Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
-
J'ai un peu du mal à comprendre qu'est-ce qui fonctionne et qu'est-ce qui ne fonctionne pas dans ta configuration actuelle.
Comme tu as, à priori, déjà mis en place le load balancing, tu as compris le principe des gateway au niveau des règles de FW. Du coup, il ne devrais pas y avoir de problème pour les autres règles puisque le principe est identique.
Pour les alias, ils sont accessibles dans les règles de FW lorsque tu choisis "single host or alias" and source ou destination. Idem pour les ports où tu peux choisir un alias également.
Ce qui te manque, c'est probablement juste un peu de lecture de la doc.
NB: FTP, c'est chaud… 8)
-
Bonjour Chris4916,
ce qui me manque c'est justement où faire les réglages, et je ne retrouvais pas mes aliases donc je pensais qu'il fallait que j'aille dans d'autres pages ou ajouter un package ou autre. J'ai préférer prendre le temps de poster sur le forum au lieu de casser la config.
Oui j'ai déjà fait du loadbalancing mais j'avais l'habitude à l'interface et il y avait beaucoup moins d'options…. ou tout du moins beaucoup plus simple (des habitudes de vieux gars sûrement :-)).
Maintenant que tu m'as dit que c'était dans les règles de FW et dans "single host or alias" je vais pouvoir m'y consacrer, ce soir je pense.
j'ai cependant 2 questions (qui ne sont pas complètement liée à pfsense, mais un peu quand même) :
- FTP, c'est chaud.... tu parles de quoi, au niveau sécurité ? ou au niveau paramétrage ? Car à dire vrai je pense qu'on va le stopper bientôt, et ne passer que par du VPN.
- Tous les routeurs dual wan on des capacités limite de 20.000 40.000 ou plus de connexions simultanées, quand est-il d'un serveur pfsense, qu'est-ce qui donne ces limites :
> les cartes réseaux (je n'ai pas trouvé l'info sur mes cartes TP-LINK TG-3269 et TP-LINK TG-3468),
> la config sur le serveur pfsense (en fonction de la mémoire et le proc) si c'est le cas y a-t-il un moyen de calculer?
> la config de l'os hôte ( ici Ubuntu 14.04 LTS )Merci d'avance pour tes réponses.
Manu.
-
- FTP, c'est chaud…. tu parles de quoi, au niveau sécurité ? ou au niveau paramétrage ?
Les deux. FTP n'est pas sûr car toutes les informations, authentification comprise, transitent en clair sur le réseau.
Et c'est une vrai problème à filtrer convenablement à cause de la conception de ce protocole et de ces modes de fonctionnement.
Bref à proscrire.Tous les routeurs dual wan on des capacités limite de 20.000 40.000 ou plus de connexions simultanées, quand est-il d'un serveur pfsense, qu'est-ce qui donne ces limites :
https://www.pfsense.org/about-pfsense/features.html
-
Les deux. FTP n'est pas sûr car toutes les informations, authentification comprise, transitent en clair sur le réseau.
Et c'est une vrai problème à filtrer convenablement à cause de la conception de ce protocole et de ces modes de fonctionnement.
Bref à proscrire.Ouais je suis OK je sais qu'il faut que je revois ça…. juste un peu de manque de temps
https://www.pfsense.org/about-pfsense/features.html
Merci pour la doc, ça semble donc juste un réglage au niveau du serveur et de la RAM qu'on lui affecte (j'imagine que les cartes doivent y jouer). Donc 1KB par connexion, dans mes derniers tests un client Windows c'est environ 400 connexions simultanées (de mémoire quand j'avais testé ça) on serait donc à 0,5 Mo de RAM par client c'est vraiment super raisonnable.
Merci pour les infos.
-
Bonsoir à tous, décidément pfsense me donne du fil à retordre, je ne comprends pas ce qui me bloque. Dans ma config expliquée plutôt, j'ai besoin d'ouvrir le port 5900 pour qu'il tape sur un poste client. Pour mémoire tout fonctionnait avant avec le dual wan linksys, donc je ne pense pas avoir au niveau des modem, mais j'ai quand même vérifié.
Sur le WAN2 : j'ai mis en DMZ et tout envoyé sur l'ip de l'interface WAN2_4GBOX 192.168.20.10 (je limiterai juste au port par la suite mais je me suis dit autant ouvrir plus large au début et refermer ensuite)
Sur le serveur pfsense : j'ai mis la règle de FW sur l'interface WAN2_4GBOX les réglages suivants
- Source WAN2_4GBOX net
- Sur le port * (encore une fois je fermerai ensuite)
- Destination 192.168.0.50 (l'ip de la machine en question)et je n'arrive pas à avoir la demande de mot de passe classique de VNC (car vu le port vous aurez deviné que c'est pour VNC)
Je joins des captures à mon message pour plus de détail.
Manu.
-
Et le transfert de port vers le poste pour le port 5900 ?
-
Bonsoir CCnet,
vu qu'on est en wildcard, ça ne fait pas le transfert de port ? (Le poste client est bien avec l'IP 192.168..0.50)
Cordialement,
-
D'où tenez vous cette explication ?
Sur tous les firewalls, si il n'y a pas une translation d'adresse ou un tansfert de port ET la règle qui va avec cela ne fonctionne pas.
Dans la cas de Pfsense si vous créez votr etransfert de port, par défaut et sauf à décocher l'option, la règle nécessaire au filtrage sera automatiquement créée. -
D'où tenez vous cette explication ?
Euh je pose juste la question.
Donc la config en copie d’écran en piece jointe vous semble bonne ?
-
Oui, besoin d'udp ?
-
Bonsoir, j'ai de nouveau un peu de temps donc je reprends mes tests.
J'ai donc réussi à gérer le VNC, c'est impeccable. Il me reste 2 choses à voir, la première j'ai un petit soucis, pour reprendre rapidement mon architecture : en "local" je suis sur la plage 192.168.0.0/24 pour tous les postes client, j'ai un réseau entre le pfSense (192.168.10.10) et le WAN 1 (192.168.10.1) et un troisième entre le pfSense (192.168.20.10) et le wan 2 (192.168.20.1)
Mon problème est l'accessibilité à l'interface web des modem, si je connecte un PC directement sur le modem j'arrive à accéder à l'interface web sans problème, mais depuis le réseau 192.168.0.0/24 je n'y parviens pas. Je n'arrive pas non plus à pinguer les modem, alors qu'en direct ça fonctionne.
J'ai tenté de mettre en place des règles pour que tous les entrées (any) sur le port 80, à destination de 192.168.10.1 un oblige l'utilisation de la passerelle du WAN1 et inversement en WAN2 mais je n'y parviens pas, à chaque fois j'obtiens un message de Google Chrome "192.168.10.1 a mis trop de temps à répondre"
D'après de l'interface du pfsense, le diag / Ping à partir du LAN répond bien :
PING 192.168.10.1 (192.168.10.1) from 192.168.0.203: 56 data bytes
64 bytes from 192.168.10.1: icmp_seq=0 ttl=30 time=1.074 ms
64 bytes from 192.168.10.1: icmp_seq=1 ttl=30 time=1.108 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=30 time=1.271 ms–- 192.168.10.1 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.074/1.151/1.271/0.086 msJe suppose que je ne fais pas bien mes règles (cf fichier attaché)
Quelqu'un peut m'aiguiller ?
Manu.
-
Cette règle ne permet pas de faire du ping, lequel s'appuie sur ICMP
-
Ok mais elle devrait me permettre d’accéder à l’interface web non ?
-
probablement… ce que je veux dire, c'est que juste montrer une tranche très étroite de règle ne permet absolument pas de déterminer si celle est effective ou pas.
Si tu penses que c'est un problème de règle de FW, tu peux toujours activer le log, ce qui te diras quelle règle est appliquée pour le flux en question.
en regardant ce que tu montres ici, c'est impossible. Tout ce que je peux te dire, c'est que cette règle n'est pas utilisée puisque aucun flux n'est comptabilisé (states 0/0)
-
Ah j'avais pas compris désolé,
voici les captures des différentes règles, peut-être avez-vous besoin de plus de détails….
-
Bon ça avance, je viens de trouver en fait l'interface du modem (qui pourtant est bien en http) semble avoir besoin de plus que les ports 80 et 8080, j'ai donc ouvert sur * et ça fonctionne…. on en apprend tous les jours :-) Il me reste donc plus qu'à faire fonctionner le FTP en dual wan.... et là je crois que ça va faire l'objet d'un nouveau fil sur le forum
-
Bonjour ccnet et chris4916,
Je reviens vers vous pour mon besoin de FTP. J’ai bien noté que c’était chaud au niveau sécurité, mais malheureusement c’est souvent le seul moyen que j’ai pour travailler sur les serveurs de mes clients.
Du coup depuis 2 semaines j’ai basculé tout le monde sur le dual balancing et ça passe plutôt bien ( on a même éclaté notre forfait 4G de 200Go mais ça c’est une autre histoire :-) ) et tout est nickel sauf le FTP donc qui déconnecte régulièrement, surtout au moment des transferts et parfois dans la navigation dans l’arborescence.
La plupart des FTP sont sous pureftpd (et quelques fois en proftpd) en mode passif et sans réglages de ports particuliers.
Dans pfsense j’ai fait un réglage assez large je pense ( je mets en pièce jointe une capture des règles) en définissant un Alias de port de 21, 20000:65534, 20
Vous avez des pistes pour m’aider à régler ces déconnections?
Manu.
-
J’ai bien noté que c’était chaud au niveau sécurité, mais malheureusement c’est souvent le seul moyen que j’ai pour travailler sur les serveurs de mes clients.
Alors il faut faire évoluer les serveurs. Désinstaller ftp, telnet. Configurer ssh. Et de préférence utiliser un vpn lors de l'accès.
Dans les cas les plus défavorable ssh sera limité à un groupe d'ip prédéfinis, le login sous root en ssh distant sera interdit. On gagne à désactiver le compte root et à travailler avec sudo. On rendra nominatifs tous les comptes à privilège root.
C'est un peu de travail à mettre en place mais si vous avez des responsabilités sur les systèmes de vos clients … -
Si tu parles de clients FTP (de ton coté) qui accèdent des serveurs "sur le WAN":
- Je ne vois pas bien ce que le port 20 vient faire dans ton alias ;)
- ça ne devrait pas trop poser de problème (sauf qu'il faut ouvrir des ports)
- est-ce que les déconnexions ne sont pas dues au load balancing ?
-
FTP est rejetée par la team pfSense (et beaucoup d'autres) à cause des multiples faiblesses inhérentes à ce protocole.
FTPS n'est pas meilleur (même s'il comble la plus criante des faiblesses : le passage en clair).Un meilleur choix est SFTP; basé sur SSH.
C'est d'autant un meilleur choix que SFTP fonctionne sur les mêmes principes que FTP :- instructions simples : cd, put, get, …
- aisément scriptables (sauf sous Windows qui ne dispose pas nativement d'une commande sftp).
Enfin un client traditionnel comme FileZilla gère de la même façon SFTP et FTP.
Il est assez aisé de créer un serveur SFTP avec Proftpd avec des utilisateurs virtuels (=stockés en base MySQL).
Plutôt que 'bricoler', il suffit de prendre un peu de temps pour créer ce serveur SFTP.
Quelques liens :- https://www.digitalocean.com/community/tutorials/how-to-configure-proftpd-to-use-sftp-instead-of-ftp
- https://www.howtoforge.com/virtual-hosting-with-proftpd-and-mysql-incl-quota-on-ubuntu-14.04-lts
NB : on peut se limiter à juste la table des users ...