et qu en est il du load balancing car il y a peu de temps j avais lu que ce dernier n'était pas au point ?

Il est établi que

pfSense est conçu pour downloader ses packages "en direct" sur Internet, si pfSense est derrière un proxy, il n'est pas "en direct", il n'y a nul part une zone de saisie pour spécifier un proxy pour downloader les packages.

(C'est comme cela)

Puisque vous êtes si fort Monsieur tugs,
pourquoi ne proposez vous pas votre aide pour ajouter cette zone de saisie d'un proxy pour le download des packages ?
(A moins que ce soit de la provocation ?)

L'analogie avec un marteau pour des vis ou un congélateur pour cuire un steack n'est là que pour faire comprendre que, ce qui est logique, c'est d'utiliser les bons outils.
Il est établi qu'utiliser l'outil adapté est toujours plus efficace que de bricoler.

Par ailleurs, il est à noter que les packages ne sont que des compléments, pas forcément utiles (et sans garantie) à l'activité de firewall proprement dit : pfSense dispose nativement de ce qu'on peut attendre pour un firewall dans sa fonction native de filtrage de flux.

Merci, c'est sympa de prendre autant de temps sur une infra qui est surement obscure vu de loin.

Pour la virtualisation : En effet il y a 1 ESXi, 1 cluster de 2 ESX + Vcenter, 2 Xen server , et , aussi des machines physiques,  … etc. J'ai fais un schéma plus simple afin que tout le monde comprenne (du moins j'espère).

j'ai fais le test, Le comportement réseau est identique lorsque je télécharge à partir d'une machine physique. je retrouve une forte augmentation sur l'interface lan en in sur le routeur qui n'est pas la passerelle de la machine physique ...

Pour les 3 switchs : il y a le premiers switch qui fait le lien entre 2 salles (c'est comme ça et je ne gère pas ce switch là ). Entre les routeurs et les 2 autres switchs connecté aux machines.
Ces deux autre switchs sont identiques au niveau conf et Vlan etc ... il sont deux car tout est redondé.

Et il y a bien un switch entre les routeurs pfsense et le routeur FAI

Bien le bonjour.
J'ai pas mal chercher depuis et l'idée d'un ban temporaire/indéfini n'est pas vraiment utile finalement parce que trop facile a contourner. Je vais aller regarder sur le site que tu me proposes, je verrais bien si j'y trouve quelque chose qui m'intéresse.

Le service fourni par Pfsense est de "l'autre côté" de l'interface.

Formule comme cela, c'est tres clair pour moi maintenant.

Je vais donc autoriser tous les services delivres sur le LAN par pfsense (dns, dhcp, ntp, etc…) depuis Lan net vers la vip 192.168.1.1.

Merci pour cette reponse rapide.

Bonjour,

informations récupérée sur la documentation officielle….

http://doc.pfsense.org/index.php/MultiWanVersion1.2

Bonjour,

voila le tuto pour pfSense 1.2.X

http://doc.pfsense.org/index.php/MultiWanVersion1.2

Ok, merci.

Topic clos.

@CreatAdict:

Ce que je veux faire :

Rediriger les ports externe genre : Tous ce qui vient de l'ip 80.0.0.2 (ip virtuel wan2) port 80 ver 192.168.2.100 port 80 (lan2)
Je pense qu'on configure ca dans la partie nat

Vous avez un serveur web en 80.0.0.2 (ip publique). C'est une ip virtuelle. L'adresse réelle du serveur est 192.168.2.100 dans votre réseau. Il y a une règle (ou deux selon la provenance, wan ou wan2) de nat à créer de any vers 192.168.2.100 en spécifiant que c'est 80.0.0.2 qui est translatée.

Que tout le trafic interne de chaque lan soit autorise (Je pense qu'on configure ca dans la partie rules)

Ce trafic ne passe pas par le firewall. Il circule sur votre segment Ethernet librement.

Que le trafic entre les deux lan passe

C'est dans la doc.

Et que le lan sorte avec le wan et lan2 avec wan2.

Pocily routing : c'est dans la doc. Il faut renseigner la gateway dans chaque règle d'autorisation.

je vous invite alors a vous documenter sur IPSEC, le NAT, et les deux utilisés simultanément.

Vous pouvez regarder NetFlow.

Pour info voici la capture de Packet :

IP_PublicWindowsClient –> Internet IP from client (WindowsXP and Windows7) - sans firewall d'activé sur les stations
IPFTPLAN ---> Ip local (192.168.x.x where my ftp server)
IP_PublicFTP --> My Public IP
Note :  bge0 Is LAN

Avec WindowsXP (ca marche)
all tcp IPFTPLAN :21 <- IP_PublicFTP:21 <- IP_PublicWindowsClient:2246      ESTABLISHED:ESTABLISHED
all tcp IP_PublicWindowsClient:2246 -> IPFTPLAN :21      ESTABLISHED:ESTABLISHED
bge0 tcp IP_PublicWindowsClient:2250 <- IPFTPLAN :20      FIN_WAIT_2:FIN_WAIT_2
all tcp IPFTPLAN :20 -> IP_PublicFTP:48730 -> IP_PublicWindowsClient:2250      FIN_WAIT_2:FIN_WAIT_2

Avec Windows7 (Ca marche pas)
pfctl -vss | grep IP_PublicWindowsClient
all tcp IPFTPLAN :21 <- PublicFTP :21 <- PublicWindowsClient:49756      ESTABLISHED:ESTABLISHED
all tcp PublicWindowsClient :49756 -> IPFTPLAN :21      ESTABLISHED:ESTABLISHED
all tcp IPFTPLAN :20 -> PublicFTP:33868 -> PublicWindowsClient :49757      SYN_SENT:CLOSED

Merci de votre aide.

Rappel je suis avec la 2.0RC1 du 7 Mars

As-tu regarde dans les logs si tu as des erreurs?

Certainement pas ! (Et c'est assez évident : que va-t-on faire d'une ip privée ???)

Je ne crois pas que vous ayez bien compris ce qu'est le "split-domain" : relisez Christian CALECA ou cherchez un peu sur Internet (dns split domain)

Merci beaucoup pour votre réponse.

Je vais me pencher sur ses solutions et je reviens vers vous pour vous tenir au courant.

Cdt,