Welcome on board.
8)

je cherche une bonne documentation de sauvegarde/restauration sous pfsense.

Comment dire …

Il est parfaitement évident de ne pas regarder le flux WAN mais seulement le flux LAN !

Regardez si ce qui est "arrêté" est avant ou après.

Il n'y a pas d'énergie à regarder ce qui ne traverse pas le firewall …

On peut interdire l'accès à certains sites en trichant sur la résolution dns.
C'est une interdiction totale et brutale (et ça ne me gène pas sur des sites pornos en entreprise, p.e.).
Mais c'est un "filtrage" brutal qui s'applique juste à des adresses ip !
Et les ip non stoppées ne subissent AUCUN contrôle !

Squid + SquidGuard peut réaliser un filtrage plus complet : filtrage de certaines partie d'un site, filtrage selon un utilisateur ou selon des horaires, …

Bien évidemment, la nature et les besoins très différents de ce filtrage justifie de ne pas installer cela sur un firewall.
(Et ceux qui le préconisent sont totalement inconscients !)

Les plus astucieux peuvent même ajouter un filtrage antiviral sur le filtrage Squid ...

Bref, il y a comme une différence entre propos ...

1/ je répète que virtualiser un firewall est une fausse bonne idée ! (déja maintes fois expliquer)

J'irai même jusqu'à dire que c'est une vraie mauvaise idée. Surtout avec HyperV, c'est du cumul !

salut,

pour le fichier ern local je sais pas, mais le radius avec base mysql ca devrait le faire
eric

salut ,
on peut utiliser un voucher sur des machines differentes, cela ne géne en rien , par contre si l'on désire utiliser un voucher sur une seule machine a la fois
il faut valider dans service captive portal, le portail captif correspondant, le flag concurent user logins
si le flag est activé, une seule machine par voucher , si le flag est désactive, plusieurs machine avec un voucher.
le cas est le même avec les users.
eric

Il faut retirer la règle qui autorise tout. D'après vos information il n'y a aucun serveur interne qui nécessite un accès depuis internet. La règle par défaut sur wan convient. Elle interdit tout trafic entrant.

Merci à vous pour ces éclairantes réponses.
Je vais digérer tout cela.

A moins de me contenter d'un 1 wan et un lan et de 8 sous-réseaux.

Bien à vous.
Jean-Marc.

On utilise toute sorte de service :  du ssh, de l'imap, du pop, du port 2000 pour Nexenta, du rdp, du rdp sur 3390, du … etc etc, après si je fais un alias avec tous ces services / ports dedans, je peux facilement en rajouter ? Du coup ça va être chiant les premiers jours, mais au fur et à mesure ma liste sera complète, donc pourquoi pas.

Vous pouvez compléter en tant que de besoin.
D'une façon générale pour ssh, rdp, Nexenta, et sans doute d'autres, leur usage direct via internet sans utiliser de vpn est une folie.
De plus vous savez sans doute identifier les destinations pour chacun de ces protocoles (imap, pop) donc à indiquer pour diminuer la taille des trous de la passoire.

Trop juste pour le proxy.

Je voudrais rappeler un principe de fonctionnement d'Upnp :

une machine du réseau local peut demander au routeur (=firewall) d'ouvrir une règle d'entrée vers elle

C'est juste totalement insecure !
Cela s'appelle le NAT Port Mapping : cf http://fr.wikipedia.org/wiki/NAT_Port_Mapping_Protocol

Pour le reste = la communication à l'intérieur du réseau "local", c'est assez courant et l'utilisation incluse de protocole tel SOAP en dit long aussi.

Par exemple, le fort bien écrit http://fr.wikipedia.org/wiki/Protocole_UPnP

Oui sur le principe de sauvegarder plus souvent pour ne pas perde de log. Mais en pratique c'est une option très problématique. Il faut faire les sauvegarde en question, ce qui n'est pas neutre en terme de sécurité.
Mais surtout si l'on est confronté à des besoins de recherches un peu étendus c'est infernal. Un outils permattant la centralisation, la sécurisation des logs avec des fonctionnalité de filtre de recherche, de création de vues ad hoc est quasiment indispensable si l'on veut exploiter même assez peu les logs. Et je ne parle même pas des situations de crises … Un bon accès aux logs est critique. Cela n'est possible qu'avec des outils adaptés.

Ah oui désolé, c'est pour récupérer mes utilisateurs de l'active directory pour le portail captif.

@alain25500:

Moi je ne veux pas du tout prêt car le jour où ça tombe, il faut savoir d'où ça vient.
Je veux comprendre…

Voilà qui est rare à lire, et qui fait chaud au coeur :)

C'est suffisament rare pour être notifié, puisse de nombreux lecteurs prennent votre exemple (je ne vise personne en particulier)

L'année 2014 serait-elle celle qui mettra nombre de personnes sur le droit chemin ? I hope so…

Bonjour,

Bonne info :) ça peut servir de pouvoir étendre le nombre de carte d'un 2D13.

Mais cela ne réglera pas le problème de ram si le portail captif est activée sur 1 ou plusieurs interfaces …

Entre la théorie ou l'idéal, il y'a la pratique. Effectivement, je suis 100% d'accord avec vous mais en pratique, c'est impossible dans mon cas. Le reseau existe depuis pas mal d'années, il a été étendu, année après année à faible coûts.

Deux réflexions pour en terminer.
1. Je ne crois pas que respecter les lois relève de l'idéal ou de la théorie. Suivre un peu l'actualité de monde de la sécurité devrait suffire à convaincre les plus septiques.
2. C'était à mon avis l'occasion pour remettre les choses à niveaux.
Mais vous êtes le maitre à bord.

pour te répondre oui la base est bien intégrée à la sauvegarde (c'est qqchose que j'avais vérifier avant même le problème de disque dur qui m'a obligé à installer une nouvelle version)
si je suis passé à la version 2.1 en l'installant directement c'est car la version 2.0 ne se mettait pas à jour :) qui d'ailleurs avait exactement le même problème

depuis que j'ai découvert que la personne qui a installé pfsense 2.0 avait modifié le logiciel en ajoutant de nouvelle page et une fonctionnalité qui n'existe pas de "base" je comprends aussi mieux pourquoi je ne retrouve pas la fonctionnalité manquante.

Bonjour ,
Merci pour votre réponse .
en ce qui est des solutions que vous m'avez proposés j'ai déjà essayé voucher de pfsense.
mais mon objectif est de rendre automatique toute la gestion des clients du portail captif , ils s'inscrivent sur le portail captif et vont payer les heures ou un abonnement avec une carte de crédit .

Parlant du projet et de la loi, il doit être déployé en Afrique. je suis juste entrain de concevoir la maquette .

Merci pour vos conseils .