Je pense avoir trouvé une solution de contournement : https://forum.pfsense.org/index.php?topic=99013.0

@chris4916:

@ccnet:

Donc je redis et je maintiens que l'utilisation d'adresses ip appartenant à un même numéro de réseau n'est pas une réponse en terme de sécurité pour protéger et distinguer des contenus ou services privés par rapport à ceux qui ne le sont pas.

En étant un peu plus modéré  ;)  ce qui est inutile, dans ce cas, est de disposer des ces adresses IP sur des interfaces différentes.
Ce n'est jamais indispensable mais disposer de plusieurs IP publiques (et donc coté WAN) offre quand même beaucoup plus de souplesse (il n'y a pas que les aspects sécurité) pour les services annoncés sur internet. Tout régler à grands coups de NAT et/ou de proxy ou de vhost n'est pas toujours la meilleure solution.

Entièrement d'accord pour des aspects autres que sécurité. Il y a un tas d'aspects fonctionnels qui peuvent le justifier.

Bonjour,

après export et import de ma configuration pfsense vers une nouvelle vm pfsense tout fonctionne à merveille.

Je clôture ce sujet

Salut salut

Je dirais même plus à quoi bon mettre un pare-feu quel qu'il soit.
Autant ne rien mettre.
Apres ne pas venir pleurer quand vous vous serez fait cassé l'ensemble.

Cordialement.

Merci de modifier le titre de votre post avec [Résolu] ;) cela pourrai servir à d'autres :)

Salut salut.

Au boulot pour un soucis avec un application se trouvant derrière un pfsense qui subissait une attaque Ddos sur un port en particulier router par défaut.
Nous avons fait avec l'accord du donneur d'ordre fait une petit modification au niveau du port d'ecoute sur la patte wan du pfsense en decalant vers un port tel que le 16000 et 16001 par exemple.
Ensuite nous avons diffusé a 50% de nos utilisateurs que le port etait le 16000 et au 50% autres que le bon port etait le 16001.
Au bout de quelques jours nous avons remarqué que le Ddos se portait sur le 16001.
Nous avons réitéré l'opération sur le 16001 vers deux autres ports 16100 et 16101 en redécoupant le panel des users connaissant le 16001 en 2 groupes sur les 2 autres nouveau ports et fermant le 16001, jusqu'a trouver la sources.

Le travail avais pris une longue période mais pour nous permettre de trouver le service qui nous gênait pour appliquer les contres mesures, comme par exemple lancer une vague d'intervention sur les postes pour et désinfection virale et malware car plusieurs poste étaient farcis de c'est petits choses, dont des applications fantômes. Nous avions des ordinateurs zombis.

Je ne dis pas que cela est la bonne solution mais une option qui pourrait être étudier.

Cordialement.

Bonjour Chris,

Merci pour ces liens, je vais voir ce qu'il est possible de faire avec cela.
mais il semble en effet que le problème vienne de la couche OS, et pas du package pfSense!

Ça va pas trop fatigué par les recherches ?
A moins que ce soit la lecture de la doc ?
https://doc.pfsense.org/index.php/Static_Routes

Bon, je me répond à moi même.
Je viens de réussir à le faire fonctionner sous MacOs, il fallait choisir le bon protocole !!

J'étais certain de l'avoir tenté … à moins que ce ne soit le fait d'avoir installer avahi ?

Désolé

Je ne dis pas que ce sont les meilleurs, mais je dis qu'un bon sysadmin doit savoir changer ses habitudes et changer d'outils s'il le faut !

C'est à ce prix que l'on sécurise !

Oui, le proxy est sur pfsense. Je l'ai installé dessus depuis 5 mois, mais en ce moment depuis deux semaines, je ne sais pas ce qui se passe. Je vais vous donner une capture de l'utilisation du système qui est largement très normal et même sous utilisé mais le problème est là.

Pour squid sur pfsense, je sais que ce n'est pas du tout conseillé mais pas le choix. :)

Capture.PNG_thumb
Capture.PNG

Bonjour,

Je n'arrive toujours pas a cerner le probleme utilisez-vous cette fonctionnalité ? (voir PJ)

Merci


Bonjour ccnet,

Oui, je sais bien que tout ça n'est pas terrible niveau sécu… Voire, pas sécu du tout!
Un OpenVPN serait déjà mieux, mais il semble que cela risque d'être trop compliqué pour les utilisateurs concernés...

En tout cas, merci pour ces rappels.

@delafontaine:

Oui c'est activé sur le wan car quand je l'active sur le Lan je n'arrive pas à acceder a internet et meme piguer l'adresse Lan de ma box.
ie 192.168.1.254

Oula …..
Activer le Captive Portal sur le WAN - c'est du jamais vu ça encore :)  ;)
Il faut l'activer sur le LAN.

Puis:
Vérifier si un PC sur le LAN obtient bien un IP de pfSense - dans la plage 192.168.0.x
Vérifier les données "IP" sur ton Pc, et regarde bien si le DNS est bien "192.168.0.1" (l'IP de ton LAN pfSense) et le passerelle est bien "192.168.0.1".

T'as paramétré ton DNS sur pfSense comment ?

Il faut mieux tout lister ici (après le coup de CP sur WAN, je me demande ce que t'as pu mettre ailleurs comme paramétrage 'hors du commun')

Bonjour,

Je déterre ce sujet avec un retour positif d'un Eaton 5P sur PFSense 2.1.4

L'onduleur est reconnu en USB, même si son type n'apparaît pas dans la liste, en prenant comme type un onduleur MGE USB.

Les mesures de charge de l'équipement, charge batterie et temps restant sont réalistes.

Il y a probablement un truc que je ne comprends pas car je ne vois pas l'intérêt de NTLM si on fait du Kerberos  ???

je ne suis pas europeen (quebec) et non un g5 pour une centaine de dollars ici c'est rever en noir et blanc

de plus mon but n'est pas d'ajouter d'investissement financier.
le temps quand a lui, jen ai en rade ;) comparativement aux dollars .

la machine fonctionne Tres bien et de toute facon est deja ''overkill'' aller vers un 5e gen le serais encore plus.

coté bruit, presentement sous clear os jai aucun probleme (jai meme facilement trouver la documentation pour installer le tout)

mais sous pfsense les guides et tuto sont beaucoup moins presents que ceux pour linux.
il semble que la base de pfsense(bsd) soit plutot reservée pour les utilisateurs ayant de bonnes connaissances en programmation (ce qui n'est pas mon cas)

l'installation de pfsense sur la machine se fait sans aucun probleme tout comme la configuration du systeme et son utilisation

cette infra devra aller sur du housing chez online donc la j'aurais les ip necessaires, je vais donc attendre que cela soit en place sur le datacenter

merci de ta rapide reponse en tout cas

Le pouvoir de sanction est quand même une modification substantielle non ?
Sur le terrain on peut aussi constater qu'en 2014 la CNIL a condamné Google à 150 000 € d'amende. Mon avis est que c'est donc un peu plus "contrasté". Il y a, dans ces arrêtés du CE de 2009, une déception. Il y en aura d'autres mais il y aura aussi des succès. Dans ce domaine (droit et SI) nous avons régulièrement des "oscillations" d'un bord à l'autre. Voir par exemple l'évolution sur les messageries d'entreprises et leur consultation.

@ccnet:

Dès qu'il y a des modifications de vlan, d'affectation de carte l'expérience m'a montré qu'il fallait relancer Pfsense en effet.

Je ne l'ai pas précisé car à la lecture ça me semblait évident  :-[, c'est le modem TP LINK qu'il faut redémarrer.
Pas besoin pour pfSense.

[quote author=jdh link=topic=97593.msg543700#msg543700 date=1438781463]
<mode a_coté="">Pourquoi utiliser ce type de matériel (avec partie Wifi) ?

Pour éviter box ou modem FAI, j'utilise usuellement des modem ADSL classiques comme tplink td8616 ou td 8816 ou dlink dsl-320b.
J'évite d'acheter un matériel avec une partie inutile comme le wifi.</mode>

Car j'ai migré en VDSL donc ces modems de techno ADSL me sont inutiles  ;)
Pas de modem VDSL non routeur, à ma connaissance.
Je n'ai pas fouillé plus que LDLC ou materiel.net.
Je désactive le wifi et ça me va.

Un peu hors sujet mais si ça intéresse de futurs lecteurs, je trouve l'interface très bien :
légère, pleins d'options. On peut avoir un aperçu depuis le site TP-Link, rubrique émulateur.

A priori stable. La connexion est meilleure que la livebox (bon ça, il n'y a pas de mal  8))