Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense et pfblockerNG

    Scheduled Pinned Locked Moved
    Français
    1
    3
    202
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tof
      last edited by

      Bonjour,

      J'ai un souci au lancement de pfblockerNG, il crashe.

      Voila le contexte :
      J'ai un netgate 4100 (24.03-RELEASE, FreeBSD 15.0-CURRENT) chez moi, pour travailler et faire des maquettes, qui fonctionne bien. J'ai installé pfBlockerNG 3.2.0_10 et il fonctionne et je commence à regarder pour le configurer pour qu'il soit efficace mais pas trop frustrant en bloquant trop de choses. Il cohabite avec unbound sans problème.

      Je me suis dit que j'allais aussi l'installer sur la VM sur un serveur dédié ou j'ai installé pfsense community edition 2.7.2-RELEASE FreeBSD 14.0-CURRENT, l'installation se passe bien. le service pfb_filter se lance bien, par contre le service pfb_dnsbl est toujours en erreur.
      Quand je le lance en ligne de commande je vois l'erreur :

      [2.7.2-RELEASE][admin@firewall.dedi.loc]/root: /usr/local/etc/rc.d/pfb_dnsbl.sh restart
2024-06-21 10:31:02: (/wrkdirs/usr/ports/www/lighttpd/work/lighttpd-1.4.72/src/mod_openssl.c.2583) ssl.cipher-list is deprecated.  Please prefer lighttpd secure TLS defaults, or use ssl.openssl.ssl-conf-cmd "CipherString" to set custom cipher list.
2024-06-21 10:31:02: (/wrkdirs/usr/ports/www/lighttpd/work/lighttpd-1.4.72/src/network.c.588) bind() 10.10.10.1:443: Can't assign requested address
[2.7.2-RELEASE][admin@firewall.dedi.loc]/root:

      En cherchant un peu sur internet, j'ai vu que le souci venait de named qui est présent au lieu de unbound.

      Je regarde les ports ouverts :

      USER     COMMAND    PID   FD  PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
root     php        52889 4   udp4   *:*                   *:*
bind     named      75296 23  udp4   192.168.1.254:53      *:*
bind     named      75296 24  udp4   192.168.1.254:53      *:*
bind     named      75296 25  tcp4   192.168.1.254:53      *:*
bind     named      75296 26  tcp4   192.168.1.254:53      *:*
bind     named      75296 29  udp4   127.0.0.1:53          *:*
bind     named      75296 30  udp4   127.0.0.1:53          *:*
bind     named      75296 31  tcp4   127.0.0.1:53          *:*
bind     named      75296 32  tcp4   127.0.0.1:53          *:*
bind     named      75296 33  tcp4   127.0.0.1:8953        *:*
root     php-fpm    52869 4   udp4   *:*                   *:*
root     php_pfb    60652 4   udp4   *:*                   *:*
root     php_pfb    58821 4   udp4   *:*                   *:*
root     php-fpm    87589 4   udp4   *:*                   *:*
root     syslogd    18390 9   udp4   *:514                 *:*
root     charon     66914 15  udp4   *:500                 *:*
root     charon     66914 16  udp4   *:4500                *:*
root     nginx      10687 5   tcp4   *:443                 *:*
root     nginx      10687 7   tcp4   *:80                  *:*
root     nginx      10649 5   tcp4   *:443                 *:*
root     nginx      10649 7   tcp4   *:80                  *:*
root     nginx      10566 5   tcp4   *:443                 *:*
root     nginx      10566 7   tcp4   *:80                  *:*
root     ntpd        1081 21  udp4   192.168.1.254:123     *:*
root     ntpd        1081 23  udp4   127.0.0.1:123         *:*
nobody   dnsmasq    81498 4   udp4   *:53                  *:*
nobody   dnsmasq    81498 5   tcp4   *:53                  *:*
root     sshd       67546 4   tcp4   *:22                  *:*
root     openvpn    19174 6   udp4   212.129.29.175:1194   *:*
root     php-fpm      386 4   udp4   *:*                   *:*
root     php-fpm      385 4   udp4   *:*                   *:*
root     php-fpm      384 4   udp4   *:*                   *:*
[2.7.2-RELEASE][admin@firewall.dedi.loc]/root:

      Je me dit qu'en fait le service essaie d'ouvrir le port 443 sur toutes les interfaces et/ou ip privée au lieu de ne le faire que sur 10.10.10.1. D'ailleurs je ne vois pas l'ip 10.10.10.1 de montée sur l'interface lo0.

      Ai-je loupé quelqu'un chose ? ou bien quelqu'un aurait une idée ?

      Merci :)

      T 1 Reply Last reply Reply Quote 0
      • T
        tof @tof
        last edited by

        @tof Je viens de me rendre compte que sur la VM pfsense, i'ip 10.10.10.1 ne monte pas sur l'interface lo0.
        Je l'ai montée à la main avec le commande :

        ifconfig lo0 10.10.10.1 netmask 0xffffffff alias

        J'ai pu ensuite relancer le service.

        Pourquoi l'ip qui est censée être gérée par pfblockerNG n'est pas configuré auto ?

        Une idée ?

        1 Reply Last reply Reply Quote 0
        • T
          tof
          last edited by

          Bon .. j'ai continué à chercher mais n'ayant pas trouvé de réponse pour réparer directement le service j'ai "bricolé" un petit truc.

          Comme l'ip 10.10.10.1 ne se monte pas : je me suis dit il faut la monter donc :

          ifconfig lo0 10.10.10.1

          Et ensuite restart le service :

          /usr/local/etc/rc.d/pfb_dnsbl.sh restart

          ça fonctionne mais pas au reboot, et sans doute pas la nuit lors des reload/restart de conf.

          J'ai donc créé une cron qui check si l'ip 10.10.10.1 existe, et sinon elle la crée et ensuite restart le service :

          /sbin/ifconfig lo0 | /usr/bin/grep 10.10.10.1 || ( /sbin/ifconfig lo0 10.10.10.1 alias && /usr/local/etc/rc.d/pfb_dnsbl.sh restart )

          ça fonctionne ça faiut le job ... mais je ne comprends pas pourquoi ça ne fonctionne pas dès le départ .

          1 Reply Last reply Reply Quote 0
          • First post
            Last post