Sécurité
-
J'ai un autre client (qui dispose des 200 PC embarqué Linux avec des IP publiques, ce n'est pas un seul réseau local) qui a ouvert une IP au niveau de son parefeu,c 'est celle du pfsense.
je ne comprends pas. :-
200 machines distantes qui ne sont pas sur un LAN mais il n'est fait référence qu'un un seul pare-feu client.Est-ce que tu ne veux pas plutôt dire:
"J'ai un autre client (qui dispose des 200 PC embarqués Linux avec des IP publiques, ce n'est pas un seul réseau local) qui a ouvert une IP au niveau de chaque parefeu, pour n'autoriser que l'IP pulbique de mon pfSense."
Pour la maintenance, on doit se connecter en HTTP et SSH sur ces 200 PC. Il faut donc un accès distant.
Pour accéder aux machines depuis ton site ou pour y accéder depuis n"importe ou alors que seule ton IP publique est autorisée ?
Si c'est bien le cas, en dehors de l'accès aux machine client depuis ton réseau local (ce qui semble être prévu puisque ton IP publique est la seule autorisée) il suffit (c'est un raccourci mais juste pour expliquer le principe) que tes utilisateurs distants se connectent en VPN sur ton site (celui où tu gères pfSense) d'où ils pourront ensuite rebondir se connecter à chacun des sites distant via ton IP publique autorisée.
-
C'est bien ca 200 machines Linux derrière 200 pare-feu.
Sur chaque pare-feu seul l'IP de mon pfsense est ouverte.
Pour la maintenance, on doit pouvoir se connecter en HTTP et en SSH (en utilisant donc l'IP du pfsense).
Pour l'instant j'ai un accès L2TP. -
C'est bien ca 200 machines Linux derrière 200 pare-feu.
Sur chaque pare-feu seul l'IP de mon pfsense est ouverte.
Pour la maintenance, on doit pouvoir se connecter en HTTP et en SSH (en utilisant donc l'IP du pfsense).
Pour l'instant j'ai un accès L2TP.Et donc, maintenant que le cadre est un peu plus clair, quel est le problème ?
Le fait que tu n’aies pas accès aux sites distants pour y installer un serveur VPN ?Au fait, pourquoi HTTP et pas HTTPS ?
-
Le problème est que actuellement j'ai créé des accès VPN L2TP, ca fonctionne.
Mes données ne sont pas confidentielles mais vous me dîtes que ce n'est pas sécurisé donc je dois passer à une autre techno.
Dommage que l'association l2tp ipsec ne fonctionne pas sur le pfsense.On utilise le HTTP car c'est un ancien matériel … (on a pas la main dessus, fournisseur).
-
Deux pages de posts pour en arriver là ! Alors que cela devrait être compréhensible dès la première page !! Bref.
Donc sur les firewalls en question vous n'avez pas la main. Vous faites du L2TP. L'accès sur wan de chacun des 200 firewalls du client est restreint à votre ip (ou une série d'ip que vous maitrisez).Sur chaque pare-feu seul l'IP de mon pfsense est ouverte.
Ce que voulez dire n'est pas ce que vous écrivez. Ce qui se produit, si je comprend bien, est que sur chaque pare feu l'ip de votre Pfsense est autorisée.
Pour ce qui est de la sécurité de cette solution, vous êtes en http donc tous les flux, y compris d'authentification sont visibles. L2TP seul comme indiqué plus haut ne vous protège pas.
Avec ssh, tout dépende la façon dont la façon dont il est configuré. On pourrait envisager d'utiliser ssh pour créer un tunnel. Vous n'auriez plus besoin de l2tp, mais il y a un peu de travail de configuration sur les 200 Linux.
En conclusion j'espère que vous avez une bonne assurance pour votre responsabilité civile professionnelle. -
Le problème est que actuellement j'ai créé des accès VPN L2TP, ca fonctionne.
Mes données ne sont pas confidentielles mais vous me dîtes que ce n'est pas sécurisé donc je dois passer à une autre techno.pour faire du HTTP si il n'y a rien de confidentiel et que chaque distant n'autorise que ton adresse IP en source, encapsuler IPSec n'est pas nécessaire mais si tu tu mets à faire du SSH, c'est quand même beaucoup plus embêtant, surtout si tu authentifies avec un log/pwd en clair et pas avec un certificat :o
L'erreur serait de croire que L2TP t'apporte un tunnel crypté. L2TP ne s'occupe que du transport ;)
Dommage que l'association l2tp ipsec ne fonctionne pas sur le pfsense.
Quel est ton problème avec la mise en œuvre de IPSec et quel est l'équipement à l'autre extrémité ?
-
:( votre dernière phrase est très méchante …
-
Vous vous êtes lancé dans quelque chose qui vous dépasse techniquement. De ce fait vous êtes exposé à un risque professionnel important. Votre client vous fait confiance. Il pense probablement que vous maitrisez la situation. Si il lui arrive un problème un peu important il se retournera contre vous. Et dans ce cas précis il n'aura pas complètement tort. Une autre solution est de lui faire accepter formellement (avenant au contrat) les risques encourus. Vous seriez déchargé en cas de sinistre.
Vous le prenez comme de la méchanceté, mais vous faites erreur. J'ai aussi l'habitude d'assister mes clients dans l'établissement de contrats de service avec des tiers, des hébergeurs, des prestataires pour ce qui concerne la sécurité. Ces questions correspondent à des problématiques très réelles susceptibles d'être lourdes de conséquences. -
Je veux autoriser le DNS pour mes machines LAN, comment faire ?
J'utilise du Linux en adressage IP statique.Merci.
-
C'est quoi ta question exactement ?
autoriser les machines du LAN à faire des requêtes DNS ? Sur quel serveur ?
-
J'ai un serveur LAMP où j’envoie des mails avec postfix, dans ma variable "relayhost" je mets le smtp de 1&1 il met donne un message d'erreur (ca fonctionné avant de mettre le pfsense).
J'ai donc pensé au DNS … Pour le DNS je peux mettre google par exemple. -
Les messages d'erreur de Postfix sont assez explicites. Quel message d'erreur ?
-
J'ai un serveur LAMP où j’envoie des mails avec postfix, dans ma variable "relayhost" je mets le smtp de 1&1 il met donne un message d'erreur (ca fonctionné avant de mettre le pfsense).
J'ai donc pensé au DNS … Pour le DNS je peux mettre google par exemple.L'introduction de pfSense au milieu d'un lien smtp "local postfix => 1&1" n'a pas d'impact (si les règles de FW le permettent) sauf si tu installes sur pfSense un package smtp. (NB: j'ai essayé un jour le package smtp de pfSense sans succès).
Comme le dit ccnet "c'est quoi le message d'erreur ?" ::)
-
J'ai mis l'erreur en pj.
Si c'est le DNS, je peux mettre cela dans le fichier host (je n'ai pas besoin de connexion internet donc le DNS est utile uniquement pour le relay SMTP).
-
Name service error ? Host not found ?
Si on déduit pas que le dns ne fonctionne pas, c'est grave.
On vérifie la résolution dns (dig ou host), la config dns (/etc/resolv.conf), la règle firewall correspondante.
Enfin la base ..A défaut, pour éviter la résolution dns :
relayhost = [212.227.15.168] (ou .184)NB : compte tenu du nom de relais, je suppose que les envois de mails sont authentifiés et donc utilisent le port submission (587), ce qui nécessite SASL …
-
J'ai mis un serveur DNS google dans le fichier /etc/resolv.conf.
J'ai ajouté 2 règles pour tester (pj).
J'ai le même message d'erreur pourtant le DNS semble fonctionner (ping google.fr).Merci.
-
- Mettre une IP "en dur" n'est envisageable qu'à titre de debug ou de test car le changement d'IP des MX ou des MTA est assez courant.
- en terme de DNS, il faut que tu définisses ta stratégie:
=> soit les machines en interne font directement des requêtes sur des DNS publiques
=> soit ces machines s'appuient sur un DNS interne qui fait le relai et éventuellement le cache), c'est ce que fait DNS forwarder ou Resolver.Les règles de FW sont à ajuster en conséquence.
Il faut également t'assurer que tu fais bien le test de résolution depuis ton serveur SMTP. Dans ce que tu décris, je ne sais pas si c'est vraiment le cas.
-
Le DNS fonctionne sur mon serveur WEB (lorsque je ping google.fr c'est ok), par contre au niveau du log des mails j'ai toujours la même erreur.
Postfix est bien sur mon serveur WEB …
J'autorise bien le SMTP (25) et DNS pourtant
-
Petit point de détail… auquel je n'avais pas fait attention sur la première copie d'écran :-[
AAAA... c'est IPV6 ;)
-
Je veux que postfix envoi des mails.