je précise que j'utilise des machines virtuelles avec VMWare 7 et ses switchs virtuelles VMnet est-ce que ça peut être la cause du problème ?

Ce n'est pas le travail d'un firewall d'envoyer des messages (quels messages d'ailleurs ?) aux utilisateurs. Au surplus la méthode employé par cet utilitaire est très spécifiquement lié à l'environnement Microsoft. Il ne s'agit pas de messagerie smtp.

Oui je suis d'accord mais dans une petite structure avec pas forcement de gros moyens c'est bien pratique, notamment pour un hotspot wifi.

Bien vu  ;) je pensais effectivement à utiliser un proxy pour réécrire l'url . en particulier un addon pfs … je connais votre point de vue à propos du proxy sur un FW,je sais c'est moche . Merci votre réponse zs @jdh: Côté pfSense (traversée pfSense) : Je ne vois pas sur quelle base (autre que le nom identique) cela pourrait être fait. Par ailleurs l'ouverture de https est assez dangereux (au cas où vous l'ignoriez : regarder du côté de CONNECT). Côté client (site web) : aucun rapport avec pfSense ! Il suffit d'avoir entendu parler de mod_rewrite pour savoir faire ! AMHA il faut tout faire pour ne pas mettre sur un firewall ce qui pourrait être bien mieux placé et efficace sur une machine dédiée : C'est particulièrement le cas pour un proxy (Squid) ! Alors un bricolage qui change de protocole !

thank you!!!

Hello, Un petit up sur ce sujet. Personne ne sait ce que lance ce bouton ? Merci

Bonjour, Est ce qu'il y a des personnes qui serait motiver pour attaquer la traduction de pfsense en Français ? Ça fait un certain temps que ça me trot dans la tête, même si je sais pas trop comment il faudrait s'y prendre … Merci Totorux

Sorry for the short answer. Most of the time upgrading to the latest build of the package will fix glitches.

Je regarderais les logs … Squid, Squidguard ...Ils disent surement quelque chose.

J'utilise très fréquemment la configuration que vous décrivez. Je permet jamais les ip privées sur WAN dès lors qu'il s'y trouve des ip publiques. Vous me permettrez de douter du rapport de cause à effet au delà des apparences.

Il doit y avoir d'autres possibilités grâce au certificat de révocation mais je n'ai pas encore eu le temps de me pencher dessus. Oui les CRL. Certficate revocation list, préférable à la seule suppression de compte.

Difficile de comprendre l'intérêt de ce schéma. Plusieurs interrogations : routeur 11 et routeur 10 : ce devrait être les 2 véritables routeurs du FAI, il ne devraient pas avoir 3 interfaces (mais 2); quel rôle pour les routeurs 01 et 00 : je ne vois aucun intérêt à avoir 2 routeurs à cet endroits; VMware n'est pas du tout la bonne plateforme pour virtualiser tout cela : un firewall ne devraient jamais être virtualisé; avez vous évalué CARP ?

Lorsque vous effectuez votre scan avec nmap où êtes vous placé du point de vue de la topologie réseau ? D'après l'adressage mentionné il y a (au moins) deux translations avant d'arriver à destination si l'on se trouve sur Internet. Fondamentalement le port ouvert avec un process en écoute se trouve sur la machine cible (après translation), les résultats dépendent de la façon dont votre scan de ports est fait, le type de scan utilisé n'est pas indifférent. Vous pouvez mettre des adresses complètes, ce sont des ip privées. Au surplus, ne masquer que le dernier octet ne ferait que 253 tests à faire …

@baalserv: Bonjour, J'ai peut être mal compris quelque chose, merci de me corrigé si ce que j'avance n'est pas exact. C'est ce que je fais. Vous aviez effectivement mal compris l'ordre d'application des règles. Quand j'ai noté dans mon post précédant ''sur/vers l'interface'', j'avais en tête un cas précis. Celui de l'utilisation de l'outil PING du Webgui de pfsense, on renseigne l'ip/url de destination mais aussi l'interface depuis laquelle on ''lance'' le ping. (menu déroulant) C'est inexact aussi. Si, depuis l'option ping du webgui de Pfsense, on choisi l'interface Wan pour pinguer www.google.fr (qui est un nom et pas une url, on ne ping pas une url) on obtiendra une réponse. Que les règles sur Wan autorisent ou non icmp. On voit bien que les règles s'appliquent uniquement au trafic entrant sur l'interface. Le trafic sortant n'est jamais filtré par les règles de l'interface. Je recommande une lecture attentive de la documentation et quelques travaux pratiques pour vous mettre les idées au clair.

Dans une entreprise, j'ai 2 R210 comme firewall pfSense (en 2.0RC3) équipés chacun d'une carte INTEL quad ports ET. Elles sont reconnus nativement (par 2.0RC mais pas par 1.2.3). NB : Interfaces : carte Intel : igb0 à igb3, ports broadcom internes : bce0 à bce1. NB : Je n'ai pas pris la carte raid (et c'est sans doute un erreur).

Oui.

Je pense que si "nihil" regardait dans la doc (un peu à fond) la vision "réseau" de la virtualisation, il comprendrait une erreur pour laquelle un portable n'est pas adapté pour tester un firewall en virtualisation. Une démarche simple (et pro) serait de tester même sur un vieux micro (desktop) avec 2 cartes réseaux.

Nouveau fil mais même sujet finalement. Même conclusion : les firewall n'ont pas la puissance nécessaire : Soekris à 500 Mhz (+256Mo) notoirement insuffisamment ! Concernant la différence pratique actif/actif versus actif/passif, je suis ignorant. Mais il est un proverbe qui a du sens "le mieux est l'ennemi du bien".