http://forum.pfsense.org/index.php/topic,17354.msg89932.html#msg89932

Non ?

Merci pour la réponse.

Pourtant c,est ce qui doit etre indique dans les champ pop et smtp d outlook.

merci pour l aide
a+

Effectivement je viens de tester sur un poste XP ca marche du tonner …

Bon le Ic c'est que je suis sous Ubuntu :p

Mais merci a toi c'est juste une config client du coup .

Je suis lassé de lire "grand organisme", "sensible", …, "mon boss", ...
Et ce type d'"organisme" met en oeuvre des firewalls tel pfSense ...
Bref, je suis lassé d'écrire toujours les mêmes chose sur les IDS :

Un IDS est un élément qui capte les paquets passants devant lui et qui détecte ceux dont la forme appartient à une base de référence.
En principe, cette base rassemble des formes de paquets suspects.

Pour tirer profit d'un IDS, il est ESSENTIEL d'avoir l'expertise idoine pour dire en quoi ce paquet nécessite un examen, une action, …
Et bien évidemment, il est tout aussi ESSENTIEL d'avoir la disponibilité en temps pour réagir.

A partir du moment, où vous ne comprenez pas pourquoi un IDS est mal placé sur un firewall, cela veut clairement dire que vous ne savez pas grand chose sur le sujet.
C'est à dire que le premier point n'est pas rempli. (Je ne dis pas ça par méchanceté, je constate !)

La sécurité n'est pas une question de souhait, c'est une posture, c'est une organisation, ce sont des moyens humains, des budgets, … bref pas seulement de la volonté

Je crois qu'un IDS est possible dans de grosses structures informatiques.

Mais vous ferez comme vous voudrez ... (J'espère que vous ne viendrez pas dire qu'on ne vous a rien dit ...)

Merci, bonne idée! ;)
Je vais mettre ça en place, je donnerai les résultats sur ce post!

Bonsoir,

En fait c'était une erreur de ma part dans "System>General setup>DNS servers" je n'avais pas mis la bonne adresse, j'ai mis l'adresse IP de ma box et tout fonctionne.

Bonne soirée.
Benjamin.

Oui, certains outils peuvent avoir besoin de nom : lightsquid utilise un fichier hostname.cfg (enfin en standard, pas dans le package pfSense).

bandwithd est un outil intéressant mais si vous utilisez des proxies/relais pour les différents flux, il ne doit normalement pas passer grand chose (hors tunnel).
D'où moins d'intérêt pour bandwithd …

Attention, il n'est pas forcé que le firewall utilise le service de nom dns qu'il fournit à son réseau interne ...
Je peux penser que certains gourous tiennent cela pour plus secure ...
Mais j'ignore si c'est le cas de pfSense.

oui, aucun problème avec les autres protocoles, simplement un pb avec la connexion outlook…
je reprécise, que le problème n'arrive que lorsque je suis derriere le FW pfsense, si je suis directement connecté derriere la Box internet (free ou orange) ca marche très bien.
est-ce que ca pourrait etre la taille des paquets ? changement de MTU ?

Et bien actif/passif c'est bon, pour ce qui est du proxy ftp qui ouvre les ports quant nécessaire pas de problème on va dire que c'est du port triggering (c'est plus simple dans ma tête).
pour ce qui est des règles et NAT autogérées par pfsense, j'avoue qu'il des choses légèrement illogiques (mais je ne comprends certainement pas tout), je m'explique:

J'active le ftp-helper sur LAN + NAT sur le 21 des adresses carp pubLiques OK  => les regles et NAT cachées sont bien présente et totalement fonctionnels.
(Je persiste pas de filtrage possible)
Je fait la même chose en DMZ histoire de mettre à jour les serveur en FTP et la boumpatatra, cela ne fonctionne pas.

J'utilise le précieux pfctl -s nat et pfctl -s rules pour constater que les règles et NAT ne sont pas créés pour la DMZ…..

Plein de bonne volonté mais pas téméraire et surtout pas expert la matière, je vois bien qu'il faut ajouter des règles et NAT pour la DZM (pas possible en GUI a première vue) et je reste planté devant mes pfsense  comme une poule devant un couteau  ???

Mais je ne désespère pas, je vois bien que ce n'est pas grave, néanmoins un p'tit peut d'aide (sans trop abuser) ne serait pas de refus  :'(

Laurent

dans pfSense, TOUT est dans le fichier config.xml (y compri les images du portail captif, sérialisées en base64).
Téléchargez-le et regardez le contenu.

Oui en créant les bonnes règles.
La règle que vous avez créé doit être supprimée, ensuite autorisez les sites FTP désirés  avec une regle:
TCP LAN net  1024-65535 [SERVEUR FTP OK ALIAS] 21 *

Le mécanisme de redirection automatique du port 21 vers le 127.0.0.1:8021 (FTP helper) s'occupe du reste.

Non, pas de docs.

pfcftl -s rules en console sur une install "neuve" vous donnera les règles  ;)

Messieurs,

pour ma part, je n'ai jamais eu de problèmes avec la 1.2.2, alors que j'ai des soucis openVPN avec la 1.2.3RC3  ;D

Comme quoi, chacun ses m…des...
Donc, un conseil:
sauf besoins particulliers, n'utilisez pas une version RC en production !! (c'est vrai pour tout !)

Nicolas..

Merci,

Oui j'ai utiliser le mot NAT, mais en réalité je redirige les ports (Port Forwarding) et cela marche très bien pour OpenVPN, donc je ne vais plus utiliser IPSec pour le Net to Net mais OpenVPN comme pour les Nomades.

Vous trouverez tout cela, et bien d'autres choses, dans ce livre en français :
Sécurité réseau avec Snort et les IDS

http://www.amazon.fr/S%C3%A9curit%C3%A9-r%C3%A9seau-avec-Snort-IDS/dp/2841773086/ref=sr_1_1?ie=UTF8&s=books&qid=1257692749&sr=1-1

IMHO en anglais :-)

J'aurais préféré lire que "oui, effectivement ces logs n'ont pas la même nature !".

Ma solution perso à ce problème :

contexte : un pfsense avec Squid/SquidGuard dans une PME à 9 utilisateurs, un petit serveur mail sous Debian dédié mais avec du disque (9 boites mail ça doit pas faire 4G par boites !) ma soluce : ajout de la clé ssh sur pfSense script bash lancé par cron de façon auto le script récupère par scp le fichier access.log un awk lit un timestamp stocké dans un petit fichier, lit le log pour $1 > timestamp et écrit dans un log.$date, (à la fin le awk devrait écrire le dernier timestamp+0,01).

#!/bin/bash
#  getlog.sh : recupere les logs squid de fw

28/09/09 var

rep=/home/batch/squid
log=$rep/log.getlog
dst=date +"%y%m%d.log"

initialisation

cd $rep
date +"%d/%m/%y %T debut" >>$log

scp -P 222 fw.xxxxx.local:/var/squid/log/access.log . >/dev/nul 2>&1
awk -f traiterlog.awk access.log >$dst
rm access.log

date +"%d/%m/%y %T fin" >>$log
echo "=============================================" >>$log

#!/usr/bin/awk -f
BEGIN {getline cpt <"compteur";
      icpt=cpt;}

{if ($1>=cpt) {cpt=$1; if ($1>icpt) {print } }
      }

END  {print cpt >"compteur"; }

Ouahou
Je mettais pas relu , j ai fais ca entre deux manip.
Pas bon :-[

Voila, j aimerai savoir s il est possible de supprimer automatiquement des comptes utilisateurs du  portail captif  quand la date de validité est expiré.
dans mon cas 1 ans

toto valide jusqu en 01/01/2010 le 02/01/2010 il est supprimer de la liste.

merci et désole pour le premier post

Bonsoir,

C'est parce que j'ai relu mes 'vieux cours' de réseau que j'ai finalement prix une autre voix scp/sftp et ainsi je me débarrasse de ftp qui est vraiment pas commode en passif à gérer proprement sur les firewall ;-)
Merci à tous

Lionel