ainsi je me débarrasse de ftp qui est vraiment pas commode en passif à gérer proprement sur les firewall ;-) Merci à tous Lionel

Une fois de plus un UP !  :) Non ce n'est pas du spam mais j'aimerais garder ce post en fil conducteur d'un sujet qui m'intéresse beaucoup. Si pour le moment aucune réponse ne peut être apporter, j'attendrais la 2.0. Cdt, Sig

Bonjour, Pour un client VPN IPSEC, il y a http://www.shrew.net/software Cela fonctionne bien. Bonne journée

@ccnet: Diagnostics: System logs: Settings Le champ "Number of log entries to show" permet de changer cette valeur. Cela peut aider. Dans la version 1.2.3-RC3, cette option se trouve dans Status:System logs: Settings Je vais l'augmenter. C'est aussi sur ectte page que l'on trouve les réglages pour le serveur syslog. Ce que vous appelez le log complet, c'est probablement l'idée qu'il existe ailleurs un fichier de log sur disque. Oui c'est bien l'idée de ma question. Ce n'est pas le cas. Ces log sont écrit sur le ram disque local. Cela permet d'envisager l'utilisation d'un DOM  8) Il est nécessaire d'utiliser un serveur syslog distant pour enregistrer et archiver les logs du firewall sur une longue durée. Je suis en cours de modification… et de configurer mon serveur pour accepter les requetes syslog et le firewall pour utiliser celui-ci. Il est préférable d'enregistrer et d'archiver les logs du firewall sur une période relativement longue même si, à l'inverse du proxy, il n'y a pas à ma connaissance d'obligation. Toutefois si vous voulez vous couvrir il est utile d'avoir les logs sur plusieurs mois. En cas d'analyse forensic post intrusion il est très utile d'avoir les logs pour confirmer ou infirmer un scénario. Même chose si vous devez engager une action judiciaire. Il est sain que les logs soient protégés de toutes modifications. Tout à fait d'accord, je met en test cette structure.

Ce genre de solution peut se gérer en effet en chainant plusieurs pfsense et priorisant en amont la VOIP. Pareil pour openVPN.

^^ +1 CCNET

Même pas, au pire juste le webconfigurator, mais ces fichiers INC sont appelés à chaque affichage de page….

Merci du tuyau… J'ai aussi trouvé ce doc http://doc.pfsense.org/index.php/Remote_firewall_Administration qui donne d'autre exemples... Certaines solutions sont possibles ... a tester. La proposition reste effectivement la meilleure à mon sens. J'ai opté dans un premier temps de mettre une règle ouvrant l'accès au port 443, avec un filtrage des adresses IP. Je pourrais voir pour faire fonctionner alors openVPN la semaine prochaine, et avoir ainsi l'accès à mon pfSense pour analyser les logs, voire modifier la configuration. Bonne journée