Recherche tuto PFSense

Recherche tuto PFSense - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 22-01-2008 à 15:28:50    

Slt,
Je recherche un tuto pour configurer PFSense, s'il vous plaît.
Je sais bien que Google est mon ami ... mais là ... pas vraiment !
Si c'est en anglais, ce n'est pas un pb.
Merci par avance de votre aide.
@+
Pat

Reply

Marsh Posté le 22-01-2008 à 15:28:50   

Reply

Marsh Posté le 28-01-2008 à 23:10:58    

lut,
c'est vaste comme question...
et les tuto dans ce domaine sa cours pas nomplus les rues, sachant que son implementation depend de ton infra
Si cela concerne la conf de pf je peut peut etre t'aider
+


---------------
Puffy with PF is beautifull great system ^^, i love :-
Reply

Marsh Posté le 29-01-2008 à 07:18:54    

Slt newixz,
Merci de ta réponse.
Je suis en stage et je dois configurer PFSense dans la config suivante :
1 WAN
1 LAN
1 DMZ
J'ai mis les paquets Squid, SquiqGuard et Snort (pb pour le configurer).
Le but est de mettre en place des règles : exclusion de certains sites à définir, certains ports, etc ...
En fait, ce que je recherche : une méthode de config de PFSense et de ses paquets.
Je suis un peu perdu dans toutes les configs de PFSense, je l'avoue.
 
Pour expérimenter PFSense, j'ai mis sous VMWareWorkstation 6, un XP PRO qui me sert de test et c'est là que j'ai mis ma console PFSense et un PFSense en virtuel aussi.
Les deux machines sont reliées en réseau interne virtuel.
L'autre côté de PFSense virtuel est bridgé sur ma vraie carte Ethernet qui est relée à internet.
La vraie machine est un XP Pro.
Le LAN est donc entre le XP Pro et le PFSense virtuels.
Le WAN est du côté de la liaison avec le bridge côté carte réelle.
Pour l'instant je n'ai pas configuré le côté DMZ. Donc pas LAN2 ou Opt1.
 
Bon, j'espère avoir été clair ...!
 
Si tu as un livre à me conseiller, merci aussi par avance, newixz.
 
A te lire,

Reply

Marsh Posté le 29-01-2008 à 08:44:38    

Salut,
 
desolé de t'arreter de suite, j'ai fais un post :  
http://forum.hardware.fr/hfr/syste [...] 2407_1.htm
ou j'explique que mon bsd avec pf me pose probleme avec carp.
donc avec je PF je ne sais ci cela donctionne bien. je te conseil si tu en as la possibilité de monter une becane phusique pour ce genre de taf.
 
pour pf :
ex de conf (basic):

Code :
  1. #       $OpenBSD: pf.conf
  2. #
  3. ext_if="nfe0"
  4. int_if="re0"
  5. dmz_if="re1"
  6. tcp_services = "{ 22, 53, 80, 139, 389, 445, 515, 3306, 27015, 27030 }"
  7. # type de signaux icmp acceptés
  8. icmp_types = "{ echoreq, echoreq, timex, unreach }"   
  9. #table <spamd-white> persist
  10. NameServer = "{ 192.168.1.1 }"
  11.    IntNet = "192.168.0.0/24"
  12.    NoRoute = "{ 127.0.0.1/8, 172.16.0.0/12, 255.255.255.255/32 }"
  13. set optimization aggressive       
  14. set loginterface $ext_if           
  15. #-------------------------------------------------------------------------
  16. # Normalize
  17. #-------------------------------------------------------------------------
  18. #
  19. scrub in all
  20. #
  21. #-------------------------------------------------------------------------
  22. # NAT et redirections
  23. #-------------------------------------------------------------------------
  24. set timeout interval 10
  25. set timeout frag 30
  26. set loginterface nfe0
  27. set limit { states 20000, frags 20000 }
  28. set optimization conservative
  29. nat on $ext_if from $int_if:network to any -> ($ext_if)
  30. pass out all
  31. block in log on $ext_if all
  32. block quick inet6
  33. pass on lo0 all
  34. pass in on $ext_if inet proto { tcp udp } from any to $int_if port $tcp_services
  35. pass in on $ext_if inet proto icmp from any to $ext_if icmp-type $icmp_types keep state
  36. pass in  on $int_if from $int_if:network to any keep state
  37. pass out on $int_if from any to $int_if:network keep state
  38. pass out on $ext_if proto { tcp udp icmp } all modulate state


 
Par default on bloque tt avec une regle , et on ouvre juste les flux necessaire via les :
"pass in on $ext_if inet proto { tcp udp } from any to $int_if port $tcp_services"
par exemple. apres il ya a encore plein de chose a eventuelleme,t mettre en place, altq, scrub, etc...
le site de pf est super bien fais et en francais.
http://www.openbsd.org/faq/pf/fr/
 
Voila
+


Message édité par newixz le 29-01-2008 à 08:45:41

---------------
Puffy with PF is beautifull great system ^^, i love :-
Reply

Marsh Posté le 29-01-2008 à 09:49:04    

Slt,
Merci pour tout.
Question bête ... où pourrai-je trouver pf.conf ?
J'ai pris l'option 8 de PFSense pour chercher mais pas trouvé.
 
Non, pas possible de mettre sur une bécanne réelle.
 
Désolé de te redemander un truc.
+
Pat

Reply

Marsh Posté le 29-01-2008 à 20:29:19    

aucun prob
tu n'aura jamais de pf.conf detaillé et complet sur le net
de 1 ca ce partage pas (c'est des regles FW..) et de deux chaque infra et tt les flux ou services sont egalement different.
Il te "suffit" de creer de bonne regles de base que tu utilise avec des macros.

Code :
  1. tcp_dmz_to_wan = "{ 21, 80, 443 }"
  2. dmz_net = "{ 172.0.0.0/16 }"
  3. pass out on $ext_if inet proto tcp from $ext_if to any port $tcp_dmz_to_wan
  4. pass in on $int_if inet proto tcp from $dmz_net to any port $tcp_dmz_to_wan
  5. #################
  6. rdr on $ext_if inet proto tcp from any to x.x.x.x port 25 -> $srv_mail port 25


si tu veux reouvrir un port , tu le rajoute juste dans la liste et c'est bon par ex,
Mais bon il y a pas mal de boulot la dessus, pour ma part ca fais 2mois que je fais que ca, et aujourd'hui j'apprend encore plein de truc avec pf, c'est une petite usine a gaz.
ex : redirection de flux via os fingerprint, stateful sur UDP et ICMP !! la  il y en a qui vont pas le croire ^^ mais ca marche... meme trés bien.... meme vraiment tres bien... good BSD ^^
 
tiens qqliens .  
http://www.openbsd-edu.net/old/pf.htm
http://www.kernel-panic.it/openbsd/carp/


Message édité par newixz le 29-01-2008 à 20:33:38

---------------
Puffy with PF is beautifull great system ^^, i love :-
Reply

Marsh Posté le 30-01-2008 à 07:03:19    

Slt newixz,
Merci.
Je croyais que pf.conf était un fichier, comme resolv.conf par exemple.
Bon, je me suis planté !  ;-)
Je comprends que cela ne se partage pas et que c'est à adapter à chaque cas.
Merci pour tes liens.
Cela commence à rentrer mais tu as raison, c'est un sacré travail.
PFSense est bien complet, il ya du paramètrage partout !
Le tout étant de ne pas se disperser et d'y aller avec méthode.
Tes conseils et infos vont m'être très utiles.
J'y retourne à fond !!
Encore tous mes remerciements !!!
+
Pat

Reply

Marsh Posté le 30-01-2008 à 20:39:12    

Mais derien,
 
Ps: j'ai dis ou que c'etais pas un fichier ?? lol
depuis que IPF est devenu PF il y a plus que une fichier pour tt
(filtrage, nat etc... qui est pf.conf)
 
Tu ne t'etais pas planté :)
si vraiment tu galere dis moi ce que tu as besoin jpourrais tetre t'aider  un peu ^^
+


---------------
Puffy with PF is beautifull great system ^^, i love :-
Reply

Marsh Posté le 30-01-2008 à 20:51:03    

OK newixz !!!
Tu ne m'as jamais dit que ce n'était pas un fichier !!!
Je suis un peu dans la lune ...!
J'ai été sur tes liens, c'est vraiment bien !
J'apprends pas mal.
OK pour ta proposition.
J'avance et si je coince, je refais surface !
A moi de m'investir avant d'appeler à l'aide.
... et puis je sais où se trouve le fichier pf.conf   ;-)
Merci encore.
C'est sympa.
+
Pat

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed