Accès à internet bloqué par le proxy ??

[lemainteneur]

Bonjour à tous!
je viens d'installer pfsense dans une machine dans mon labo pour effectuer mes tests par rapport à mon mémoire. j'ai prévu trois cartes réseau:
WAN: DHCP (nous disposons d'un serveur DHCP/pare-feu/proxy dans l'entreprise, donc il faut renseigner l' IP et le port pour une connexion), c'est ma source internet. le firewall a pour IP 192.168.18.1
LAN: 192.168.20.1 (les clients du LAN sont en DHCP)
DMZ:192.168.10.1

tous les pings passent correctement,
j'ai laissé la case "Allow DNS server list to be ....." du sous menu general Setup coché, idem pour la case "enable DNS forwarder"

lorsque je lance le navigateur sur une machine du LAN, un message d'erreur s'en suit:
Invalid request
ensuite on me donne quelques causes possibles, puis à la fin on lit: generated by proxy.domaine.cm (squid/2.6.STABLE21)

moi je suis débutant sur pfsense, je n'ai pas idée de l'endroit où je peux renseigner le serveur proxy pour évoluer.

aidez moi svp. Merci d'avance

[ccnet]

localiser la machine proxy.domaine.cm serait utile je pense. C'est elle qui retourne ce message.
Il n'est pas possible de paramétrer un proxy sur le wan de Pfsense. Celui ci étant principalement destiné à se trouver derrière le routeur d'accès mais avant le proxy. La configuration inverse est pour le moins exotique. Il y a déjà eu des posts sur le sujet sur les forums fr et us de Pfsense.

[lemainteneur]

Merci à vous d'avoir répondu, j'y ai aussi pensé (que pfsense n'a pas prévu se placer derrière un proxy).
mais si ce n'est pas possible de le connecter à internet, comment puis-je faire pour installer les packages de SNORT, NTOP, et SQUID/SQUIDQUARD dont j'ai besoin pour continuer?? y a t-il un moyen de télécharger ces packages offline et les installer manuellement? merci d'avance

[fleib]

SNORT, NTOP, SQUID/SQUIDGUARD, fausses bonne idées, comme déjà indiqué de nombreuses fois sur ce forum...

Ceci dit, comme le dit ccnet, le parefeu devrait être placé AVANT le proxy, donc installer les paquets "à la main" ne changerait rien au problème initial...

F

[lemainteneur]

Merci pour toute votre disponibilité;
je me demandais: si j'utilise une machine dans laquelle j'installe pfsense, et cette machine sera un peu comme le nœud centrale de notre rx et comme toutes les machines, il se peut qu'elle tombe en panne un de ces quatre ! comment prévenir ce genre de problèmes et garder le réseau stable? pfsense prend t-il en compte le système RAID? si oui, comment ça se configure? comment peut - on gérer le backup sous pfsence?
dans l'onglet "aviable packages" du sous menu packages, il y a un package "DNS server" est - il conseillé ?

Merci à ceux qui prennent la peine de répondre souvent, pardon si je pose des problèmes qui peuvent être considérés comme élémentaires pour vous, il faut bien se lancer un jour !

[ccnet]

comment prévenir ce genre de problèmes et garder le réseau stable?

Pfsense peut fonctionner en cluster actif passif. Si la machine active tombe en panne le nœud passif devient actif. Consultez les documentations pour plus de détails. Tout cela est abondamment documenté.

pfsense prend t-il en compte le système RAID? si oui, comment ça se configure?

La question est plutôt liée à FreeBSD. Toutefois cela n'a pas grande importance puisque Pfsense s'exécute essentiellement en mémoire. En pratique c'est peu "sécurisant". Cela ne se configure pas puisque le plus souvent c'est une fonctionnalité matérielle. L'OS ne "voit" pas les disques du raid. Je n'ai pas souvenir de la présence d'une option de raid logiciel dans la procédure d'installation de Pfsense.

comment peut - on gérer le backup sous pfsence?

Depuis : Diagnostics: Backup/restore. Toute la configuration de Pfsesne est dans un fichier XML.
On peu aussi faire une image binaire de son firewall. Attention au différences matériels entre la plateforme d'origine et celle sur laquelle vous faites le restore.

Quelle est la meilleure solution allez vous me demander ? Je ne sais pas parce que je ne connait pas votre politique de sécurité (si vous en avez une), ni les résultats de votre analyse de risque. En d'autres termes, il vous faut déterminer l'intensité de l'impact, pour vous, d'une perte de disponibilité de l'accès internet, et, ou du réseau. Vous en déduirez ensuite les moyens à adopter pour atteindre vos objectifs de temps maximum d'indisponibilité.
Une première chose est de réduire la probabilité de panne et commencer par utiliser un vrai serveur est une bonne chose. Avoir une machine en stock identique est aussi une possibilité. Deux ou trois exemplaires d'un HP DL360 G2 / G3 d'occasion doit coûter environ 250 € sur ebay.

[lemainteneur]

Merci ccnet pour tes conseils.
seulement j'ai un nouveau problème: dans la config de SNORT, on me demande le "oinkmaster code" que je dois avoir depuis snort.org: en clliquant sur subsribe après l'authentification, je ombe sur "VRT Rule Subscriptions" et je ne sais quoi entrer dans l'espace de texte "QUANTITY". ny a t - il pas de règles d'essai c'est à diregratuites pour snort?
merci

[jdh]

Que d'erreurs de compréhension (et d'absence de lecture du forum) !

SNORT est typique de la fausse bonne idée ! (fleib l'écrit déjà plus haut !)

Bonne idée : c'est logique d'analyser des flux qui pourrait être tripatouillé et être dangereux.

Fausse bonne idée : le positionnement sur un firewall est MAUVAIS, la compétence nécessaire est au delà de la mienne (et sans doute au delà de la votre), le temps nécessaire pour que cela ait du sens est très au delà du mien !

A oublier ...


NB : La mise en oeuvre d'un IDS suppose d'abord de la compétence qui s'acquiert, d'abord, par la lecture approfondie de la doc. Visiblement vous n'avez pas encore bien lu celle-ci ni parcouru suffisamment le forum : nous avons déjà répété cela depuis bien longtemps.