Bonjour Christophe,

là ça commence à être un peu technique pour moi, différence entre LAN et 127.0.0.1 (bien sûr je comprends les termes :-) mais pas l'explication. Très honnêtement c'est d'un niveau trop haut pour moi.

Ce j'en déduis c'est qu'effectivement mon besoin initial de rerouter certaines URL de destination, n'est pas faisable avec les moyens que j'ai mis en place et je ne vais pas me lancer dans une surcouche proxy sur mon réseau pour ça, donc pour le moment, j'ai tranché : la méthode de baalserv est retenue.

Merci à tous.

D'accord merci

De plus vous avez l'air de vous mélanger copieusement dans les paramètres liés aux suites cryptographiques. Vous essayez de faire négocier une session SSL v3 avec un serveur qui supporte TLS 1.2 et probablement pas (à raison) SSL v3.

@jdh:

Les nouveaux DOIVENT impérativement lire le fil A LIRE EN PREMIER et présenter leur situation sous ce formulaire.
(Les autres auront 'Mr 20 minutes à toute heure' …)

Et donc ?  ….???

@jdh:

Donc , en français, après un post de présentation selon le formulaire, avec les règlages (Fw, Pc) et les règles (LAN), sinon c'est sans moi et beaucoup d'autres …

:-X

Bonjour

Si bien sur, c'est plus par 'fainéantise' en maquettage.

Par contre, il existe un script SQL pour créer la base et les bonnes tables pour freeRadius 3.xx ?

Je ne trouve pas beaucoup de doc sur le sujet et mes infos commencent à dater un peu !

Thanks beaucoup

Salut all  :)

<mode troll="" on="">Ceci dis, Upnp est une grosse faille à lui tout seul mais peut s'avérer utile dans certain cas  ;)

J'ai at home un petit nas qui diffuse (sur mon wan) en upnp du contenu multimédia à destination de ma freebox. 8)
Les freebox ne savent pas lire un partage smb  :-
<mode troll="" off="">(Le lan freebox est le réseau wan de mon pf donc pour moi c'est du Wan …)  :o</mode></mode>

Tu peux aussi, si tu ne veux pas lire la documentation, te contenter de l'installer et tu verras le message de warning sur l'interface d'administration

Les expressions régulières, c'est

de la doc : les liens ont été fournis, et des essais … : on tape une expression, on regarde le résultat, et on réfléchit pourquoi cela ne correspond pas à ce qu'on espérait

Par exemple, le . est clairement indiqué dans les docs, ainsi que la nécessité d''escaper' le . puisque c'est un caractère générique comme * et ?

Le forum N'est PAS le lieu d'essai ...

Le service sshd, nécessaire à tout serveur Linux, xBSD, offre un accès sftp.
Donc si on créé un service sftp, par exemple avec Proftpd, naturellement on choisira un autre port …

Tu a mal regarder les options de configuration du portail …
Il y à une zone ou renseigner les ip qui doivent être joignable avant l'auth du client ; cette options sert justement pour y définir le serveur radius utilisé pour l'auth  ::)

Bonjour,
Tout est réglé, pour le balancement j'ai changer la plage d'@ IP de LAN, et j'ai réactivé qu'un seul rôle dans le firewall qui sert juste au backup WAN (c'est exactement ce que je veux).
Et pour la passerelle qui est toujours offline, j'ai changer Data Payload > 0 dans la configuration de la passerelle et ça a fonctionné.
Juste maintenant espérant que tout marcherais avec Proxy squid, je n'ai pas encore testé.

Prenons la 10.2.64.12. Je voudrai que cette machine puisse accéder a la vip 10.2.64.6

Toutes ces adresses sont dans le même réseau (10.2.64.0/27. Je ne vois vraiment pas d'où vous vient l'idée de faire un nat outbound ? Si vos vip sont réellement actives , pfsense n'a pas grand chose à faire dans cette histoire. Le flux réseau ne traverse pas Pfsense. Je ne suis pas certain de tout comprendre non plus avec votre schéma réseau.

Donc vpn sur les livebox et non Pfsense ?
Toujours rien sur les configurations pfsense, ni la topologie réseau précise …

J'espere bien qu'il va réagir aux tentatives coté WAN , il manquerait plus que ca.

Votre réaction est techniquement discutable au moins sur deux points.

1. Effectivement la détection sur l'interface wan n'est pas vraiment une bonne idée en terme d'efficacité. Quel intérêt de "faire sonner" l'ids sur un flux bloqué par le firewall ? Il y a un intérêt beaucoup plus important de surveiller le segment de réseau sensible pour y détecter des flux potentiellement malveillants qui auraient réussis à y pénétrer. Cela me semble beaucoup plus pertinent et plus efficace.

2. La placement de l'ids sur le firewall est lui aussi tout à fait discutable.
2.1 Les addons à Pfsense ne sont développés par l'équipe Pfsense, même si ils sont validés, mais par des tiers. Pour moi c'est un risque supplémentaire non négligeable. Malgrés le soin apporté par les développeurs de Pfsense celui-ci a connu des vulnérabilités significatives sur certaines versions pas si anciennes susceptibles de conduire à l'exploitation d'un reverse shell root. Donc les packages …
2.2 En matière de sécurité aujourd'hui le concept de défense en profondeur implique une règle de base : l’indépendance des moyens de protection. Le bon fonctionnement de l'un devant ne pas dépendre d'un autre. Dans votre configuration ce principe n'est pas respecté.
2.3 Une sonde réseau doit être invisible ou du moins la plus discrète possible, ce qui implique qu'elle ne possède pas d'adresse ip sur le réseau qu'elle surveille. Dans votre configuration ce n'est pas le cas.

3. Enfin avant de mettre en œuvre ce type de produit il pourrait être intéressant de se pencher sur la façon dont vos zones réseaux sont protégées et isolées les unes des autres. Si votre besoin de sécurité justifie un ids, il est probable qu'il justifie un cloisonnement des zones rigoureux avec des firewalls multiples et où l’acheminement des flux par simple routage ne soit pas possible.

Ces quelques réflexions pour "perdre votre temps" utilement.

Finalement j'ai trouvé de moi-même.
Le pf est incapable de gérer correctement les paquets de réponse, il va falloir ajouter @emp dans toute les entrées de la base emp et dire au radius de ne plus supprimer l''@emp' de la réponse, car le pf attends une réponse pour 'user@emp' et en reçoit une pour 'user'.
Etonnant sachant que M0n0 et l'outil de diagnostic gèrent très bien cette fonction.

Bonjour,
Effectivement, je comprends.
Et ma situation actuelle pose problème (avec le TMG en tant que Nat). Des trames sont perdues. Je rencontre des dysfonctionnements.

Cependant, j'imaginais cela comme un regroupement de réseaux logiques.
Un site sur lequel plusieurs réseaux sont connectés par l'intermédiaire d'un routeur (qui serait en fait le Pfsense). et 2 de ces réseaux (celui Wan Adista et celui Wan orange vu du MPLS) auraient une passerelle vers internet.
(C'est je pense un système approchant un truc que j'ai croisé chez un gros client précédemment)

Du coup, il suffirait que les routeurs Cisco Adista (et également mon modem routeur Orange et là ça sent la limitation matérielle) sachent que pour accéder aux réseaux 172.17.0.0/20 et 192.168.1.0/24 (interne et prépa) il doivent passer par mes pâtes Wan de mon Pfsense.
Quand à mes réseaux internes et prépa, eux passent pas les pâtes du PFsense pour sortir quelque soients les destinations.

Ça ça devrait fonctionner non?

Merci.

Sauf si j'ai mal compris ton problème, pour moi le fonctionnement que tu décris est normal:
les "routing policies" s'appliquent  ;) et l'ordre des règle de FW également.

et la solution consiste, toujours si je comprends bien, simplement à écrire une règle, au sommet de la pile, qui dit:
"tout ce qui va vers 192.168.200.0/24 (sur les ports de ton choix) utilise le routage par défaut"
et dans ce cas, tes modems étant directement sur le subnet de ton interface WAN, il n'y a pas de raison que tu n'arrives pas à les joindre, si je comprends bien  8)

1. This is not a place for advertising.
2. Maybe you can consider a clean setup of your server at infosecaddicts.com. Http links in an https session is not really a good practice.

Bonjour,

Merci pour ta réponse.

Je vais donc mettre une patte du pfsense sur le sonicwall et une autre sur mon switch relié au LAN.
Je reviendrais ici si j'ai d'autres questions :)

Merci
Yoan

Merci pour ces infos.
A intégrer dans la réflexion lors du prochain renouvellement de mes serveurs…
Pascal.