Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Multiple problémes PFSENSE

    Scheduled Pinned Locked Moved Français
    4 Posts 4 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      Punished
      last edited by

      Bonjour, je fais appel à vous pour éclaircir un certains point d'ombre sur pfsense

      Contexte : Je suis dans milieu pro dans le cadre d'une entreprise possédant déjà un réseau. Je dois donc installer un PFSENSE en machine virtuelle(ESXI) complétement coupé du réseau de l'entreprise , pas de pépin au niveau réseau. Il s'agit là d'une nouvelle solution que je met en place. Je suis alternant dans le cadre du licence sécurité des réseaux

      Besoin : Le besoin de l'entreprise est d'avoir un portail captif pour les visiteurs. Tout en ayant un suivi des logs dans le cadre de la loi, avec bien sur un filtrage de certains site (Facebook,youtube).

      Schéma :

      WAN (modem/routeur/box) :  1 partie WAN avec une adresse public celle de la box, la partie WAN est fermé dans un VLAN spécifique, malheureusement, je ne peux vous divulguer les adresses.

      LAN : 1 Partie LAN qui elle aussi est fermé dans son propre VLAN, cette partie fait DHCP et mon PFSENSE fait office de DNS

      DMZ : Aucune DMZ

      WIFI : Lié à mon LAN, en effet je transmet l'accès au portail via des bornes wifi qui sont des client léger et relier à un contrôleur wifi Cisco.

      Autres interfaces : Aucune

      Règles NAT : Aucune

      Règles Firewall : règles de base de PFSENSE

      Packages ajoutés :

      Squid:
      interface:Lan
      Allow users on interface
      Transparent proxy
      Log rotate 1
      Proxy port:3128
      et dans la partie access Control mon réseau

      Squidguard:
      Enable
      Enable GUI log
      Enable log
      Enable log rotation
      Blacklist celle de shallalist

      dans l'onglet common ACL , j'ai juste mis en deny le porno pour l'instant

      Sarg:

      Proxy Server:squid
      date format:European

      J'ai ensuite créer un Schedule fréquence tout les 1 jours

      Autres fonctions assignées au pfSense :

      Portail captif:
      Sur l'interface LAN
      Pas de redirection
      Authentification: local user

      Question : Problème précis rencontré et questions posées, …:

      Alors j'ai rencontré plusieurs soucis

      Déjà le plus important , mon PFSENSE était bien réglé , le portail fonctionnait, le proxy aussi ,

      ainsi que la remonté des logs et le filtrage URL aussi, or lors du redémarrage de ma machine

      virtuelle , tout c'est mise en vrac , plus rien ne fonctionne , le squidguard ne veut plus s'activer ,

      les logs ne remonte plus et le portail après authentification à du mal à marcher , ma question il y

      a t'il des soucis avec la virtualisation de PFSENSE, dois je passer par une machine physique car

      un de mes amis a eu le même soucis en virtuelle et depuis qu'il est en physique aucun soucis....

      Ensuite autre question lorsque mes utilisateurs se connecte à internent , ils doivent être

      automatiquement rediriger vers la page du portail sur IE cela fonctionne car la page d'accueille est

      en http , si je passe sur Firefox ou chrome, je dois taper une adresse en http pour être rediriger

      vers ce dernier n'existe t'il pas une solution ?

      Et pour finir , je désire faire du filtrage , les blacklists sont bien mais ne permettent que du filtrage

      en http , pour ce qui est du https cela ne fonctionne pas , existe t'il une solution autre que les

      alias et un blocage au niveau du pare-feu ou faut il utiliser des certificats ?

      Pistes imaginées

      Recherches : Aucune

      Logs et tests : Aucun

      Voilà messieurs, dame , je vous remercie en avance , en espérant avoir été le plus clair possible dans mes demandes.

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        Je ne te réponds que sur la partie filtrage, laissant le soin à d'autres de traiter les aspects qui leur tienne à cœur.

        Squid, au travers de Squidguard, ne peut pas filtrer, comme aucun redirecteur Squid d'ailleurs, le contenu des pages en HTTPS.
        Pour cela, il faut activer SSL Bump (MITM) au niveau de Squid.

        Mais Tu peux tout à fait faire du filtrage au niveau des domaines puisque le domaine (la partie gauche de l'URL) passe en clair dans la commande CONNECT.

        Donc ça dépend de ton besoin : si c'est pour interdire un domaine (bien que cette dénomination soit, de mon point de vue erronée), même en HTTPS, c'est possible.
        Si c'est pour interdire des URL, sans SSL Bump, pas de solution, et l'approche DNS (alias) est équivalente, en terme de scope, à la notion de domaine, donc ce n'est pas une alternative.

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • T
          Talwyn
          last edited by

          @Punished:

          ma question il y a t'il des soucis avec la virtualisation de PFSENSE

          Pour répondre à la première question, la réponse est : oui.

          Il est reconnu qu'un environnement virtualisé n'est pas adapté pour une solution telle que pfSense. Souvent utilisé dans un environnement de test, il s'avère que cela peut fausser certains tests, certaines fonctionnalités peuvent avoir des comportements aléatoires ou ne pas fonctionner du tout. Pour de multiples autres raisons les VMs sont à proscrire dans un environnement de production.

          Le ridicule ne tue pas.
          Ce qui ne nous tue pas nous rend plus fort.
          Donc le ridicule nous rend plus fort.

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Je n'ai pas le temps de vous répondre en détail. Compte tenu de votre activité actuelle, je signalerai ce qui est à mon sens contraire aux bonnes pratiques sécurité. Je n'expliquerai pas pourquoi. Je l'ai fait un grand nombre de fois sur ce forum et je ne vais pas recommencer à chaque fois.

            Je suis alternant dans le cadre du licence sécurité des réseaux

            L'accumulation de package sur Pfsense est une fausse bonne idée.
            Le cumul de toutes ces fonctionnalités sur une même machine (entendez sur un firewall) est aussi une mauvaise idée.
            La virtualisation du firewall est une mauvaise idée.
            Mettre en place un filtrage sur les flux https sortant (c'est très différent dans le sens entrant) est une problématique délicate qui soulève des problèmes juridiques et engage potentiellement la responsabilité de l’entreprise. Elle compromet totalement la sécurité de l'internaute. Il existe des situations que le justifient mais manifesement pas la votre.
            La présence d'un portail captif suggère l'utilisation d'un réseau wifi. Mais on devine aussi qu'il n'y a pas que du wifi mais aussi du filaire. Or vous ne mentionnez que l'existence d'une interface lan sur Pfsense.  J'en déduis que les deux réseaux, filaire et wifi, ne sont pas séparés. C'est un problème de sécurité réel. Autant dire que sans autre mesure votre firewall ne sert pas à grand chose. Et aussi une mauvaise pratique.

            Mon conseil, pour le futur, est de vous documenter, de lire, par exemple, les ouvrages de Bruce Schneier. Il y a longtemps que je n'en avais pas parlé. C'est peut être son actualité qui me fait y penser.
            http://www.lemondeinformatique.fr/actualites/lire-rachat-de-resilient-le-gourou-du-chiffrement-bruce-schneier-rejoint-ibm-64068.html
            Bon courage pour le futur car il vous reste du travail. Mais c'est normal vous débutez, rien d'anormal.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.