Aide configuration pfsense

cabri89

Merci de vous intéressez a moi =)

Mais heureusement non je ne suis pas en SISR mais en SLAM (Nous sommes un groupe de 4, 1 SISR et 3 SLAM don moi)

Le problème dans notre classe c'est qu'il n'y à que des mauvais SISR, du coup étant donné que j’essaie d’être polyvalent je me retrouve à faire le boulot des SISR …

Maintenant j'ai bien tout configurer, mon DHCP fonctionne, mon pfsense à accès au net mais mon W7 lui n'à pas acces au net ...

Surement a cause de pfsense qui doit tout bloquer de base je pense ...

Comment faire ? ^^

baalserv

Avez-vous toucher aux règles par défaut de l'interface lan ?

De base il y en à 2 :
La 1ère est griser, c'est la règle d'anti-lockout (destiner à ne pas perdre l'administration web par une mauvaise règle)
La 2ème laisse sortir tous le trafic et donc autorise implicitement les réponses.

le w7 ''récupère'' la donne gateway+dns via dhcp ?

EDIT :

Le w2k8 arrive à ''surfer'' ?

cabri89

J'ai déjà bidouiller un peux …
Comment remettre par defaut les paramètre de pfsense ?

baalserv

comme le screen suivant :

cabri89

Moi j'ai sa :

Ha non ça c'est le wan !!! autant pour moi ! j'ai comme toi sur le Lan sauf que j'ai aussi IPV6

Et oui le windows 7 récupére le bon gateway+dns

baalserv

pas utile mais pas génant l'ipv6

pas de firewall soft autre que celuis de windows sur le w7 ?
pas de stratégie sur le w2k8?

avez-vous essayer en donnant au w7 l'ip lan de pf en gateway ET dns ?

que donne les 3 ping depuis l'outils ping de pf (interface lan) et depuis le w7

ping ip gateway
ping ip google
ping www.google.fr

EDIT : les 3 ping ou le test de connectivité élémentaire :)

=> à mémoriser et à appliquer en cas de doute ^^

cabri89

Non aucun autre que celui de windows 7 qui est désactiver…

Pas de stratégie je pense ...

non j'ai pas essayer car en passerelle avec mon DHCP il à deja l'ip lan de pf mais pas en DNS

depuis pf je ping:

• la gateaway (donc lui meme) sa marche
• l'ip de google (8.8.8.8) sa marche
• www.google.com sa ne marche pas ....

depuis windows 7:

• la gateway sa marche
• www.google.com sa ne marche pas ....
• l'ip de google sa ne marche pas

avec mon prof on à ajouter sa a rules>wan:

pour tout laisser sortir

baalserv

(rapidement, car je n'ai pas le temps la^^)

Ping gateway = ping next hope (prochain noeud) donc depuis pf = gateway de wan

ping 8.8.8.8 ok + ping www.xyz.com pas ok = next hope ok + dns pas ok

votre règle n'est pas bonne il FAUT préciser le réseau source (dans votre cas lan subnet)

dans un 1er temps il FAUT laisser les 2 règles de base comme sur mon screen

cabri89

Désoler de ne pas avoir répondu plus tôt (j'avais des exams )

Merci de ta réponse =)

Je vais essayer de remettre tout sa demain (les 2 règles de bases )

Bonne soirée ;) 8)

cabri89

Alors me revoilà avec des infos toutes fraîches ! =)

Pour commencer tout le monde ce ping ! ;)

ensuite voila mes règles :

WAN :

LAN :

Et voici comment est configuré mon Windows 7 :

Et j'ai remarquer que lorsque je faisais un ping dans les logs de pfsens WAN bloque tout ! Et que dans les règles WAN bloque tout aussi …

Maintenant que dois-je faire ?

Pour mon projet je doit également créer une appli qui ira récupérer les logs mais je ne sais pas comment faire ?

Et aurais tu un fichier log quelconque qui a les historique de connexion, et historique de navigation pour que je puisse le passer au autres membres de mon groupe. Pour qu'il commence le développement de l'appli ;)

En tout cas encore merci pour ton aide =)

ccnet

Pour mon projet je doit également créer une appli qui ira récupérer les logs mais je ne sais pas comment faire ?

Complètement aberrant. Pfsense sait envoyer ses logs vers un serveur syslog. Ce qui est beaucoup plus sûr que d’autoriser je ne sais quel programme à se connecter sur Pfsense.

historique de navigation

Vous ne trouverez rien de tel sur un firewall, simplement parce que c'est le travail d'un proxy et non d'un firewall.

Avec les règles en place vous pouvez remplacer votre firewall par un câble RJ45, ce sera aussi efficace et plus économique en énergie.

cabri89

@ccnet:

Pour mon projet je doit également créer une appli qui ira récupérer les logs mais je ne sais pas comment faire ?

Complètement aberrant. Pfsense sait envoyer ses logs vers un serveur syslog. Ce qui est beaucoup plus sûr que d’autoriser je ne sais quel programme à se connecter sur Pfsense.

historique de navigation

Vous ne trouverez rien de tel sur un firewall, simplement parce que c'est le travail d'un proxy et non d'un firewall.

Avec les règles en place vous pouvez remplacer votre firewall par un câble RJ45, ce sera aussi efficace et plus économique en énergie.

Je ne sais pas si vous avez vue le but de mon projet, qui est de créer un portail captif . Et étant novice en la matière je suis ce que l'on me dit. Et je remercie baalserv pour tout les réponses qu'il m'à donné ! Grace à lui j'ai compris pas mal de truc ;)

Les profs nous ont demander de faire une appli pour récupérer les logs alors c'est ce qu'on fait.

baalserv

Bonjour,

Vous n'avez besoin d'aucune règle sur Wan

Pour les logs, Ccnet vous à donner la bonne réponse  ;); si vos profs veullent vous faire écrire un programme, qu'ils choisissent un exemple utile plutôt qu'une pure abération comme ce qu'il vous demande. (abérant d'un point de vu sécurité car un firewall DOIT avoir le moins de process actif possible et le system Syslog n'a pas été implémenter par les dev sans raison ^^)

Comme je vous l'ai déja écris vous devez avoir une solution fonctionnelle avec les élément que je vous ai donner AVANT de voir la mise en place du portail captif.

A titre indicatif : j'ai ''at home'' via VM (pour tests) la même plateforme que celle que je vous ai indiquer, avec portail captif en Https et des pages personnalisés. 
De même, je ne vous ai pas donner autant d'info dans mon 1er post sans raison ^^

cabri89

Je vient de remettre mes règles comme les vôtres.

Quand vous dites élément fonctionnelle c'est le Windows 7 qui ce connecte au web c'est sa ?

Je ne comprend pas ce que vous voulez dire dans la phrase ci-dessous …
@baalserv:

A titre indicatif : j'ai ''at home'' via VM (pour tests) la même plateforme que celle que je vous ai indiquer, avec portail captif en Https et des pages personnalisés.

Je comprend tout à fait c'est pourquoi j'ai suivie à la lettre toutes les infos que vous avez donné lors de votre premier post ;)

baalserv

pour faire simple, j'ai en virtuel la solution que vous souhaitez avec portail captif indexer sur l'ad ^^

Elle me sert de plateforme de tests divers et varier (version de pf, windows, MAJ, os clients, …..)

cabri89

Ha sa c'est bien =)

Je vous avoue que vous prendre cette VM et tentant mais faire cela n'aurais aucun mérite ;)

Je préférerais faire tourner moi même ma machine =)

Je crois savoir pourquoi mon W7 n'arrive pas à ce connecter au net !

Je vient de faire un nslookup et mon serveur DNS ne répond pas …

Avez vous une idée de comment résoudre le problème ?

ccnet

Oui !

cabri89

@ccnet:

Oui !

?…

baalserv

Bonjour,

Que votre prof ne soit pas familier de pf et donc de l'écriture des règles, je le conçoit.

Qu'il n'ai pas était en mesure de vous expliquer la logique du test des 3 ping …..

J'ose espérer qu'il sera en mesure de vous guider sur votre problème de dns windows ^^

Cordialement

cabri89

Je ne vois mon prof que 1 fois par semaine ducoup je n'est pas le temps de lui demander grand chose …

Je le vois cette aprem et je vous tien au jus des que mon problème est résolu ;)