dans pfSense, TOUT est dans le fichier config.xml (y compri les images du portail captif, sérialisées en base64).
Téléchargez-le et regardez le contenu.

Oui en créant les bonnes règles.
La règle que vous avez créé doit être supprimée, ensuite autorisez les sites FTP désirés  avec une regle:
TCP LAN net  1024-65535 [SERVEUR FTP OK ALIAS] 21 *

Le mécanisme de redirection automatique du port 21 vers le 127.0.0.1:8021 (FTP helper) s'occupe du reste.

Non, pas de docs.

pfcftl -s rules en console sur une install "neuve" vous donnera les règles  ;)

Messieurs,

pour ma part, je n'ai jamais eu de problèmes avec la 1.2.2, alors que j'ai des soucis openVPN avec la 1.2.3RC3  ;D

Comme quoi, chacun ses m…des...
Donc, un conseil:
sauf besoins particulliers, n'utilisez pas une version RC en production !! (c'est vrai pour tout !)

Nicolas..

Merci,

Oui j'ai utiliser le mot NAT, mais en réalité je redirige les ports (Port Forwarding) et cela marche très bien pour OpenVPN, donc je ne vais plus utiliser IPSec pour le Net to Net mais OpenVPN comme pour les Nomades.

Vous trouverez tout cela, et bien d'autres choses, dans ce livre en français :
Sécurité réseau avec Snort et les IDS

http://www.amazon.fr/S%C3%A9curit%C3%A9-r%C3%A9seau-avec-Snort-IDS/dp/2841773086/ref=sr_1_1?ie=UTF8&s=books&qid=1257692749&sr=1-1

IMHO en anglais :-)

J'aurais préféré lire que "oui, effectivement ces logs n'ont pas la même nature !".

Ma solution perso à ce problème :

contexte : un pfsense avec Squid/SquidGuard dans une PME à 9 utilisateurs, un petit serveur mail sous Debian dédié mais avec du disque (9 boites mail ça doit pas faire 4G par boites !) ma soluce : ajout de la clé ssh sur pfSense script bash lancé par cron de façon auto le script récupère par scp le fichier access.log un awk lit un timestamp stocké dans un petit fichier, lit le log pour $1 > timestamp et écrit dans un log.$date, (à la fin le awk devrait écrire le dernier timestamp+0,01).

#!/bin/bash
#  getlog.sh : recupere les logs squid de fw

28/09/09 var

rep=/home/batch/squid
log=$rep/log.getlog
dst=date +"%y%m%d.log"

initialisation

cd $rep
date +"%d/%m/%y %T debut" >>$log

scp -P 222 fw.xxxxx.local:/var/squid/log/access.log . >/dev/nul 2>&1
awk -f traiterlog.awk access.log >$dst
rm access.log

date +"%d/%m/%y %T fin" >>$log
echo "=============================================" >>$log

#!/usr/bin/awk -f
BEGIN {getline cpt <"compteur";
      icpt=cpt;}

{if ($1>=cpt) {cpt=$1; if ($1>icpt) {print } }
      }

END  {print cpt >"compteur"; }

Ouahou
Je mettais pas relu , j ai fais ca entre deux manip.
Pas bon :-[

Voila, j aimerai savoir s il est possible de supprimer automatiquement des comptes utilisateurs du  portail captif  quand la date de validité est expiré.
dans mon cas 1 ans

toto valide jusqu en 01/01/2010 le 02/01/2010 il est supprimer de la liste.

merci et désole pour le premier post

Bonsoir,

C'est parce que j'ai relu mes 'vieux cours' de réseau que j'ai finalement prix une autre voix scp/sftp et ainsi je me débarrasse de ftp qui est vraiment pas commode en passif à gérer proprement sur les firewall ;-)
Merci à tous

Lionel

Une fois de plus un UP !  :)

Non ce n'est pas du spam mais j'aimerais garder ce post en fil conducteur d'un sujet qui m'intéresse beaucoup. Si pour le moment aucune réponse ne peut être apporter, j'attendrais la 2.0.

Cdt,
Sig

Bonjour,

Pour un client VPN IPSEC, il y a http://www.shrew.net/software
Cela fonctionne bien.

Bonne journée

@ccnet:

Diagnostics: System logs: Settings Le champ "Number of log entries to show" permet de changer cette valeur. Cela peut aider.

Dans la version 1.2.3-RC3, cette option se trouve dans Status:System logs: Settings
Je vais l'augmenter.
C'est aussi sur ectte page que l'on trouve les réglages pour le serveur syslog.

Ce que vous appelez le log complet, c'est probablement l'idée qu'il existe ailleurs un fichier de log sur disque.

Oui c'est bien l'idée de ma question.

Ce n'est pas le cas. Ces log sont écrit sur le ram disque local.

Cela permet d'envisager l'utilisation d'un DOM  8)

Il est nécessaire d'utiliser un serveur syslog distant pour enregistrer et archiver les logs du firewall sur une longue durée.

Je suis en cours de modification… et de configurer mon serveur pour accepter les requetes syslog et le firewall pour utiliser celui-ci.

Il est préférable d'enregistrer et d'archiver les logs du firewall sur une période relativement longue même si, à l'inverse du proxy, il n'y a pas à ma connaissance d'obligation. Toutefois si vous voulez vous couvrir il est utile d'avoir les logs sur plusieurs mois. En cas d'analyse forensic post intrusion il est très utile d'avoir les logs pour confirmer ou infirmer un scénario. Même chose si vous devez engager une action judiciaire.
Il est sain que les logs soient protégés de toutes modifications.

Tout à fait d'accord, je met en test cette structure.

Ce genre de solution peut se gérer en effet en chainant plusieurs pfsense et priorisant en amont la VOIP.

Pareil pour openVPN.

^^
+1 CCNET

Même pas, au pire juste le webconfigurator, mais ces fichiers INC sont appelés à chaque affichage de page….

Merci du tuyau…
J'ai aussi trouvé ce doc http://doc.pfsense.org/index.php/Remote_firewall_Administration
qui donne d'autre exemples...
Certaines solutions sont possibles ... a tester.
La proposition reste effectivement la meilleure à mon sens.

J'ai opté dans un premier temps de mettre une règle ouvrant l'accès au port 443, avec un filtrage des adresses IP.
Je pourrais voir pour faire fonctionner alors openVPN la semaine prochaine, et avoir ainsi l'accès à mon pfSense pour analyser les logs, voire modifier la configuration.

Bonne journée

Bonjour,

J'ai vu dans l'interface Status:Services nous avons la liste des services qui sont actifs, et dont NTPD
La nous avons la gestion des services.

Après vérification de ma configuration, c'était une fois de plus la passerelle sur l'interface DMZ qui était mauvaise.
Je comprend mieux le pourquoi, effectivement.
J'ai d'ailleurs ajouté le protocole ICMP, qui aurait du être inclus dans ma première règle, ….;
C'est résolu.