Oui je suis d'accord mais dans une petite structure avec pas forcement de gros moyens c'est bien pratique, notamment pour un hotspot wifi.

Bien vu  ;) je pensais effectivement à utiliser un proxy pour réécrire l'url .
en particulier un addon pfs … je connais votre point de vue à propos du proxy sur un FW,je sais c'est moche .

Merci votre réponse

zs

@jdh:

Côté pfSense (traversée pfSense) :
Je ne vois pas sur quelle base (autre que le nom identique) cela pourrait être fait.
Par ailleurs l'ouverture de https est assez dangereux (au cas où vous l'ignoriez : regarder du côté de CONNECT).

Côté client (site web) :
aucun rapport avec pfSense !
Il suffit d'avoir entendu parler de mod_rewrite pour savoir faire !

AMHA il faut tout faire pour ne pas mettre sur un firewall ce qui pourrait être bien mieux placé et efficace sur une machine dédiée :
C'est particulièrement le cas pour un proxy (Squid) ! Alors un bricolage qui change de protocole !

thank you!!!

Hello,

Un petit up sur ce sujet.

Personne ne sait ce que lance ce bouton ?

Merci

Bonjour,

Est ce qu'il y a des personnes qui serait motiver pour attaquer la traduction de pfsense en Français ?
Ça fait un certain temps que ça me trot dans la tête, même si je sais pas trop comment il faudrait s'y prendre …

Merci

Totorux

Sorry for the short answer.
Most of the time upgrading to the latest build of the package will fix glitches.

Je regarderais les logs … Squid, Squidguard ...Ils disent surement quelque chose.

J'utilise très fréquemment la configuration que vous décrivez. Je permet jamais les ip privées sur WAN dès lors qu'il s'y trouve des ip publiques. Vous me permettrez de douter du rapport de cause à effet au delà des apparences.

Il doit y avoir d'autres possibilités grâce au certificat de révocation mais je n'ai pas encore eu le temps de me pencher dessus.

Oui les CRL. Certficate revocation list, préférable à la seule suppression de compte.

Difficile de comprendre l'intérêt de ce schéma.

Plusieurs interrogations :

routeur 11 et routeur 10 : ce devrait être les 2 véritables routeurs du FAI, il ne devraient pas avoir 3 interfaces (mais 2); quel rôle pour les routeurs 01 et 00 : je ne vois aucun intérêt à avoir 2 routeurs à cet endroits; VMware n'est pas du tout la bonne plateforme pour virtualiser tout cela : un firewall ne devraient jamais être virtualisé; avez vous évalué CARP ?

Lorsque vous effectuez votre scan avec nmap où êtes vous placé du point de vue de la topologie réseau ? D'après l'adressage mentionné il y a (au moins) deux translations avant d'arriver à destination si l'on se trouve sur Internet.

Fondamentalement le port ouvert avec un process en écoute se trouve sur la machine cible (après translation), les résultats dépendent de la façon dont votre scan de ports est fait, le type de scan utilisé n'est pas indifférent.

Vous pouvez mettre des adresses complètes, ce sont des ip privées. Au surplus, ne masquer que le dernier octet ne ferait que 253 tests à faire …

@baalserv:

Bonjour,

J'ai peut être mal compris quelque chose, merci de me corrigé si ce que j'avance n'est pas exact.

C'est ce que je fais. Vous aviez effectivement mal compris l'ordre d'application des règles.

Quand j'ai noté dans mon post précédant ''sur/vers l'interface'', j'avais en tête un cas précis.
Celui de l'utilisation de l'outil PING du Webgui de pfsense, on renseigne l'ip/url de destination mais aussi l'interface depuis laquelle on ''lance'' le ping. (menu déroulant)

C'est inexact aussi. Si, depuis l'option ping du webgui de Pfsense, on choisi l'interface Wan pour pinguer www.google.fr (qui est un nom et pas une url, on ne ping pas une url) on obtiendra une réponse. Que les règles sur Wan autorisent ou non icmp. On voit bien que les règles s'appliquent uniquement au trafic entrant sur l'interface. Le trafic sortant n'est jamais filtré par les règles de l'interface.

Je recommande une lecture attentive de la documentation et quelques travaux pratiques pour vous mettre les idées au clair.

Dans une entreprise, j'ai 2 R210 comme firewall pfSense (en 2.0RC3) équipés chacun d'une carte INTEL quad ports ET.
Elles sont reconnus nativement (par 2.0RC mais pas par 1.2.3).

NB : Interfaces : carte Intel : igb0 à igb3, ports broadcom internes : bce0 à bce1.
NB : Je n'ai pas pris la carte raid (et c'est sans doute un erreur).

Oui.

Je pense que si "nihil" regardait dans la doc (un peu à fond) la vision "réseau" de la virtualisation, il comprendrait une erreur pour laquelle un portable n'est pas adapté pour tester un firewall en virtualisation.

Une démarche simple (et pro) serait de tester même sur un vieux micro (desktop) avec 2 cartes réseaux.

Nouveau fil mais même sujet finalement.

Même conclusion : les firewall n'ont pas la puissance nécessaire : Soekris à 500 Mhz (+256Mo) notoirement insuffisamment !

Concernant la différence pratique actif/actif versus actif/passif, je suis ignorant.
Mais il est un proverbe qui a du sens "le mieux est l'ennemi du bien".

Je comprends ce que vous me dites.

PfSense est employé en tant que portail captif, proxy et filtrage de proxy.

Dans nôtre organisation, nous devons avoir une gestion de la création des comptes, une traçabilité des personnes entrantes vis à vis de la législation Française, pour se "couvrir".
Nous déléguons l'administration car nous avons un parc de 900 utilisateurs, avec une gestion du Wan et du Lan.
Administrer nous même le portail captif alourdi ré la tâche de l'IT au quotidien ce qui n'est pas le but. Nous aimerions juste au niveau des logs vérifier qu'il n'y a pas d'abus sur les créations de compte. L'administrateur délégué signera une charte spécifique mais rien ne garanti sont respect de l'utilisation sans abus.

Je vous sollicite sur le fait qu'un administrateur délégué a la possibilité de créer un compte admin sachant que ces droits sont inférieurs, il n'y a pas de fonctionnalité vérifiant le niveau d'accréditation afin de ne pas permettre à l'admin délégué de créer un compte supérieur au sien (affectation du groupe).

Vous ne pensez pas que l'équipe de développement devrait s'y penché pour améliorer la gestion de la base locale ? Même si c'est une solution proposé pour un faible nombre d'utilisateur le produit ne sécurise pas lui même la base. La création d'un annuaire d'utilisateur avec l'utilisation d'un radius n'est pas ce que nous cherchons.

Au niveau organisationnel, il ne s'agit d'une PME il y a une véritable gestion pour les employés, celà reste des clients nous cherchons à avoir une solution évitant une erreur humaine, si l'admin délégué attribut à un utilisateur un compte admin par erreur, si ce dernier s'y connait un minimum il pourra se loggué et faire sauté le filtrage par exemple.

Les dates de validité des comptes sont déjà établie ne vous inquiétez pas.

Merci.

Je pense qu'on vous a déjà donné des pistes (qui ont fait leur preuve).

l'adresse public que le PFsense 1 contact est l'adresse du routeur/NAT : VRAI il faut configurer quelques choses sur PFsense 1 et 2 : FAUX (donc mauvaise conclusion !)

Vous ne semblez/voulez pas comprendre qu'il y aura forcément à faire un transfert de trafic sur le routeur puisque les pfSense n'ont pas l'adresse publique sur le port WAN.

Je ne comprends absolument pas ce que disent les techniciens FAI avec "le routeur supporte IPSEC en mod NAT mais qu'il ne supporte pas le NAT-T".

Il semble évident que vous ne cherchez pas suffisamment à comprendre comment cela doit fonctionner : un passage chez Christian CALECA est nécessaire …
Si nous répétons que cela est aisé avec OpenVPN, c'est que nous l'avons réalisé ...

Perso, c'est mon dernier post sur ce fil.