Bon le fin mot de l'hsitoire était …. bin les numéros de port.

J'avais mis 1892 pour le client freeradius et 1812 dans la configuration du serveur radius au niveau de portail captif.

hi

je ne disais pas que pfsense c'était le ' machin à tout faire ' mais la machine elle mème à tout faire !!

avec VirtualPC 2007 ca semble très stable … pas constaté de problème particulier ...

finalement j'adopterais la solution 2 * fpsense dans la meme machine !!

j'ai par contre des problèmes de redirections de ports qui me semblent bizarres mais comme c'est automatique …

et je n'ai pas encore eu le temps d'approfondir la chose c'est à dire supprimer les régles auto et tout passer en manuel

** par contre j'ai essayé cet après midi m0n0wall , c 'est très léger et sans doute suffisant pour ce que veux faire , on verra bien **

PIerre

finalement j'ai trouvé une solution très intéressante :

1 machine avec 2 * fpsense dedans mais aussi m0n0wall ca marche ( très leger à installer seulement 2 * 64 mo en lieu et place de 2 * 130 mo )

le tout dans WINXp + Virtual PC 2007 ( VmWare c'est pas plus intéressant )  + les deux clients

donc Wanadoo1 –> WAN1 ( de1 ) --> fpsense1 --> LAN (de0)

et .. Wanadoo2 --> WAN2 ( de2 ) --> fpsense2 --> LAN ( le mème de0 )

cela aller fort bien

avec fpsense ca doit être surement  amusant de rediriger en cas de panne vers l'autre LiveBox etc ...

Pierre

Il faut autoriser un CONNECT sur le 8090. c'est une ACL a créer.
;-)

Salut

merci pour la réponse, mais Sullrich m'a répondu dans la section webGui en anglais que cette fonction avait été délibérement enlevée car elle ne fonctionne pas avec PPPoE… ce qui rend le load balancing casiment inutilisable (à moins de revoir tout sa config)... Very bad news... ;o(

Guillaume

ok… désolé, mais c'était pas trop clair... ;o)

Salut

Première chose : aller sur le site de ce jeu et chercher les infos précises concernant les ports et protocoles requis (pour jouer et pour héberger).

Ensuite : en dhcp sur un modem cable, tu peux avoir un problème de double NAT et besoin de forwarder les ports sur le modem et pfSense…

Pense à activer les logs sur tes rules pendant la phase de mise au point. En général, ça aide pour savoir ce qui ne va pas...

Good luck
Guillaume

Salut Jérôme

des petits malins qui changent leur IP pour passer outre les rêgles de groupe en vigueur sans doute ?

Il y a une soluce qui me vient à l'esprit : sachant que les rêgles du firewall sont traitées dans l'ordre il suffirait de créer un alias pour les IPs interdites (hors ip statiques déjà in use et pool dhcp valide). Ensuite ajouter une rêgle interdisant "tout" à cet alias.

Ainsi celui qui a changé son IP se trouve "black-listé" directement par le firewall.

Hope this helps… (si ça répond à ton problème...)
Guillaume

@Rockyboa:

dans la section ou il configure son NAT,  a la page 9,  je ne suis pas certain pourquoi il ajoute des regles NOT sur ca ligne 3 et 4, n'aurait-il pas pus tout simplement mettre dans ca ligne 1 et 2 des * sur la destination.

Je pose cette question car j'ai un trouble qui semble un peu lié a ceci.  Je roule 1.2-RC1 et lorsque mon LAN essaie d'accéder a ma DMZ par l'adresse du WAN je n'ai pas de réponse.  parcontre de l'extérieur (dans le WAN) ca fonctionne bien…

Ce que tu as lu c'est lorsque tu as deux WAN… Tu dois créer des NAT spécifiques lorsque tu veux accéder directement à ton FAI. Disons que tu veux te connecter au serveur POP de ton FAI sur WAN1, le routeur dois absoluement créer un NAT très spécifique, il de dois pas choisir la connexion la moins utilisé du moment.

Pour ce qui est de ton problème, tu ne sera pas capable de régler cela avec de la NAT, tu tente de faire un double NAT et le routeur ne te laissera pas faire. Si tu veux absoluement être capable de faire cela, tu dois modifier la réponse DNS de ton host pour l'adresse IP dans la DMZ de ton serveur. Si tu tente d'accéder directement par l'adresse IP WAN et non pas hostname, bien là peut-être que de jouer avec du routage fera le travail, mais je n'ai jamais essayé.

Il y a une option qui t'empêche de te tirer dans le pied … Ça t'empêche de te barrer l'accès au routeur à partir LAN. Si tu la déactive tu pourra faire ta manoeuvre...

System -> Advance -> Disable webGUI anti-lockout rule

@guillotine:

La partie "Services: DNS forwarder" sert uniquement de serveur DNS "en local" si je comprend bien ? Il n'y a pas de serveur DNS qui servirais pour "l'extérieur" sur pfsense ? Je met bind9 sur une de mes machines pour enregistrer mon propre domaine (déjà enregistré sur un serveur dns extérieur) mais surtout pour utiliser ses sous domaines vers l'extérieur (yyy.xxx.hd.free.fr), je dois obligatoirement mettre ma machine avec bind9 dans la DMZ ou il y a un autre moyen ?

Le DNS Forwarder sert à répondre aux demande DNS de tes ordinateurs de ton réseau local. En résumé il prends la demande de résolution de nom de ton réseau local, si il ne connais pas déjà la réponse, il consulte le serveur DNS de ton fournisseur d'accès Internet.

Dans pfSense il y a un "Package" qui intègre TinyDNS, un serveur DNS qui te permettrais de gérer un nom de domaine de façon Autoritaire, donc le serveur DNS principal pour le nom de domaine tel que défini dans le whois dudit domaine.

Si tu choisi d'installer BIND9 derrière PF, tu n'a pas besoin de le mettre dans la DMZ, tu n'a qu'à faire un NAT sur ton pfSense du port 53 en TCP et en UDP vers ton serveir BIND9.

Bonjour,

Non il est actuellement impossible de faire cela.
Pour réaliser cette demande vous devez faire une réservation DHCP sur votre serveur DHCP avec la MAC de votre portable.

Et ensuite créer des flux permissifs en fonction de l'adresse IP réservée dans votre DHCP.

Cordialement,

Une règle de no nat vers MOI EXT dans le tab redirect, suivit d'une regle redirect pour toutes les autres destinations….

Appelles ton operateur et fais lui ajouter un hop. Tu passes ton WAN en privé et tu demande a ton operateur de router ton subnet publique vers l'ip privée de ta pfsense. Du coup ta pfsense devient le dernier saut avant la plage publique. J'ai des dizaines de configurations similaires qui tournent sans problème. La modif de configuration est gratuite chez ces opérateurs (du moins ceux avec lesquels je travail): Oléane(Orange), neuf,Colt et MCI.

sans oublier le NAT…

Désolé pour le double post, mais je me permets de vous relancer sur ma dernière demande
concerant le lancement d'un exécutable.
Merci

Je n'y suis pas arrivé mais j'ai pas bcp insisté. Faudrait que je m'y remette pour tester.

Il sagissait tout simplement de cocher dans System - Advanced

Bypass firewall rules for traffic on the same interface

Martin