Je vous remercie pour vos réponses
J'ai un switch Cisco 8 ports qui gère les vlans donc pour la partie switch aucun problème
Je vais m'orienter vers la solution d'un point d'accès netgear.
C'est vrai que la solution du DHCP sur pfsense pour le wlan invités est une bonne remarque

Le 2nd lien http://wiki.squid-cache.org/ConfigExamples/ContentAdaptation/C-ICAP me semble correspondre à votre recherche.
A noter qu'il est indiqué "as-is" mais des éléments montrent qu'il n'avance pas au hasard …

Je tiens à m'excuser pour la formulation qui ne respecte pas les règles.

+1, vous serez plus précis la prochaine fois

'softflowd' est un package de type 'sonde netflow' : archi de surveillance réseau développé par Cisco.
Une url intéressante est https://www.osnet.eu/fr/content/une-sonde-netflow-pour-pfsense (écrit par Gregober, modérateur du forum français).
Il s'agit d'une technique de relevé de 'tout' le trafic, remonté vers une console.

J'utilise plutôt le package : ntop.
Il correspond à la commande bien connue 'ntop' et se présente aussi comme 'sonde netflow'.
Je l'utilise seule : juste pour catégoriser les flux entrants/sortants du pfSense.

Par exemple, on peut avoir

All protocols > top talkers > Last day : liste pour J-1 des top senders et top receivers IP > Summary > Traffic : table en ligne les hosts, en colonnes, les flux (plusieurs colonnes)

Bonjour JDH Ccnet et Chris4916, je vous remercie pour vos réponses instructives.

Vous m'avez éclairé sur plusieurs points. Je retiens la solution du cron tab, dommage qu'on ne puisse pas logguer dans une base de donnée avec squid ça m'aurais bien plus. Je trouve ça plus simple de faire une petite requete SQL pour afficher a extraire les infos.
Si non je n'avais pas du tout penssé au ACL, se qui tombe sous le sens quand on considère les différentes problématique du portail Captif, je vais me renseigner de se côté la.
J'ai eu il y a peut la vue sur se que l'on demande aujourd'hui a un portail en terme de fonctionnalitée et de gestion. J'ai donc avec ça et vos explications une vision plus claire au niveau des objectifs a remplir.
Bref avec un peut méthodologie, de recherche complémentaire je devrais m'en sortir.

Merci a vous, je reviendrais vous embêter si jamais j'ai de gros points noirs.

Test de l’ouverture d’un accès à distance à travers SSH depuis la machine LAN vers la DMZ

Si il s'agit d'écrire une règle pour pouvoir accéder en ssh à une machine en dmz depuis le lan, lisez la doc. C'est vraiment un basique et nous n'allons pas le faire à votre place. Idem pour le reste. Si c'est autre chose , c'est incompréhensible. C'est mal écrit, bourré de fautes, aucun effort personnel et vous êtes incapable de reformuler. On a vraiment pas envie de vous aider.

Je ne sais pas si il y a une solution "mieux" car cette notion de mieux dépend de beaucoup de paramètres mais il y a d'autres approches possibles.

Juste un exemple de ce que je considère comme définitivement mieux:

si les utilisateurs sont nominativement connus et donc avec un compte pour s'authentifier, ce qui me semble un minimum dans cet environnement, il est assez simple de mettre en place un filtrage, au niveau du proxy HTTP, pour que les utilisateurs d'un groupe (LDAP) particulier soient bloqués.

Il suffit alors de gérer 2 groupes dans LDAP:

les utilisateurs à jour de leur cotisation les utilisateurs en retard

d’autoriser les utilisateurs "à jour"  et de bloquer les utilisateurs "en retard".

Pratiquement, comment faire ça ?

soit en gérant du simple "group membership" mais ce n'est ni élégant ni efficace soit en maintenant, pour chaque utilisateur, un ou plusieurs attributs LDAP relatifs à la cotisation et en créant des groupes dynamiques basés sur l'attribut qui dit "a payé".
Il est alors même possible de gérer une date de payement ou d'échéance et de se baser dessus pour envoyer des warning  ;)

Avec SquidGuard, le profiling par groupe permet, dans SquidGuard, de définir une redirection particulière pour l'ACL associée à ce groupe, et donc de personnaliser la page d'erreur  8)

C'est une amorce d'identity management qui permet d'associer le service à un utilisateur et non plus à une machine. D’ailleurs, comment ça se passe avec l'utilisateur qui  plusieurs devices (son ou ses laptop, son smartphone etc…) ?

Sauf cas très particuliers, les tâches administratives qui s'appuient sur l'adresse IP ou l'adresse MAC, c'est une fausse bonne idée  :P
Une fois cette notion acquise, il faut en effet chercher d'autres solutions fiables.

(EDIT: typos)

@blbmalek:

Salut mes amis et un grand merci pour ces précieux conseilles
Voila je crois que j’ai trouvé ou est le problème
Dans  services–------------------------squidguard proxy ----------general settings
Sous l’option  Blacklisit options  j’ai  ce message
Check this option to enable blacklist.            (Option cocher)
Do NOT enable this on NanoBSD installs!
J’ai  besoin d’une explication sur ce message  Do NOT enable this on NanoBSD installs  et comment le résoudre
Cordialement

Le moins que l'on puisse dire est qu'il n'y a aucun rapport entre votre problème et ce message purement informatif !
Il n'y a rien à résoudre. C'est un avertissement qui vous enjoint de ne pas utiliser cette option sur une installation basée Nanobsd. Rien de plus. Nous ne savons pas si c'est votre cas ou non.

Salut salut

Pourquoi je n'ai rien compris des explications ?
Enfin bon je ne pense qu'il faille comprendre quelques choses ici

ha si j'ai cru lire ipsec et vpn passant par un pf, avec un doute sur de la mise ne virtualisation quelques part somewhere (cf ce qui est en quote)  @Nasrox:

J'ai pris un snapshot pour ne pas me faire avoir encore une fois.

Y a t il un soucis résolut ou pas ? Je ne saurais dire.
Comme mes camarades pas vu plus d'information à part çà un post qui  ne sert à rien.

Non sens déconner !!!!!!!!!!!!!!!!!!!!!!!! vous nous prenez pour des madames irma ou madame soleil  ou bien ?

nota, reportez vous au https://forum.pfsense.org/index.php?topic=79600.0 ! et un schéma.
pour vous se n'est pas une option, mais plus une obligation.

Non cordialement (je reste poli mais cela me pique d'en dire plus mais moins courtoise).

salut salut

@ blbmalek
**il vous a été répondu sur un fil que vous avez initié, vous n'aurez pas plus d'aide en vous initiant dans le fil d'un autre.
Cela a le dons d’irriter certaines personnes qui bien qu'ils est une réponse a votre problème ne vous répondront pas plus ici.

Tant que vous ne vous conformez pas au recommandation énoncé sur votre propre poste.**

non cordialement.

Cela n'a pas de rapport avec la ligne téléphonique ni de la faible configuration, il s'agit de configuration à rajouter.

Non, les matériels en jeu ont leur importance et ne se valent pas !

La performance d'une ligne ADSL décroit avec la distance, c'est connu …

On relance le cd d'installation ? C'est simple et efficace mais vous auriez quand dû le trouver tout seul !

Je reprends :

je ne vois aucun besoin de faire du NAT et des ip 'proxy-arp' : un serveur Nagios en LAN est parfaitement capable de surveiller une livebox situé en WAN et une machine dans un autre réseau (routé si besoin).

De toute façon, il faut bien comprendre que si un ping, depuis Nagios, n'a pas de retour, il n'y aura pas de surveillance. Un point c'est tout.

Encore une fois, il est ESSENTIEL de poser un besoin avant de poser une solution.

Il serait judicieux de décrire un peu mieux le besoin, les contraintes réseaux, …

risque de routage via l'interface WAN sans passer par le LAN

On va où là ? Pourquoi faire quelque chose d'aussi nul et d'aussi inutile ?

L'initiateur, qui a oublié son problème car il ne répond plus, n'est pas très compétent, certes. Et il tente, forcément sans logique.
Notamment au point de faire des choses complètement anormales, comme celle de changer la passerelle par défaut !
En aucun cas, je ne saurais lui reprocher son inexpérience.

Mais en aucun cas, on doit 'router' avec ce pfSense : encore une aberration !

A quoi servirait d'expliquer une technique très très peu utilisée (et qui, ici, n'a aucun intérêt !) ?

Les 2 phrases citées insultent TOUS ceux qui répondent et donne de leur temps gracieusement.
D'ailleurs certains arrivent très bien à lire le post en haut et savent utiliser le formulaire :
ce fil est d'ailleurs encore ouvert alors que ceux qui ont utilisé le formulaire ont obtenu des réponses, c'est encore une démonstration !
J'ajoute que la dernière phrase est carrément horrible : 'ne vous investissez pas'; et puis quoi, venant d'un tout nouveau !

Le problème essentiel est qu'avec 775 posts, on attendrait juste un peu de solidarité sur la question du formulaire.
Il suffit d'observer les fils qui partent en c. : forcément il y a chris4916 qui laisse aller sur le formulaire !

Merci pour le retour.  ;)

Petit commentaire à propos de la performance et de sa mesure:

il faut prêter attention au protocole utilisé lorsque tu mesures le débit.
SMB (CIFS) est un protocole bavard prévu pour fonctionner sur du LAN et son débit chute sensiblement sur le WAN ou dès que la latence augmente (raison pour laquelle il existe des équipements "accélérateurs" qui simulent un "ACK" local).
Pour avoir une bonne idée du débit, il est préférable d'utiliser des protocoles style FTP (bien que ce ne soit ensuite pas le meilleur choix en prod) ou HTTP.

Et quelle était l'erreur (ou l'adaptation) ?

@loulou:

J'avoue je suis un boulet je n'avais pas vu la section française et j'avais posté dans la section english…

Si l'anglais ne te rebute pas, tu auras beaucoup plus de retours dans la section anglaise du forum  ;)
Pas toujours parfais mais beaucoup de retours. c'est le propre de tous les forums

Contexte : Nous sommes dans une une résidence accueillant des touristes. Un milieu vertical.

Besoin : Je souhaite mettre en place un hotspot avec Open Mesh car c'est vraiment pas cher et très pratique (pas de lien RJ45 nécéssaire). Mais le problème c'est qu'ils ne proposent pas l'enregistrement des logs de traffic (adresse mac, ip, site visité, date+heure). Je les ai contacté et ils m'ont dit que certains de leurs utilisateurs utilisent pfsense pour avoir cette fonction.

Je dois être un boulet moi aussi car je suis allé voir le site d'Open Mesh et je ne comprends pas la valeur ajoutée ou je ne comprends pas comment ça marche.
Ceci étant, si le besoin est d'intercepter et conserver dans un log des informations de type "site visité", tu n'as pas d'autre choix que de déployer un (des ?) proxy.
A défaut de proxy (qui travaille au niveau du protocole HTTP), tu n'auras pas le site visité mais l'adresse IP

Dans cette optique, pfSense ne va pas beaucoup t'aider.
Il faut regarder du coté de Squid et surtout bien étudier les aspects de rotation et archivage des log.

@setsuneh:

Par ailleurs, de combien a-t'on besoin de ports ethernet pour une utilisation? J'aurais 3 pc + tv notamment …. Merci

Le minimum, c'est 2 ports:

un port WAN (celui que se connecte à ta box) un port LAN (auquel tu connectes un switch qui va accueillir tes machines

Si tu veux héberger des services (comme un serveur web par exemple  ;)), il te faut idéalement un port supplémentaire pour gérer une DMZ sur laquelle tu va déployer cette machine (et donc un switch supplémentaire si tu as plusieurs machines)

Je viens de brancher la clé E398u-1 dans le pfsense, elle est reconnu tout de suite, et fonctionne en monde plug and play.

Pour le premier setup j'ai suivi cette video.

Voici la clé que j'ai acheter.

http://www.amazon.fr/Huawei-Technology-Ltd-E398u-1-disponible/dp/B00BPYTX4E/ref=sr_1_1?ie=UTF8&qid=1447838538&sr=8-1&keywords=E398u-1

Le but final est surtout pouvoir porter assistance aux  utilisateurs via VNC