La commande pfctl -d



  • Bonjour ,

    pfSense c'est vraiment cool! Merci à freebsd!
    J'ai instalé la version 2.0.2 sur l'hyperviseur esx 5. Pour accéder à l'interface web de pfsense, je suis obligé de saisir la commande pfctl -d. Je crois que cette commande desactive le firewall.

    Comment accéder à l'interface web de pfsense en http  sans saisir la commande pfctl -d?

    Merci pour votre aide !



  • Ca sent le sac de noeud réseau avec esx !
    Comment sont configurés les switchs virtuels, les interfaces physiques et pfsense dans tout ça ?



  • Voici ma config en image

    Mon Lan : 192.168.1.x
    Ma dmz 192.168.2.x
    Mon wan : 172.16.83.x
    Mon pfsense
       wan : 172.16.83.238
       Lan : 192.168.1.1
       DMZ : 192.168.2.1

    J'arrive à joindre (pinger ) le serveur dns (ip: 192.168.2.2) depuis le lan. Depuis un pc du lan (clinux : ip :192.168.1.3), lorsque j'essaie de faire un dig sur mon domaine local disagn.sa,je n'ai aucune réponse.

    Aussi, sur pfsense, j'ai autorisé depuis l'interface LAN le traffic LAN -> DMZ.

    J'aimerais que depuis un pc du lan (clinux) , en saisisant la commande dig disagn.sa , mon dns (qui  se trouve en DMZ) me retorune une reponse

    exemple : dig  disagn.sa

    disagn.sa    A 192.168.2.2



  • Le premier test à valider est la possibilité depuis le lan de joindre 192.168.1.1. Lors d'un ping vers cette ip que voit on dans les logs de pfsense, ou que trouve t on dans une capture de paquets sur l'interface lan de pfsense ?
    Vérifiez que dans pfsense le statut des interfaces est bien up.

    En dehors de cet aspect pratique, un groupe de port de vm sur le switch du management network est une configuration non supportée par Vmware. De plus mettre l'interface de gestion d'un esx sur la même carte physique que le wan est simplement suicidaire. Virtualiser un firewall est aussi une pratique suicidaire. Mettre un ESX "à cheval" sur plusieurs zones de sécurité est une pratique à risque. Tout cela fait beaucoup pour un seul homme ! Fin de la parenthèse.

    Les premiers tests proposés plus haut permettront un premier diagnostique. On avisera selon le résultat pour la suite.
    Pfsense s'administre depuis l'interface lan en http ou https. Ceci directement.



  • Le ping sur la 192.168.1.1 et la 192.168.2.2 passe.



  • Pfsense wan peut il pinguer sa gateway, une machine sur internet ?
    Le dns maintenant. Votre machine utilise je pense un dns externe pour résoudre tout ce qui est sur internet. Il faut vérifier qu'elle en a connaissance (dns public bien renseigné) et UDP/53 autorisé de dmz vers ces serveurs externes. Ensuite lan vers dmz toujours en UDP/53 doit être autorisé. je suppose que la connectivité réseau est fonctionnelle. Qu'en est il ?



  • j'arrive à pinger mn gateway (172.16.83.1) et meme google (8.8.8.8) depuis mon wan.

    Dans le menu principal de pfsense, system >advanced ,dns :
      j'ai mis 8.8.8.8 et 192.168.2.2.


Locked