Bonjour Talwyn
Merci pour ta réponse.
Je comprends, mais quoi qu'il en soit, il faut quand même qu'ils restent poli et courtois. Il en va de l'image du forum.
Bien entendu, si on branche un appareil non maîtrisé sur un port, il faut à minima mettre des règles pour lui empêcher d'accéder au LAN :-)
Après, entre une freebox et une machine windows 10, je ce sais pas ce qu'il y a de pire ;-D (vive linux !)

jdh,

vous devriez comprendre que CE type de firewall ne gère qu'ouverture et fermeture de ports et ne gère RIEN 'à l'intérieur d'un protocole' (ports).
Je sais ! Ma question était juste de savoir si l'un d'entre vous avait déjà essayé de voir d'où la freebox tenait ses pubs ! Si c'est un serveur de pub, c'est toujours possible d'en empêcher l'accès pour voir comment ça se comporte.
Question protocole en jeu, un lien (facile à trouver) : https://www.lekernelpanique.fr/2014/02/23/analyse-reseau-entre-freebox-player-et-freebox-server/
Merci pour le lien, c'est exactement ce que je voulais ! Ca répond parfaitement à ma question.

Croyez-vous, avec votre formidable expérience, que pfSense dispose d'un module 'Man In The Middle' dans ce flux Ipsec ?
Faudrait relire ma question… ce n'est pas ce que je demandais...

Ce formulaire est extrêmement facile à remplir, ne prend que quelques minutes à remplir, et permet, dès le départ, de fournir des informations.
Désolé, mais mon post ne concernait pas un problème, donc je n'ai pas de schéma réseau à vous fournir. C'était simplement une question de faisabilité !!

ccnet,

Si vous avez des éléments vous les exposez clairement. Compte tenu de ce que vous dites savoir et de votre sous entendu (que la pub ne vienne pas d'un serveur de chez free), je ne vois pas pourquoi vous ne savez pas résoudre le problème (dont vous ne donnez pas les éléments).
Mon post ne concernait pas un problème, c'était une question ! A savoir : si certains d'entre vous c'étaient déjà penché sur le sujet.

Mais relisez mon post ! Je n'ai pas de problème ! C'était juste une question !!!

En tout cas Jdh à répondu à ma question. Merci.
Personnellement, je ne pense pas reposter sur le forum français, vu l'accueil, que je me fais pourrir alors que je ne pose qu'une simple question que vous prenez pour un problème…

Auriez vous manquez le formulaire ?
Comme beaucoup, vous avez des questions qui partent de d'une idée préconçue que vous vous faites des solutions techniques qui seraient nécessaire à la mise en œuvre de fonctions de sécurité. Mais vous ne décrivez pas celles ci d'un point de vue fonctionnel, ce qui est le point de départ. Par ailleurs vous écrivez le français avec une désinvolture qui pénible la lecture de votre demande.
Si vos voulez une aide adaptée à vos besoins, commencez par les exprimer d'un point de vue fonctionnel. Certaines de vos demandes me laissent assez perplexe.

je voudrais bloquer les adresse mac non consigner dans une configuration au sein de pfsense

Il est tellement facile d'usurper une adresse mac ou simplement d'en changer que je ne comprend pas où vous voulez en venir.

les adresses bloqué ne peuvent pas sniffer le reseau

Bloquées ou pas, personne ne ne souhaite jamais qu'une machine puisse "sniffer" le réseau. Cela dit je ne comprend pas bien ce que vous attendez de Pfsense sur ce point.

seul pfsense peut communiquer avec le serveur dns ou dhcp si ce dernier n'est pas configurer en tant que dns/dhcp server

Je ne comprend pas votre phrase.

bloquer P2P et autre site de telechargement /utilisateur

Ce n'est pas un de fonctionnalité de firewall mais de proxy ou d'une solution de filtrage applicatif, ce que ne fais pas Pfsense.

Salut salut

Ce qui me gêne le plus c'est le changement d'adressage de xxx.yyy.0.zzz a xxx.yyy.100.zzz coté dhcp.
Cela me gêne grandement, seul celui qui à les log admin ou pourrait connaitre une faille sur pfsense qui n'est pas encore connu sur la place publique qui me fait tiquer.
Par le passé j'ai plus fait attention à ce type de soucis et changé illico tout les mot de passe de serveur dont j'avais la charge.
Même si cela pouvait être par excès de prudence cela ne fit jamais de mal, et cela permet de voir qui demande quel est le passe pour x ou y serveur et découvrir qui n'est pas sensé avoir accès au dit serveur.

Ce qui m’intéresserait est de voir si qq un se log sur le pf et modifie les param de ce dernier et depuis quel ip. la routine en somme et la précaution.

Cordialement.

Bonjour,

merci pour cette piste, je m'y attèle de ce pas.

l'accès au partage était déjà coché dans les paramètres du pare-feu, j'imagine qu'il est autorisé de manière limitée

Pourquoi un firewall clickodrome saurait ouvrir de façon limitée ? Me semble une mauvaise analyse des symptomes ou une erreur de mesure.

je reviendrais vers vous si je trouve la solution

pour repondre, pfsense est sur un dell R310 non virtualisé et les machines virtuelles sont sur 2 bullion novascale avec 1TO de Ram chacun

Salut salut

Pourriez vous vous conformer à l'usage du formulaire pour que nous poussions vous aider ou vous aiguiller ?

Sans quoi nous n'aurez aucune certaine partie des membres actifs et qui ont une certaine expertise du sujet.

Cordialement.

Il y a des formulaires qui se perdent …
Vous arrivez avec une question qui porte sur la mise en œuvre d'une solution technique. Or nous ne savons pas quel est le besoin fonctionnel précis que vous souhaitez couvrir. Vous parlez d'inredir ou de permettre l'accès à un service ... C'est vague et je ne suis pas certan que nous parlions de la même chose. Difficile de vous conseillez avec pertinence. De plus, par expérience, cette solution technique (utiliser des adresses mac)  est rarement une bonne solution d'un point de vue sécurité. Par bonne j’entends efficace, sûre.
Si vous expliquez le besoin fonctionnel, et strictement fonctionnel nous y verrions plus clair.

Je ne vais plus chercher le non faisable. J'installerai un sevrer Squid ultérieurement pour gérer les accès au web. Le serveur de fichier gère les accès au partage suivant les utilisateurs.

Cà me parait bien mieux avec les bons outils au bons endroits !
Si il a ces fonctions liées à l'authentification c'est pour des choses comme le vpn, les les packages comme Squid (peu conseillés) qui sont susceptibles d'être installé sur Pfsense.

Il aurait été souhaitable d'utiliser le formulaire de présentation indiqué à https://forum.pfsense.org/index.php?topic=79600.0 (il est impossible de dire qu'il n'est pas visible !)

Il y a un gros problème de compréhension :

un portail captif est un système qui autorise la traversée ou non d'un firewall passer par un proxy se traduit par une requête émise par le proxy pour le visiteur

Il est donc clair qu'en passant par le proxy, le portail ne joue plus aucun rôle (puisque ce n'est pas le pc qui traverse le firewall mais le proxy).

Au pire, avec un portail captif, on peut rediriger le flux http (vers Internet) vers un proxy.
Mais cela ne peut fonctionner que pour http !

Je confirme ce qu'écrit ccnet : problème Squid.
(Et j'infirme le piste foireuse de MITM : rien à voir !)

Quelques informations utiles :

Squid devrait être placé ailleurs que sur un firewall, à partir d'une certaine taille (disons 15 utilisateurs). Squid et Windows update ne font pas bon ménage : les correctifs que l'on trouve, ne fonctionnent guère ! Les sites de Windows update ne doivent pas passer par un proxy Squid ! Pour Windows update, dans une société d'une certaine taille (disons 50 micros), une bonne idée est d'installer un serveur WSUS (compter 200-250 G). Ce serveur WSUS ne doit pas passer par un proxy Squid !

Il faut savoir que Windows Update utilisent des connections qui peuvent ne pas se terminer :

un fichier est téléchargé partiellement à partir d'une source, le reste peut provenir d'une autre source ! (incroyable mais vrai)
Sauf que Squid ne fonctionne pas comme ça : un chargement doit se terminer pour Squid …
D'où les problèmes avec Squid ...

NB : Je cite le lien http://wiki.squid-cache.org/SquidFaq/WindowsUpdate : il y a des explications mais les réglages proposés ne résolvent pas le problème (pour 2.7 et 3.0)

(Je peux en parler, j'ai tenté, j'ai échoué, j'ai observé, et j'ai fini par mettre en place WSUS : c'est toujours mieux que de parler sans savoir.)

On ferme ce post incompréhensible ?

Merci !!!!

pfSense est un firewall !
Wikipedia a une page pour décrire pfSense (ou ce qu'on peut faire avec) : https://fr.wikipedia.org/wiki/Pfsense

Ce qui peut concerner pfSense :

4 sites dont 1 qui est un peu central. Chaque site dispose de sa connexion internet (via une box). Pouvoir sécuriser chaque site, limiter les protocoles, débit MAIS pas 'en fonction des profils' connexion vpn inter site

Ce qui n'a rien à voir avec pfSense :

ordinateurs portables amenées à se déplacer sur différents sites partage de répertoire sur un même site mais pas inter site donc transfert par mail quand il y a besoin d'un fichier Un utilisateur doit pouvoir se connecter sur n'importe quel poste et accéder à ses fichiers Pouvoir partager des répertoires de données en fonction des droits mais intersite profils itinérants et synchronisation des comptes, profils, data (vraiment rien à voir !) il faut pouvoir se connecter à son poste et travailler avec les données présente dans le répertoire personnel

En fait, il n'y a qu'une phrase qui peut faire un fil (et qu'il faudrait réussir avant d'aller plus loin) :

La réflexion serait donc d'équiper chaque site d'un pfsense et de mettre en place un vpn pour faire un réseau maillé.

Pour le reste, documentez vous sur la notion de 'domaine Windows' (par opposition à 'workgroup') :
p.e. http://windows.microsoft.com/fr-fr/windows7/what-is-the-difference-between-a-domain-a-workgroup-and-a-homegroup
(attention chaque ligne a un sens bien précis, ne pas hésitez à lire plusieurs fois …)

La création d'un vpn inter-site en mode maillé (avec un pfsense sur chaque site) est un préalable à ce vous voulez faire (enfin, ce qu'on peut imaginer d'après ce que vous écrivez).
Ensuite, il faudra se tourner vers des principes pour lesquels pfSense n'est absolument utile ...

NB : exemple de phrase totalement erronée et inadaptée : 'pfsync permet de synchroniser le param'. (pfsync permet de synchroniser 2 pfsense constituant un cluster, où l'un est actif et l'autre en esclave, prêt à se substituer)

Au lieu de contester ce que j'écris, vous devriez donner des liens.
J'en ai ras le bol d'avoir de la contestation de votre part : cessez de polluer ce que j'écris ! Et d'ailleurs elle n'est que DE votre part !
Vous compliquez toujours tout ! Et les débutants sont noyés : pitoyables propos … comme toujours !
Comme d'hab 'moi j'utilise pas' ou 'ce n'est pas le meilleure idée' mais faites donc ... alors qu'il suffirait que vous ne répondiez rien (puisque vous n'utilisez pas ou ce n'est pas une bonne idée !).
Vraiment un gros n..

Non, WPAD n'est pas difficile à mettre au point : 2h, quand on a envie, doivent suffire (Oui il faut un serveur web, mais c'est pas la mer à boire)
Non, configurer un navigateur n'est pas difficile, en tous cas pour l'auto-détection !

Un bon lien, facile à mettre en oeuvre et facile à trouver, http://findproxyforurl.com/deploying-wpad/ (c'est simple, il y a tout pour mettre en oeuvre WPAD)

Evidemment si Monsieur veut tout faire avec son pfsense : proxy, serveur web, dns, c'est moins simple.
Mais dans une entreprise civilisée, d'une certaine taille, on sait que dhcp/dns est géré par le DC Windows, on devrait avoir un proxy séparé, et un petit serveur web ça se trouve (surtout pour 3 fichiers texte à la racine ! Moi c'est sur un srv web à tout faire OCS, GLPI, ...).

Bonjour,

Pour comprendre le traffic shapper, j'essaie d'utiliser le wizard.

J'ai un soucis, mon interface LAN1 est considérée comme une interface WAN par le wizard Multiple Lan/Wan .

Comment puis je modifier cela ?

Merci

As-tu regardé dans les logs (status / system logs / firewall) si ces requêtes sont bloquées ?

Je vois que vous ne comprenez vraiment pas beaucoup !

1ère erreur :
Vos adresses 81.XXX.XX.6/25 sont stupides ! Si vous voulez ajouter des adresses virtuelles, elles seront /32, que l'on note sans le /32 par convention.

J'ai eu beau l'écrire plusieurs fois, posez plusieurs fois la question 'comment on fait', vous passez sur ces âneries sans comprendre …

2ième erreur :
J'écris que la règle NAT est correcte (et qu'elle génère automatiquement une règle liée dans l'onglet WAN).
J'écris les mot 'cible claire', et vous ne comprenez pas la suite logique

Il faut 1 règle NAT identique pour chaque ip virtuelle !
C'est quand même pas grand chose ...

Ce qui aurait été intelligent, c'est de créer des règles WAN pour accepter le ping sur les ip publiques. Mais ça, vous avez oublié en route.
Perso c'est ce que je commence par faire parce que cela permet de vérifier que les ip virtuelles sont bien 'présentes' et 'actives' au niveau du WAN.

En fait c'est souvent bien plus simple mais il faut juste faire ce qui est nécessaire.
Quand quelqu'un répète quelque chose, il faudrait comprendre que cela veut dire des choses ... Mais non ...

@Shadow:

Je ne fais pas du HA avec pfsense, et ils ne sont pas en cluster en effet, il y a juste une synchro partielle via carp.
…/...
Désolé si mon explication de base n'est pas claire.

L'essentiel étant probablement que ça fonctionne  ;)

Il s'agit d'un problème de vocabulaire.
CARP (qui est l'acronyme de Common Address Redundancy Protocol), vise à gérer des IP virtuelles flottantes. Ce n'est pas de la synchro  ;)
Si tu fais de la synchro de certains paramètres mais que tu n'implémentes pas de cluster, tu n’utilises pas CARP.
Comme ton message initial faisait référence à cette solution, je pensais qu'il y avait de IP flottantes mais… non.
C'est juste 2 FW sur le même LAN  :-\