Aide configuration pfsense

ccnet

Pour mon projet je doit également créer une appli qui ira récupérer les logs mais je ne sais pas comment faire ?

Complètement aberrant. Pfsense sait envoyer ses logs vers un serveur syslog. Ce qui est beaucoup plus sûr que d’autoriser je ne sais quel programme à se connecter sur Pfsense.

historique de navigation

Vous ne trouverez rien de tel sur un firewall, simplement parce que c'est le travail d'un proxy et non d'un firewall.

Avec les règles en place vous pouvez remplacer votre firewall par un câble RJ45, ce sera aussi efficace et plus économique en énergie.

cabri89

@ccnet:

Pour mon projet je doit également créer une appli qui ira récupérer les logs mais je ne sais pas comment faire ?

Complètement aberrant. Pfsense sait envoyer ses logs vers un serveur syslog. Ce qui est beaucoup plus sûr que d’autoriser je ne sais quel programme à se connecter sur Pfsense.

historique de navigation

Vous ne trouverez rien de tel sur un firewall, simplement parce que c'est le travail d'un proxy et non d'un firewall.

Avec les règles en place vous pouvez remplacer votre firewall par un câble RJ45, ce sera aussi efficace et plus économique en énergie.

Je ne sais pas si vous avez vue le but de mon projet, qui est de créer un portail captif . Et étant novice en la matière je suis ce que l'on me dit. Et je remercie baalserv pour tout les réponses qu'il m'à donné ! Grace à lui j'ai compris pas mal de truc ;)

Les profs nous ont demander de faire une appli pour récupérer les logs alors c'est ce qu'on fait.

baalserv

Bonjour,

Vous n'avez besoin d'aucune règle sur Wan

Pour les logs, Ccnet vous à donner la bonne réponse  ;); si vos profs veullent vous faire écrire un programme, qu'ils choisissent un exemple utile plutôt qu'une pure abération comme ce qu'il vous demande. (abérant d'un point de vu sécurité car un firewall DOIT avoir le moins de process actif possible et le system Syslog n'a pas été implémenter par les dev sans raison ^^)

Comme je vous l'ai déja écris vous devez avoir une solution fonctionnelle avec les élément que je vous ai donner AVANT de voir la mise en place du portail captif.

A titre indicatif : j'ai ''at home'' via VM (pour tests) la même plateforme que celle que je vous ai indiquer, avec portail captif en Https et des pages personnalisés. 
De même, je ne vous ai pas donner autant d'info dans mon 1er post sans raison ^^

cabri89

Je vient de remettre mes règles comme les vôtres.

Quand vous dites élément fonctionnelle c'est le Windows 7 qui ce connecte au web c'est sa ?

Je ne comprend pas ce que vous voulez dire dans la phrase ci-dessous …
@baalserv:

A titre indicatif : j'ai ''at home'' via VM (pour tests) la même plateforme que celle que je vous ai indiquer, avec portail captif en Https et des pages personnalisés.

Je comprend tout à fait c'est pourquoi j'ai suivie à la lettre toutes les infos que vous avez donné lors de votre premier post ;)

baalserv

pour faire simple, j'ai en virtuel la solution que vous souhaitez avec portail captif indexer sur l'ad ^^

Elle me sert de plateforme de tests divers et varier (version de pf, windows, MAJ, os clients, …..)

cabri89

Ha sa c'est bien =)

Je vous avoue que vous prendre cette VM et tentant mais faire cela n'aurais aucun mérite ;)

Je préférerais faire tourner moi même ma machine =)

Je crois savoir pourquoi mon W7 n'arrive pas à ce connecter au net !

Je vient de faire un nslookup et mon serveur DNS ne répond pas …

Avez vous une idée de comment résoudre le problème ?

ccnet

Oui !

cabri89

@ccnet:

Oui !

?…

baalserv

Bonjour,

Que votre prof ne soit pas familier de pf et donc de l'écriture des règles, je le conçoit.

Qu'il n'ai pas était en mesure de vous expliquer la logique du test des 3 ping …..

J'ose espérer qu'il sera en mesure de vous guider sur votre problème de dns windows ^^

Cordialement

cabri89

Je ne vois mon prof que 1 fois par semaine ducoup je n'est pas le temps de lui demander grand chose …

Je le vois cette aprem et je vous tien au jus des que mon problème est résolu ;)

lg750

Bonjour,

Je me permet de rebondir sur cette situation ! Je vois que le même problème s'est créé entre Cabri et moi-même au niveau des règles du PFSense, et dans les deux cas ce sont les explication d'un professeur qui en sont la cause…

Comme indiqué dans mon dernier sujet, l'histoire des sources où l'on indiquait "any" au lieu d'indiquer la bonne source semble être une méthode familière à certains professeurs...

Pourquoi de telles divergences d'opinion alors que vous semblez, à raison, mettre un point d'honneur à l'indication de la source lors de la création de règle.

Cordialement,

Loïc

baalserv

Bonjour,

2 raisons :

1/ raison de sécurité évidente => pourquoi ''any'' quand on à la possibilitée de spécifier le subnet concerner par la règles ?

2/ vos prof ne maitrise pas pFsense …

Cordialement

ccnet

@lg750:

Pourquoi de telles divergences d'opinion alors que vous semblez, à raison, mettre un point d'honneur à l'indication de la source lors de la création de règle.

C'est autre chose qu'un point d'honneur. C'est une certaine expérience de la sécurité. Le problème avec any c'est que on suppose , et c'est une erreur, que le gentil utilisateur appartient au réseau connecté à l’interface. Avec any que se passe t il si le vilain hacker choisi délibérément un numéro de réseau qui n'est pas celui attendu (naïvement), mais celui par exemple d'une dmz ? Vous maitriser les conséquences d'une telle situation ?
C'est comme les développeurs qui supposent que dans le champ code postal d'un formulaire web le gentil utilisateur va saisir 5 chiffres. Mais voilà que se passe t il avec, par exemple, (volontairement simpliste et non fonctionnel probablement):

75001;select password from users --

Si le développeur n'a rien prévu notre hacker dump la table des mots de passe.

Ce que l'on préfère éviter dans les deux cas en étant restrictif et en ne faisant pas confiance a priori. Voilà ce qui nous différencie de vos profs qui par ailleurs ont des compétences, mais be sont pas nécessairement spécialisés sur les questions de sécurité.

cabri89

J'ai réussi à résoudre avec mon prof le problème et du-coup tout fonctionne j'ai mon portail captif qui fonctionne sur le client ! =)

Il me reste plus qu'à configurer ma connexion avec les identifiant de  l'AD.

et a trouver ou sont stocker les logs ;)

en fait on doit faire une appli pour voir les sites les plus visité sous quelle plage horaire etc…

Nos profs nous demande de faire ce projet pour qu'on sache comment fonctionne un portail captif, après comme vous dites il ne sont pas spécialisé dans le pfsense donc ils font comme ils peuvent et résultat sa marche ! =D Apres on ne le déploiera pas c'est juste un projet ;)

baalserv

@cabri89:

Nos profs nous demande de faire ce projet pour qu'on sache comment fonctionne un portail captif

Le portail captif n'est qu'un ''interrupteur'' on/off (comme l'a préciser Ccnet très recement dans un autre fil)

@cabri89:

en fait on doit faire une appli pour voir les sites les plus visité sous quelle plage horaire etc…

==> pour avoir ces logs il FAUT un proxy (Squid par exemple) et quand à son emplacement …

@cabri89:

et a trouver ou sont stocker les logs ;)

Vous n'avez pas à ''trouver'' les logs, ils sont dans des fichiers sur pf; mais le pb n'est pas la  :o

Un package existe pour faire ce que veut votre prof c'est LightSquid  ;)

Mais c'est encore raté  ???

La ''bonne démarche'' consiste à exporter les logs vers un syslog ( déja dis  8) )

==> donc, votre ''applie maison'' devra trier/gérer les logs reçu par le serveur syslog  -> par exemple : Greylog2, Kiwi, Splunk, …

lg750

Merci pour vos réponses, il est clair de toute façon qu'il y a un manque de compétence ou un défaut de spécialisation de la part du corps enseignant…

Cordialement,

Loïc

baalserv

Bonjour,

Pour indexé le portail sur l'AD plusieurs points :

Le nom FQDN de Pf DOIT être en correspondance avec votre domaine

Il vous faut aussi une entrée pour pf dans votre serveur Dns windows

Activé le service radius sur votre DC

Il vous faudra également un groupe de user AD avec une stratégie d'autorisation (indice : Vpn)

Et bien évidement définir votre serveur Radius/AD dans Pf

Bon courage  :D

cabri89

Bonjour,

J'ai de nouveaux des petits soucis …

J'ai suivi ce tuto :

https://forum.pfsense.org/index.php/topic,44689.msg232267.html

Et quand je test mes utilisateurs ils fonctionnent mais maintenant je ne peux pas m'authentifier avec ses derniers ...

J'ai bien tout suivis j'ai créer le même groupe que lui mais rien ...

Quelqu'un à une idée pour éviter de me faire passer par un serveur Radius ?

Merci d'avance pour tout =)

baalserv

Il vous manque peut être un privilège non lister sur votre tuto car inéxistant à l'époque : User - Services - Captive portal login

cabri89

Malheureusement je ne trouve pas ce dont vous me parler …

C'est dans User Manager ?

C'est sa :