Provya

Sécurité et téléphonie

Articles & Tutoriaux  -  Liens & Actualités

# - @ - Guillaume - 08/11/2019 à 15:50:20

@ananascream :
Bonjour,

Merci pour ton commentaire.

Cordialement,

Guillaume
--
Provya

# - @ - ananascream - 08/11/2019 à 14:59:54

Super ! Merci pour ce tutoriel concernant la config QoS sur PfSense.
Nickel pour moi. Y a deux trois trucs a adapter pour que tout fonctionne mais la ligne directive est parfaite.
Merci à toi !

# - @ - Guillaume - 31/10/2019 à 10:22:43

@betux :
Bonjour,

Il n'y a aucune raison que l'authentification radius (aussi bien en ligne de commande que via pf2ad ou squid) ne fonctionne plus une fois le cluster en place. Il s'agit, peut-être, d'un problème d'outbound NAT.
Avec un outil de capture des flux réseaux (menu Diagnostic > Packet capture côté pfSense), voyez-vous les paquets quitter le pfSense à destination de votre serveur Radius ? Avec quelles adresses IP sources & destinations ? Voyez-vous les paquets de réponses arriver ?

Nul besoin de rediriger l'adresse VIP vers la 127.0.0.1 ;-)

Cordialement,

Guillaume
--
Provya

# - @ - Guillaume - 31/10/2019 à 10:11:49

@Yathus :
Bonjour Yathus,

Non. Il faudra adapter vos règles de priorisation. Notamment parce que l'on définit la bande-passante par interface et dans votre cas, vous aurez deux interfaces internes (LAN data et LAN VoIP).
Dans votre cas, le mieux est d'appliquer un tag sur vos paquets en fonction de leurs origines (LAN data ou LAN VoIP) et d'appliquer vos règles de priorisation uniquement sur l'interface WAN en jouant sur le sens (in ou out) et sur le tag.

Cordialement,

Guillaume
--
Provya

# - @ - Yathus - 29/10/2019 à 07:14:47

Bonjour,

Est ce que si je sépare sur un autre LAN mes telephones VOIP (par un VLAN par exemple) les règles présentées ici s'appliquent correctement ?

Merci !

Yathus

# - @ - betux - 28/10/2019 à 08:45:31

Un grand merci pour votre article notamment pour la configuration des règles d'autres articles sont plus confus ou trop large sur ce qu'il faut ouvrir.

J'ai mis en place le failover, il fonctionne très bien.

En revanche l'authentification radius testé avec la ligne de commande de pfsense ne fonctionne plus.
J'utilise également pf2ad pour l'authentification transparente squid et également HS.

Pour squid j'ai rajouté dans les customs option http_port 192.168.0.254:3128
Et il demande bien une authentification mais rien ne passe.

Je me demande si il ne faudrait pas rediriger le traffic de l'adresse virtuelle vers le 127.0.0.1 du pfsense. En claire je me demande si il ne faut pas une interface physique à squid.

Merci.

NB : du coup j'ai découvert votre materiel je pense que je vais en prendre un ;o)

# - @ - Julian - 09/08/2019 à 16:30:58

Je me sers de fail2ban pour :

- Filtrer tous les accès à mes applications web
- Vérifier qui fait du forcing sur plusieurs autres services
- Je m'en sers également pour parer les attaques les plus "basiques" de type injections SQL, XSS, etc..
- Je m'en sers contre tous les bots ou non, cherchant des accès à des pages admins
- J'ai même une règle qui ban ceux qui génèrent des 403 (ce qui ne devrait jamais arriver, à moins qu'un mec cherche des pages/scripts à la mano..)
- etc..

Je fais d'abord du hardening sur mes confs, je teste et verrouille ça, puis me sert de f2b comme filet de secours et aussi pour pouvoir dresser des stats (avec munin) et éventuellement détecter des activités suspectes (de la prise d'empreinte par exemple).

Il ne faut pas prendre fail2ban comme un outil opérationnel dès qu'il est installé, il faut aller plus loin, ne pas hésiter à jouer avec les regex. C'est de mon point de vue très puissant.

Maintenant, pour protéger un serveur ssh pure et dure, il n'y aucun intérêt, effectivement. Je le laisse par défaut car il ne fait pas de mal (je m'auth en clef RSA), mais je n'aurais que ça à protéger, je n'utiliserais pas f2b.

F2B permet de centraliser une politique pro active de sécurité, je le prends plus comme un framework complet plutôt qu'un bête outils de ban.

# - @ - Guillaume - 29/07/2019 à 14:30:04

@Elrick :
Bonjour,
Oui le failback se fera automatiquement si le lien 1 à une priorité plus forte que le lien 2 (par exemple : lien 1 configuré en "Tier 1" et lien 2 configuré en "Tier 2").

Le failback se fera dès que le lien 1 sera remonté. Par défaut, la vérification se fait toutes les 500 millisecondes.

Cordialement,

Guillaume
--
Provya

# - @ - Elrick - 27/07/2019 à 12:15:55

Bonjour,
Dans le cas du Fail-Over, si le 1er lien WAN tombe et qu'il bascule sur le 2ème, est ce qu'il basculera automatiquement sur le 1er lien à nouveau quand celui-ci sera de nouveau disponible ? Si oui, sous quel délai ?
Merci pour cette précision importante.

# - @ - Cyril - 04/06/2019 à 15:55:23

@Guillaume :

Bonjour Guillaume,

Merci beaucoup pour le temps que vous avez bien voulu me consacrer.

Mon souhait premier est en effet de doubler le débit, mais le problème évoqué par Florent doit aussi pris en compte (c'était mon principal souci lors de mon installation xDSL+Sat).

Encore merci pour votre aide et votre temps. Bien à vous,

Cyril