Et quand on voit les logs de Snort on est un peut envahi.

Vous prêchez un convaincu ! C'est un des problèmes. Snort brut de fonderie c'est inexploitable.

Bonjour,

Nous te remercions Juve d'avoir pris connaissance de notre esquisse, ça reste quand même une esquisse, mais grâce à vos lumières je sens que nous avançons.

Effectivement, il ne reste plus qu'à définir les flux inter-zones et surtout inter-sites (VPN).

Nous allons prendre le temps qu'il faut pour cela, il est indispensable de ne rien oublier, après nous reviendrons pour avoir plus de détails sur les DMZ (privée et publique) car il faut dire que nous ne savons toujours pas s'il en faut plusieurs ou bien une de chaque.

Je pense que le plus urgent est de mettre en valeur, les rôles de chaque zone et de chaque site.

Autrement dit, j'affirme avec certitude au point d'avancement sur lequel nous sommes que nous optons définitivement pour Pfsense. Et pour cela nous nous sommes donc partagé nos efforts en désignant 2 personnes pour poursuivre le recensement des ressources et 3 personnes pour toute l'exploitation donc connaitre à fond les systèmes utilisés, l'architecture physique et logique à modifier et à implanter (avec un Support d'Incidents) pour savoir ce que l'on a modifié, au cas où.

D'ici là, cordialement.

merci juve

je suis tombe hier sur les routes static .

Impressionent ce pfsense.

a+

Bonjour et merci

Les modifications sont faites et ça à l'aire de tenir.

@Fr€d
Je l'ai mis quand même dans loader.conf, puis j'ai fait un full update et les valeurs n'ont pas été écrasée.

Merci

@+

JN

Config Actuelle

Merci pour ces pistes. je vais faire tester ça par notre partenaire.

Merci pour votre reponse.

Je te remercie pour cette réponse claire et rapide.
Ca fonctionne.

Merci pour ta réponse,

Le nombre d'utilisateurs de la téléphonie est peu élevé, j'ai estimé qu'il n'y aurait pas plus de 10 communications simultanée (20kbs de bande passante par com non?)

Mais en ce qui concerne le traffic data, je n'ai aucune idée du traffic.

Il me reste une question, si je fait de la QOS sur le routeur A et B comme sur le schéma ci dessous:

routeur A–--------opérateur tunisien---------routeur B

Est ce possible déjà, car je ne peux toucher aux équipements tunisiens?

Bonjour,

Super, tout d'abord, nous vous remercions pour vos réponses, je n'imaginais pas que c'est aussi rapide.

Comme le dis si bien Juve, il est indispensable de choisir du matériel pro, effectivement, nos choix ce sont portés sur du HP (pour la compatibilité hard), personnellement, j'étais plutôt pour de l'IBM (car moi même certifié dessus), mais l'esprit d'équipe l'emporte et la réalité encore plus. Maintenant, du DL ou ML, je ne sais pas, sans vous le cacher, l'investissement chez nous est une affaire, disons "TABOU"  ;D.
Bref, nous verrons cela lorsque nous terminerons le schéma global de la solution.
Cependant, j'ai vu sur un des posts qu'il vaut mieux, pour diminuer le nombre d'interfaces d'utiliser des vlans. Je vous confirme donc qu'un de nos objectifs est justement d'utiliser des Vlans et que pour se décharger un peu de notre boulot, il sera exclusivement fait par des étudiants (il y aura environ 160 switch CISCO de Niveau 2 et 3), ça leur fera de l'exercice (et pour nous aussi  ;D). Question communication, il y aura bien-sûr pas mal de sous-réseaux sur une même plage d'adresses mais aussi des plages d'adresse différentes qui pourront communiquer entre eux (par le biais des switchs niveau 3).

Voilà, si je résume bien, à part les plate-formes d'exploitation qui seront eux sous Windows - LDAP, Exchange, SQL, Autres (nous ne pouvons changer car déjà en exploitation sous une forme archaïque) tous les autres seront soit sous freebsd, Centos ou Ubuntu LTS.

PS : Juste un détail sur lequel je ne suis pas fixé, peut on utiliser Pfsense comme DMZ (Je pense que oui (Routeur), mais j'ai un doute), le doute s'est installé en se référant à la question de SQUID.

Merci pour vos précieuses lumières.

A bientôt.

Bonjour,
Effectivement je n ai pas pense a regarder les cause de la charge. Connaissant pas Linux je subis :)

Par contre monte un ubutu ou autre ne passera pas car j ai fais acheté des boitier a lix pour l emcombrement.

J ai deux boitier en plus, puis je désactiver le firewall de pfsense ,et si oui comment.

Comme je dois faire du filtrage, peut être devrais je utiliser dnsblock ( je suis pas sur du nom ,je n'ai pas pfsense sous les yeux).

Merci
A+

Bonjour,

Je vois bien qu'il y a bien une solidarité entre les anciens du forum.

Mais je crois qu'il faudrait reconsidérer vos propos messieurs. Il n'y a pas du tout de haine, désolé.

Mais je pense avant tout qu'un modérateur qui a écrit lui même les conditions d'utilisation de la section francophone doit au minimum donner l'exemple. Alors exiger à d'autres d'être poli et respectueux et ne pas le faire lui même, ça prouve quoi à votre avis?

Ce n'est pas en prétendant connaisseur qu'on peut se permettre de faire tourner au ridicule tout ceux ou celles qui demande de l'aide.

J'ai posé une question en termes clairs et en français (si vous lisez bien le topic, j'ai rempli toutes les conditions exigés), M. Juve a répondu à ma question pourquoi en rajouter????? c'est LA question que je me pose.

Je crois que c'est un forum de discussion, et de professionnels en plus, et mon avis ouvert à tous ni privé ni payant, c'est libre donc celui qui ne veut pas répondre qu'il se taise à jamais et s'il veut répondre qu'il répond mais directement à la question.

Merci

@mistersoft:

Merci Msieur Juve,

C'est ce que j'ai fait, aurais-je raté un post?

Vous pouvez pt'et le poster.

Merci d'avance.

Je suis étonné par votre façon de prendre les choses…

Je vous confirme les dire de Juve, ce problème à étais traité plusieurs fois sur ce forum.

Ayant implémenté la version 2.0 sur le second "serveur" pfsense, je désire maintenant activer le spanning tree.
Comme mes 2 switchs et les 2 pfsense gère le RSTP (802.1w), j'ai configuré ce mode sur mes deux switchs et j'ai désigné un des deux comme root et lui mettant la priorité la plus basse (1000 en hexa).
Maintenant, en ce qui concerne la configuration du RSTP sur mes interfaces de bridge je suis un peu déconcerté car quand j'affiche les paramètres avancés de mes interfaces de bridge, les paramètres STP semblent être a la foi des paramètres généraux de configuration et à la foi des paramètres propres au bridge en question; sauf que ces paramètres généraux ne sont pas recopiés d'un bridge à l'autre.

Je m'explique:
Petit rappel:
J'ai deux pfsense en paralèle (voir shéma plus haut)
Sur chacun d'eux, j'ai 2 cartes réseau (une coté LAN (em0) une coté WAN (em1))
sur em0 j'ai créé 7 vlan que j'ai nommé LAN,LAN2,SYNC,LanA,LanB,LanC,et LanD
sur em1 j'ai créé 6 vlan que j'ai nommé WAN,WAN2,WanA,WanB,WanC, et WanD
j'ai créé 4 bridges A,B,C,D composés respectivement de l'interface Lan et Wan correspondant à chaque lettre.
SYNC sert à gérér le cluster.
J'utilise LAN uniquement pour administrer PfSense.
LAN2 est configurée en failover entre les deux pfsense via carp et une IP virtuelle.
WAN, et WAN2, sont aussi en failover sur deux FAI.
Chacun des bridges est configuré pour laisser tout passer dans les deux sens et aucune ip n'est implémenté.
Afin d'éviter les boucles j'ai configuré mes switchs pour transporter les Vlans A,B,C et D uniquement sur mon master pfsense encore en version 1.2.3.

Sur le backup en version 2.0 RC1, quand je configure mon bridge A, je clique sur [Show Advanced Options], je coche 'Enable spanning tree options for this bridge.' je selectionne [RSTP] et je choisis mes interfaces STP dans la liste c'est à dire LanA,LanB,LanC,LanD,WanA,WanB,WanC, et WanD qui correspondent aux interfaces qui composent tous mes bridges. Je ne modifie rien d'autre et valide mes modifications. Je m'attends donc à retrouver ces paramètres généraux préconfigurés sur le bridge B sauf que ce n'est pas le cas. Ce n'est pas le seul paramètre dans ce cas, beaucoup d'autres paramètres énumèrent des interfaces qui ne sont pas "concernées" par le bridge que l'on est en train de configurer.

Je pense que cette partie de la version 2.0 n'est pas encore finalisée peut-être par manque de retour d'experience???

Je ne sais pas vraiment comment configurer tout ça… Si quelqu'un a plus d'expérience dans ce domaine, son aide me serait fort utile.

j'ai trouvé ;-) c'est OK !

"Arthal"
Il existe des distributions spécialisées pour des cybers, elles sont orientées vers les mêmes besoins que toi et adaptées à la législation d'un an…

Tu peux utilisé pfsense juste comme firewall et utiliser l'autre comme passerelle, serveur dhcp...

CCNET, dit toujours on ne mélange pas un firewall comme pfsense avec des proxys... chaque chose à sa place.  ;D

bye

Dans ta configuration actuelle tu n'as pas besoin de configurer l'ordinateur, tu es en proxy transparent.
Essaye de rechercher des site porno sur Google, si Squidguard est actif les résultat seront normalement censurés (safesearch).

Sinon placez votre WAN en privé (rfc1918) et demandez à votre FAI de router votre subnet publique vers votre firewall via ce WAN privé.
Ainsi votre DMZ pourra être configurée avec des adresses publiques.
Dans la théorie c'est le schéma le plus sécurisé, le plus performant et le plus "maléable" car:

WAN invisible et omniscient ne pouvant être la destination du connexion (les plages rfc1918 ne sont pas routées sur Internet) aucun NAT pour les machines publiées donc moins de latence et de charge firewall (par exemple streaming UDP à forte charge) possibilité de NAT sans nécéssité de proxy ARP (on est deja connu comme étant le routeur de référence pour le subnet) possibilité pour une même IP de NAT + routage, étant point de routage on manipule les paquets à notre guise.

Dans la pratique certains FAI sont rétissants (bien souvent parce que les techniciens ne comprennent pas comment ils doivent configurer le routeur d'extrêmité).
Pour ma part j'ai des dizaines de setup de ce genre avec Orange,Neuf,Colt etc.

Une autre approche, j'ai retrouvé un SLM 2008 dans mon stock, il gère les VLAN, çà peut le faire ?