@Victor-5

Je pense (mais je n'en suis pas sûr) que tu peux jouer avec l'option "State Timeouts"
le passer de normal à Agressive
Voir en bas de page pour la comparaison entre les 2
https://wiki.evolix.org/HowtoOpenBSD/PacketFilter

Mais rien ne sera "immédiat"

Ensuite si tu veux appliquer immédiatement ta règle aux flux impactés, il faudra passer par du scripting pour : injecter ta ou tes regle(s), lister les flux impactés et tuer les anciens flux identifiés

Tuer tous les états correspondant à des IP source et/ou destination Tuer tous les états dont les IP sources sont dans le range 192.0.2.0/24 : # pfctl -k 192.0.2.0/24 Tuer tous les états dont les IP sources sont dans le range 192.0.2.0/24 et dont l’IP destination est 198.51.100.10 : # pfctl -k 192.0.2.0/24 -k 198.51.100.10 Tuer tous les états dont l’IP destination est 198.51.100.10, peu importe la source : # pfctl -k 0.0.0.0/0 -k 198.51.100.10

@Issa2023

Hello,

tout d'abord, je te conseille de limiter le nombres de ligne en optimisant tes regles via l'usage d'alias

exemple : regrouper sous un alias "web_ports" le 80 et le 443
97db1b4c-67af-4ab8-8f06-04ba96c4e61c-image.png

alias port pour application steam
e47af2af-cdcc-417d-bb8f-7bb7c70bdeee-image.png

Ceci rendra tes règles plus lisible et facile si tu souhaites ensuite les désactiver

Ensuite, si tu souhaites ne pas ouvrir tous les ports vers internet, il faut identifier les règles nécessaire à tes applications

https://support.activision.com/articles/ports-used-for-call-of-duty-games

idem créer d'abord un alias ou 2 si tu souhaites distinguer les ports par protocoles dans tes regles

ce qui te donnera ensuite quelquechose comme cela (c'est un exemple)

9956674a-c8bc-4a7f-82d2-85adb3190e17-image.png

Ensuite si ça ne marche toujours pas regarde dans tes logs du firewall ce qui est bloqué
9a1d0cc9-b4da-4770-9af2-7923b5157d10-image.png

Cherche TCPView de sysinternal , il peut t'aider à identifier les ports utilisés par une app en particulier sur ton pc

@oberte

On trouve vite que splice est une nouvelle action de bump : cela reste du transparent (et c'est mal).

J'ai X fois dit ce qu'il y avait à dire sur le proxy transparent ou l'interception SSL.

Je n'utilise plus que pfSense que pour mon usage perso. Mais professionnellement le problème demeure.

HSTS est une méthode simple pour que le navigateur vérifie le non-remplacement du certificat : les sites vont aller vers HSTS, donc le principe du proxy transparent va disparaitre.

Un proxy explicite est ce qu'il faut faire, point.

alors, juste une petite remonté d'info, j'ai reçu la bestiole,
bon, c'est austère, pas un papier, rien...et le pfsense n'était pas pré-installé (peut être que j'avais pas bien compris)

bon, j'ai donc installé un pfsense, j'ai pas formaté en zfs, j'avais lu un commentaire comme quoi les perf au boot étaient meilleur en ufs, alors je suis resté là dessus, aucune idée si c'est pertinent ou pas.

après , j'ai juste fait mes manip d'importation de conf, et ça marche nickel

mon premier ressenti :

les perf sur ntop sont légèrement supérieur à mon i3 optiplex (genre entre 7 et 10% je dirais)

ça chauffe pas trop, le silence est appréciable, et c'est super réactif, mieux que mon dell, c'est peut etre lié au ssd

pour l'instant j'ai juste transféré le flux du portail captif dessus pour voir la stabilité sur plusieurs jours, je vais faire des test de crash intempestifs (coupure de courant , même si il est sur onduleur, je veux tester toutes les possibilités)

puis à la fin je basculerai tout, en tout cas je suis assez content pour l'instant

J'ai qu'une seule arrivée internet et 2 lan. Il y a des serveurs sur les 2. Sur le premier pas besoin de dmz ou autre. sur le second il y a effectivement une dmz et les serveurs n'accèdent pas directement à internet. C'est proxyfié avec du squid.

Le 'problème' d'accéder en local avec la même url que sur internet, est très classique et souvent évoqué ici : split-dns ...
(ce n'est pas un problème pfSense)

Le problème de reverse proxy est lié à un défaut de maitrise de HA-Proxy (il existe d'autre reverse proxy probablement plus simple comme Nginx et qui supporte très bien le protocole ACME pour certificat Let's Encrypt).
(ce n'est pas un problème pfSense)

Je recommande d'utiliser le formulaire de présentation de problème A LIRE EN PREMIER.
C'est l'occasion de réfléchir à son problème, et c'est important ...
En particulier les règles existantes devraient être décrites ...

Là, il y a visiblement une sérieuse incohérence ... que je laisse chercher ...

'je souhaite ouvrir' : quelle difficulté ? Créer une règle est une chose basique pour un firewall ...

Bonjour,

Je m’excuse pour ma réponse tardive, j’ai eu beaucoup d’imprévu.

1000 merci à vous deux.

@jdh
Je comprends un peu mieux avec ton explication, car pas toujours facile de trouver explication, je ne suis pas anglophone je ne comprends pas toujours très bien sur les documents de pfsense, donc j’ai du mal à trouver les bonnes infos et je regarde avec tutos que je trouve sur le net, ce qui n’ai peut-être pas toujours le mieux.

@couteauabeurre
Superbe ton explication, je n’aurai jamais trouvé ce que tu as expliqué, cela fonctionne parfaitement et en plus tu as résolue un autre problème, car je voulais passer avec cloudflare.

J’aimerais bien trouver livre pfsense en français apparemment il n’est toujours pas sorti.

Le problème est résolu, j’ai juste le LAN2 qui n’est pas accessible via LAN1 lorsque le VNP est activer, ce qui fonctionne sens le VPN. Je vais regarder comment régler cela.

Encore un très grand merci à vous pour votre aide 😉 👍

J'ai passé trop de temps à chercher à résoudre cette problématique insoluble.
J'ai donc exporté toute la configuration et suis reparti d'une VM avec Pf 2.7 vierge.
Aucune excentricité de sa part, tout fonctionne.

@jdh @couteauabeurre

C’est bon ca marche . J’ai ajouter les P2 sur les sites A et B comme vous le l’avez conseillé sans avoir besoin de toucher aux paramètres des tunnels sur le site C vpc .

Merci beaucoup pour votre temps et vos conseilles .

Bonjour

Désolé de vous répondre tardivement mais le client était en congé et je ne pouvais pas faire de test.

J'ai regardé ce qui ne se charge pas. En fait ca bloque car c'est des scripts JS qui mettent bcp de temps à se charger et ensuite la page s'affiche

Cdt

@algama07
(Curieuse config et gros moyen pour config perso ...)

Perso, je suis dubitatif pour un bridge avec des interfaces de vitesse différente ... D'ailleurs, je suis toujours dubitatif avec des bridges dans un pfSense ...
Donc je laisserai le rôle de 'bridge' à un switch ...

Le message pourrait être lié à un problème de table ARP qui est compliqué dans le cas d'un bridge ...

Je ne vois pas bien l'utilité de 2 adresses DHCP et statique ... ni l'utilité de port 10G sur un firewall

Outlook vers O365 n'utilise probablement pas/plus smtp/imap/pop mais plutôt ActiveSync avec https.

Proxy ? Oui mais avec quels choix de paramétrages ?

Un proxy explicite et sans SSLBUMP est une NECESSITE : il y a tellement de gens qui décident de paramétrage sans en comprendre ni le sens ni les conséquences ...
En particulier HSTS va détruire tous ces choix inconséquents ...

voici la capture...pas très bavard je trouve....
Capture trafic ntp.JPG