Pfsense : le modifier en ssh
-
Je ne vois AUCUN intérêt à modifier des règles par … une autre interface que celle de pfSense (et à partir d'une autre machine).
De toute façon, il serait particulièrement compliqué de tenter quelque chose via du ssh (sans compter qu'automatiser du ssh dans php paraît très amibitieux).
Pour info, l'interface de pfSense est elle-même en php !
Alors quelle idée ?
-
Bonjour.
Merci pour votre réponse.Je vous explique mon travail
Tout d'abord je centralise dans ma base de données plusieurs informations a propos d'un utilisateur ( check antivirus , check si windows est a jour , check authentification , etc.. )
A partir de cela j'ai une interface Web qui gere mes utilisateurs et je peux les triers par groupes.
Suivant mes groupes définies… je voulais autorisés ou non l'acces web a ces utilisateurs.. et c'est pourquoi je voulais ( je ne savais pas si c'etait possible ) lancer une requete ssh au firewall pour qu'il puisse autoriser ou bloquer... un range d'ip.Es-ce possible ? je pense que oui.... comment l'interface php de pfsense communique avec le serveur ?
Merci de votre aide -
Si ce n'est pas possible d'attaquer le firewall en ligne de commande…. pouvez-vous m'orienter vers une autre solution ?
merci de votre aide
-
Pourquoi voulez vous absolument gérer votre firewall autrement qu'avec les outils et l'interface prévus pour cela ?
-
c'est expliqué au dessus.
je veux juste pouvoir modifier les regles de mon firewall en ligne de commande… et j'aimerais savoir si c'est possible ou non
-
C'est une absurdité totale sur le plan de la sécurité. Il n'est pas admissible que l'on autorise une application externe à modifier les règles d'un firewall. Si c'est une question d'accès au web ou pas, cela relève du travail d'un proxy avec authentification via Ldap par exemple, contexte dans lequel votre base de données pourrait être utilisée. La simple présence d'un utilisateur dans un groupe rendant effective les règles d'accès au web sans qu'il soit nécessaire de modifier ni le firewall, ni même le proxy.
La vérification des configurations clients relève d'un logiciel de gestion de parc et d'inventaire. En aucun ces opérations ne sauraient être mélangées avec des questions de sécurité. -
Je suis d'accord avec toi pour la question de sécurité. Mais c'est un projet que je réalise dans le cadre scolaire et dans le but d'apprendre differente technologie.
Ma base de données est synchronisée avec un annuaire LDAP donc j'ai déjà une sécurité et de plus ma base de données n'est gérable que par un administrateur.Enfin soit… cela ne réponds pas a ma question : es-ce que les regle du firewall de pfsense peut etre changée a partir de commande ssh ?
-
Ma base de données est synchronisée avec un annuaire LDAP donc j'ai déjà une sécurité et de plus ma base de données n'est gérable que par un administrateur.
Vision totalement erronée des questions de sécurité.
Pour le reste : Pfsense n'est pas prévu pour cela. Maintenant tout est possible. La configuration de Pfsense est stockée dans des fichiers xml. Si vous y accédez … L'exercice est acrobatique et stérile. -
si vous voulez rentrer en action avec pfsense depuis un autre applicatif je vous conseil alors d'aller faire un tour dans le section developpement et jeter un oeil aux fonctionnalités XML-RPC. Sinon, le mieux reste d'effectuer des appels de type REST vers les différentes pages. Etant donné que c'est dans un contexte scolaire je vous laisse prendre le temps d'effectuer toutes ces recherches.
-
Cela me semble vachement compliquer pour si peu… je pense m'orienter vers une solution tel que iptables/netfilter.
-
Dons pas Pfsense qui n'utilise ni l'un ni l'autre mais pf.
-
En fait c'est pas compliqué, c'est juste "vachement" bien pensé et construit pour utiliser des standards d'interopérabilité.
Sinon il y a aussi pf sur openBSD ou freeBSD, les règles seront bien plus "simples" syntaxiquement parlant.
Bonne chance. -
Ce fil montre qu'à partir d'une question, on peut largement partir en vrille.
Il est particulièrement mal intentionné d'aller modifier des règles par une autre interface que celle du firewall. (Ca c'est la mauvaise idée).
(En plus, la voie du ssh est particulièrement inconsciente car quasi impossible à mettre en oeuvre.)Juve cite les XML/RPC. Et dans RPC, il y a Remote Procedure Call ! C'est la méthode contrôlée et prévue pour faire ce genre de chose. On peut, par exemple, penser que c'est le moyen utilisé pour synchroniser 2 firewalls via CARP.
Mais, de toute façon, ce n'est TRES certainement pas la bonne méthode pour répondre à la question sous-jacente.
La question est "je veux autoriser ou interdire la navigation web à X selon des critères".
La BONNE réponse (i.e. la réponse efficace ou la réponse opérationnelle) à cette question est de trouver un moyen d'authentification qui sera obligatoirement utilisé, et que cette authentification donnera un accord en fonction des critères.
Et là, il n'y a aucune règle à modifier !
La suggestion d'un annuaire LDAP est une excellente piste car Squid/SquidGuard est capable d'interroger un annuaire LDAP … en ajoutant une condition. Or il est assez aisé de mettre à jour un annuaire LDAP à partir de PHP.
Perso, je fais quelque chose qui, dans le principe, ressemble : j'identifie les pc autorisés par leur adresse ip (c'est assez aisé à contourner mais ...), et bien, j'ai créé une petite base MySQL avec mise à jour par une petite interface PHP qui permet de créer un fichier texte "partie" du fichier de conf de SquidGuard. Un cron plus tard, j'autorise ou interdit en moins de 2' l'adresse ip que je veux !
(Je ne ferais aucun commentaire sur la confusion iptables vs pfSense.)