Base utilisateurs pfsense
-
Salut à tous!
De quelle nature est la base dans pfsense ? ( texte, SQL, etc..)
Et est-il possible de créer des regles Firewall dynamiques selon l'utilisateur? Ne pas autoriser tout….
Merci d'avance!
lyl -
Les bases d'utilisateurs sont des fichiers texte ou non ( si tu utilise un serveur radius par exemple). Pfsense n'est ni un pare feu authentifiant ni un pare feu applicatif, c'est un filtre de paquets donc tu ne peux pas filter en fonction d'utilisateur a l'exception du serveur PPTP ou tu peux forcer une ip à un utilisateur et donc filtrer pour chaque utilisateur.
Un firewall est avant tout un filtre de paquets couche 3 et 4 du modele ISO or a cette profondeur de la pile ISO tu ne peux pas te baser sur des informations d'authentification uniquement présentes en couche 7 (application).
Le filtrage par utilisateur s'effectue en couche 7 via l'utilisation de proxys applicatifs (http,ftp etc…).
Quand le package squid de pfsense sera opérationnel alors oui tu pourra, dans une certaine mesure, filtrer par utilisateur.
-
Oui c'est vrai qu'en ce moment portail captif+squid ne font pas bon ménage…Enfin perso ca ne fonctionne pas l'un et l'autre je sais pas vous...
C'est sur qu'il manque essentiellement à PfSense du filtrage niveau 7, ca éviterai d'employer le PPTP qui n'accepte d'aileurs que 16 connexions simultanées et qui nous oblige a créer une connexion spéciale sur le poste nomade... tout cela rajouté bien sur au portail captif...
Je dis cela en fait car- on peut acceder au WebGui en HHTPS
- On peut s'authentifier en HTTPS + radius W2K
- pour le surf et la segmentation des users nomades ( type hotspot WiFi en fait notre solution) ba la c'est pas terrible pour l'instant....
Je sais pas si quelqu'un aurit une idée la dessus? Pfsense+ AP wifi Cisco 1100 en hotspot+ nomades Wifi.....
+++
-
En cherchant dans le forum il semblerait que le PPTP puisse accepter 64 connexions ..donc c'est mieux ;D
-
je monte 254 connexion pptp sur pfsense…. il faut editer le fichier dans /etc/inc/globals.inc et modifier le parametre correpsondant.
Pour ma part j'utilise pfsense en portail captif + authentification via formulaire SSL. Pour la segementation wifi j'utilise les Vlan sur des bornes 3com. Chaque SSID est mappé sur un vlan particulier en sortie de borne, les bornes sont interconnectée via un switch qui lui est relié à pfsense. Pfsense possède une interface vlan pour chaque vlan wifi. Une seule de ces interfaces est en mode "hotspot', c'est à dire qu'elle est active en portail captif sur le vlan correspondant au SSID sans cryptage. Les autres SSID sont protégé en WPA 2 AES avec rotation de clé toutes les 60 secondes (géré par les bornes 3com). Les bornes sont elles meme mappé dans un Vlan et l administration est limité a la connexion filaire.
-
A croire ques les grands esprits se rencontrent…nous sommes partis sur la même idée :)
-
NuFW fonctinne avec ipfilter, Freeradius pour quoi pas sql.
La question est intérésante de crée un Firewall dynamique en fonction des droits utilisateurs. Existe t'il NuFirewall sous FreeBsd ?
moi ça m(intéraisse aussi. Quelqu'un connais NuFw ?
C'est un Deamon qui tourne et qui intéragie avec iptables et un serveur FreeRaduis par exemple.
exemple : Je me connect pour la première fois, le NuFw me demande mon login et mdp, il va regarder sur le freeradius qui est lui même conecter à Mysql pour savoir quel droit je dispose ensuite quand je suis authentifier le Deamon NuFW renvois les instructions à iptables et crée un Tunnel SSL entre moi et le FreeRaduis tant que le connexion est établie NuFW me laisse passez avez les droits qui me sont attribuer. Si je coupe la connexion SSL alors NuFW me coupe toute les connexions et je dois retaper mon login.
Je ne sais pas si il y a moyen d'éffectuer ce genre d'opération avec PfSense en tous cas les outils sont présent, seul le Deamon NuFw n'est pas présent, je vais faire des recherches pour voire si ça existe sous FreeBsd.
-
le module authentifiant de PF est pfauth. Il fonctionne de la façon suivante, pfauth remplace le shell standard du user et charge des règles propre à l'utilisateur lorsque celui-ci ouvre une session SSH sur le firewall. Vu qu'on se base sur l'interface d'authentification standard du système on peut utiliser quasiement tout type de mecanisme d'authentification en backend, le frontend restant SSHD. Après il faut choisir comment l'utilisateur va accéder à l'interface d'authentification…. developper un pseudo client SSH dissimulé sous la forme d'un client de firewall... utiliser une redirection sur une page web comme la methode du captive portal etc...