Problème règles de pare-feu, besoin de réactualiser sans arrêt

jtiaehau

Bonjour a tous,

Je possède une machine avec un P4 @ 3,00 Ghz, 2Go de RAM et 2 cartes réseaux gérant les vlans.
J'ai installé pfsense 2.0.1 en suivant le tutoriel pour le multi-wan (assigner les interfaces, création de 2 routing group : failover et loadbalancing, règles de pare-feu), tout fonctionnait bien jusqu’à ce que je mette en place mes règles de pare-feu personnalisées (1 règle par protocole pour avoir une gestion fine du firewalling), depuis la touche que l'on utilise le plus souvent dans notre établissement est la touche F5 sur le navigateur, les pages sont en attente et dés que l'on appuie sur F5 la page se charge instantanément sinon il faut attendre 3 ou 4 minutes.

Plus de précision :

3 lignes internet :

1 laison Wimax à 8M down et 1M up
2 lignes ADSL classique à 2M

2 LAN :

1 pour le réseau pédagogique (nous sommes un établissement scolaire)
2 pour le réseau administratif

Il peux il y avoir au grand maximum 100 utilisateurs simultané (le problème se produit même si je suis seul utilisateur)

J'ai mis quelques screenshot avec la config generale, le pare-feu, le nat, les interfaces…

http://img15.hostingpics.net/pics/486224Generalsetup.png
http://img15.hostingpics.net/pics/577987LAN.png
http://img15.hostingpics.net/pics/901705WAN.png
http://img15.hostingpics.net/pics/260973Capture.png
http://img15.hostingpics.net/pics/143442NAT1.png
http://img15.hostingpics.net/pics/470827NAT2.png

Merci,

Jérémy TIAEHAU

jtiaehau

Personne n'a d'idées pour ce problème ? Pour l'instant j'ai laissé la règle de pare-feu autorisant toute communication vers n'importe quel port mais cela ne me plait pas trop (sécurité).

Juve

Bonjour,

Il nous manque des captures d'écrans.
Il nous faut la partie routing et la façon dont est configurée le pool d'équilibrage.
La configuration de chaque interface.
Une synthèse du plan d'adressage.
Le contenu de la règle d'accès web en http (capture) pour vérifier les options choisies.

Pour l'equilibrage de sessions SSL (https,imaps etc.) vous pouvez utiliser l'option "sticky session".

jtiaehau

Je poste d'autres captures des que je suis devant la machine et un schéma réseau.

jtiaehau

Voila les captures et schéma réseau :

Juve

Juste par précaution avant de chercher plus loin, dans votre règle permettant la sortie sur port 80 (HTTP), me validez vous que le State Type est bien à Keep-State.
Au niveau des logs systèmes, avez vous beaucoup de changement d'état des groupes de gateway ?
Dans Sytem\advanced, avez vous modifié quelque chose par rapport à la configuration initiale ?

Sinon,pour être tatillon (pour revoir vos règle une fois le problème résolu) HTTP/HTTPS c'est uniquement sur TCP, si vous souhaitez écrire des règles les plus "clean" possible il faut que cela ressemble à ce ceci:
Pass from ADMINISTRATIF source port 1024:65535 to ANY destination port 80 protocol TCP

jtiaehau

La règle HTTP est bien en keep state, j'ai modifié les ports source et l'ai mise seulement en TCP mais ça ne résout pas le problème.

Il n'y a pas trop souvent de changement d'état des passerelles, le load balancing et le fail over ont l'air de fonctionner correctement par contre j'ai remarqué que la liaison wimax affiche souvent une perte de paquets de 2 à 8 %, je vais essayer de régler la sensibilité pour cette passerelle et mettre les groupes de passerelles sur "packet loss or high latency" au lieu de "member down".

J'ai laissé tous les paramètres par défaut dans la configuration avancée.

Je vais faire quelques tests ce soir quand le réseau ne sera pas utilisé et je vous tiens au courant.