@mr_nets waiiiii!!!!!!!!!!!!! super!!!!!!!!!!!!!!!!!!! le cadeau de Noël!!!!! merci pour votre aide

@Gertjan Merci pour vos conseils. Enfaite c'est l'aviation civile donc ce n'est pas un wifi "public". Il est pour ceux qui viennent passer leur brevet de pilotage, des employés d'autres sites qui viennent etc. Les comptes qui ont accès au portail sont créées par des "secrétaire". On fait partie d'un ministère et mon maitre de stage m'a dit qu'il doit être en mesure de tout fournir en cas d'audit ou quelque chose comme ça. Moi j'applique ce qu'on me demande. De même, il était partit sur 0 dépense, sauf pour un potentiel certificat, il a fait une exception. On va dire que la demande est de filtrer des sites, logs et un portail captif. Ils ne veulent pas analyser 24h/24 (enfin je pense ). Pense-tu que PfblockerNG pourrai faire office de bloqueur de site, vu qu'il travail au niveau DNS, il déchiffre pas les trames HTTPS. J'ai vu pour squid qui n'est plus supporté, je trouve ça étrange, dans pfsense il y a la version 0.4.46 et sur le site la dernière version c'est la 6.5 qui date du 7 décembre ... Mais vu que j'ai pas de chance, je le vois à la fin après avoir passé 2 jours sur un doc word clean Merci et bonne soirée

@Victor-5 Je pense (mais je n'en suis pas sûr) que tu peux jouer avec l'option "State Timeouts" le passer de normal à Agressive Voir en bas de page pour la comparaison entre les 2 https://wiki.evolix.org/HowtoOpenBSD/PacketFilter Mais rien ne sera "immédiat" Ensuite si tu veux appliquer immédiatement ta règle aux flux impactés, il faudra passer par du scripting pour : injecter ta ou tes regle(s), lister les flux impactés et tuer les anciens flux identifiés Tuer tous les états correspondant à des IP source et/ou destination Tuer tous les états dont les IP sources sont dans le range 192.0.2.0/24 : # pfctl -k 192.0.2.0/24 Tuer tous les états dont les IP sources sont dans le range 192.0.2.0/24 et dont l’IP destination est 198.51.100.10 : # pfctl -k 192.0.2.0/24 -k 198.51.100.10 Tuer tous les états dont l’IP destination est 198.51.100.10, peu importe la source : # pfctl -k 0.0.0.0/0 -k 198.51.100.10

@Issa2023 Hello, tout d'abord, je te conseille de limiter le nombres de ligne en optimisant tes regles via l'usage d'alias exemple : regrouper sous un alias "web_ports" le 80 et le 443 [image: 1701428134905-97db1b4c-67af-4ab8-8f06-04ba96c4e61c-image.png] alias port pour application steam [image: 1701428060913-e47af2af-cdcc-417d-bb8f-7bb7c70bdeee-image.png] Ceci rendra tes règles plus lisible et facile si tu souhaites ensuite les désactiver Ensuite, si tu souhaites ne pas ouvrir tous les ports vers internet, il faut identifier les règles nécessaire à tes applications https://support.activision.com/articles/ports-used-for-call-of-duty-games idem créer d'abord un alias ou 2 si tu souhaites distinguer les ports par protocoles dans tes regles ce qui te donnera ensuite quelquechose comme cela (c'est un exemple) [image: 1701428398569-9956674a-c8bc-4a7f-82d2-85adb3190e17-image.png] Ensuite si ça ne marche toujours pas regarde dans tes logs du firewall ce qui est bloqué [image: 1701428576599-9a1d0cc9-b4da-4770-9af2-7923b5157d10-image.png] Cherche TCPView de sysinternal , il peut t'aider à identifier les ports utilisés par une app en particulier sur ton pc

@oberte On trouve vite que splice est une nouvelle action de bump : cela reste du transparent (et c'est mal). J'ai X fois dit ce qu'il y avait à dire sur le proxy transparent ou l'interception SSL. Je n'utilise plus que pfSense que pour mon usage perso. Mais professionnellement le problème demeure. HSTS est une méthode simple pour que le navigateur vérifie le non-remplacement du certificat : les sites vont aller vers HSTS, donc le principe du proxy transparent va disparaitre. Un proxy explicite est ce qu'il faut faire, point.

alors, juste une petite remonté d'info, j'ai reçu la bestiole, bon, c'est austère, pas un papier, rien...et le pfsense n'était pas pré-installé (peut être que j'avais pas bien compris) bon, j'ai donc installé un pfsense, j'ai pas formaté en zfs, j'avais lu un commentaire comme quoi les perf au boot étaient meilleur en ufs, alors je suis resté là dessus, aucune idée si c'est pertinent ou pas. après , j'ai juste fait mes manip d'importation de conf, et ça marche nickel mon premier ressenti : les perf sur ntop sont légèrement supérieur à mon i3 optiplex (genre entre 7 et 10% je dirais) ça chauffe pas trop, le silence est appréciable, et c'est super réactif, mieux que mon dell, c'est peut etre lié au ssd pour l'instant j'ai juste transféré le flux du portail captif dessus pour voir la stabilité sur plusieurs jours, je vais faire des test de crash intempestifs (coupure de courant , même si il est sur onduleur, je veux tester toutes les possibilités) puis à la fin je basculerai tout, en tout cas je suis assez content pour l'instant

J'ai qu'une seule arrivée internet et 2 lan. Il y a des serveurs sur les 2. Sur le premier pas besoin de dmz ou autre. sur le second il y a effectivement une dmz et les serveurs n'accèdent pas directement à internet. C'est proxyfié avec du squid.

Le 'problème' d'accéder en local avec la même url que sur internet, est très classique et souvent évoqué ici : split-dns ... (ce n'est pas un problème pfSense) Le problème de reverse proxy est lié à un défaut de maitrise de HA-Proxy (il existe d'autre reverse proxy probablement plus simple comme Nginx et qui supporte très bien le protocole ACME pour certificat Let's Encrypt). (ce n'est pas un problème pfSense)

Je recommande d'utiliser le formulaire de présentation de problème A LIRE EN PREMIER. C'est l'occasion de réfléchir à son problème, et c'est important ... En particulier les règles existantes devraient être décrites ... Là, il y a visiblement une sérieuse incohérence ... que je laisse chercher ... 'je souhaite ouvrir' : quelle difficulté ? Créer une règle est une chose basique pour un firewall ...

Bonjour, Je m’excuse pour ma réponse tardive, j’ai eu beaucoup d’imprévu. 1000 merci à vous deux. @jdh Je comprends un peu mieux avec ton explication, car pas toujours facile de trouver explication, je ne suis pas anglophone je ne comprends pas toujours très bien sur les documents de pfsense, donc j’ai du mal à trouver les bonnes infos et je regarde avec tutos que je trouve sur le net, ce qui n’ai peut-être pas toujours le mieux. @couteauabeurre Superbe ton explication, je n’aurai jamais trouvé ce que tu as expliqué, cela fonctionne parfaitement et en plus tu as résolue un autre problème, car je voulais passer avec cloudflare. J’aimerais bien trouver livre pfsense en français apparemment il n’est toujours pas sorti. Le problème est résolu, j’ai juste le LAN2 qui n’est pas accessible via LAN1 lorsque le VNP est activer, ce qui fonctionne sens le VPN. Je vais regarder comment régler cela. Encore un très grand merci à vous pour votre aide

J'ai passé trop de temps à chercher à résoudre cette problématique insoluble. J'ai donc exporté toute la configuration et suis reparti d'une VM avec Pf 2.7 vierge. Aucune excentricité de sa part, tout fonctionne.

@jdh @couteauabeurre C’est bon ca marche . J’ai ajouter les P2 sur les sites A et B comme vous le l’avez conseillé sans avoir besoin de toucher aux paramètres des tunnels sur le site C vpc . Merci beaucoup pour votre temps et vos conseilles .

Bonjour Désolé de vous répondre tardivement mais le client était en congé et je ne pouvais pas faire de test. J'ai regardé ce qui ne se charge pas. En fait ca bloque car c'est des scripts JS qui mettent bcp de temps à se charger et ensuite la page s'affiche Cdt

@algama07 (Curieuse config et gros moyen pour config perso ...) Perso, je suis dubitatif pour un bridge avec des interfaces de vitesse différente ... D'ailleurs, je suis toujours dubitatif avec des bridges dans un pfSense ... Donc je laisserai le rôle de 'bridge' à un switch ... Le message pourrait être lié à un problème de table ARP qui est compliqué dans le cas d'un bridge ... Je ne vois pas bien l'utilité de 2 adresses DHCP et statique ... ni l'utilité de port 10G sur un firewall