Provya

Sécurité et téléphonie

Articles & Tutoriaux  -  Sommaire des articles  -  Liens & Actualités

# - @ - Guillaume - 14/09/2020 à 21:06:58

@FanPfsense :
Bonjour,

Oui, tout à fait.

Cordialement,

Guillaume
--
Provya

# - @ - Guillaume - 14/09/2020 à 17:43:33

@abdou :
Bonjour Abdou,

Je vois deux problèmes potentiels avec cette approche qui peuvent expliqués le soucis que vous rencontrez :

- Il faut modifier la valeur du champ "Skew" pour vos adresses IP virtuelles. Si le pfSense A et le pfSense B ont, pour leurs adresse IP virtuelles, la même valeur de Skew, les deux se penseront Primaire (Master) en même-temps.
- Il faut personnaliser les adresses IP propres à chaque pfSense ; il ne faut pas que le pfSense A et le pfSense B aient la même adresse IP sur leur interface LAN, par exemple.

Cordialement,

Guillaume
--
Provya

# - @ - abdou - 14/09/2020 à 17:20:33

bonjour
est ce que c'est possible de copier la configuration d'un pfsense A a une autre machine pfsense B?
j'ai essayer, mais quand j'ai copié la configuration dans le pfsense B , le redémarrage a coincé au niveau des interfaces WAN et LAN (link state changed to UP /Down),

Je vous remercie d'avance.

# - @ - FanPfsense - 14/09/2020 à 16:27:28

merci pour cet article intéressant, fonctionnel et très bien expliqué.

petite question : est-il possible de d'ouvrir un port ipv6 avec cette technique ?
par ex : serveur web accessible en ipv6 avec l'ipv6 de tunnelbroker ?

merci

# - @ - Julian - 25/08/2020 à 11:44:24

Hello,

Fail2ban est indispensable, oui, mille fois oui. Je ne comprends pas pourquoi par contre il y en a qui s'obstinent à ne parler que de SSH avec Fail2ban. Oui, il existe des filtres SSH avec f2b, mais ce n'est qu'une goutte d'eau dans l'océan. Et j'ai presque envie de dire qu'avec une configuration de sshd réellement propre (auth RSA avec limitation @host, plus règle FW), Fail2ban n'est même pas utile.
Fail2ban, c'est avant tout la garantie de pouvoir générer des règles à partir de puissantes regex pour n'importe quelle log, et c'est génial.

Me concernant, une de mes fonction est gérer un ERP vieillissant, en PHP, je n'ai pas les ressources pour le mettre à niveau, je corrige tout ce que je trouve (sqli, xss, etc..), je passe un maximum de chose de _mysql à PDO filtré, mais ça ne suffit pas, il peut y avoir des oublis. Fail2ban me rend ici un service immense en filtrant mes logs nginx et dès qu'une tentative d'injection SQL est détectée (du moins les plus courantes), boom, c'est le ban.
Idem pour toutes les requêtes un peu trop chelou, les appels à des pages/scripts inexistants.

Rien que pour que ce type d'utilisation, fail2ban fait un boulot extra. Je l'ai couplé avec plein d'outils. Alors évidemment, avant de mettre fail2ban, il faut avoir une configuration propre de base, bien maîtriser l'ensemble et la portée des paramètres utilisés, faire du hardening, mettre en place des règles FW propre, puis, seulement, rajouter la couche Fail2ban.

Fail2ban ne doit en revanche jamais être considéré comme un pansement pour ceux qui ne veulent pas se casser la tête à faire du hardenning.

# - @ - Autourdupc - 20/08/2020 à 09:45:06

J'utilise Fail2ban + pfsense...

J'héberge un serveur asterisk "ouvert" sur le port 5060 car je dois pouvoir m'y connecter à distance en VoIP via mon smartphone(le nombre de tentatives d'intrusions est phénoménal).
L'usage d'un VPN pour les nomades VoIP n'est pas adapté (décrochages lors de mauvaises conditions de réception, temps de connexion, etc) aussi j'utilise Fail2ban sur mon asterisk en association avec pfblockerNG sur mon pfsense.

En effet, je récupère chaque heure les IP bannies sur mon asterisk que j'injecte dans pfblockerNG ainsi je déporte le blocage sur le pfsense en amont du serveur asterisk (avec drop des paquets).

Cette configuration a l'avantage de pouvoir paramétrer Fail2ban avec des recherches de log sur de courtes durées limitant ainsi l'usage CPU, et de laisser le travail de blocage au pfsense dont c'est le rôle.

pfblockerNG permet de bloquer les IP par pays et/ou par listes noires, et l'association avec Fail2ban permet de filtrer unitairement les IP qui tentent d'entrer.

Avec cette méthode, je n'ai jamais eu aucune intrusion depuis des années d'usage.

# - @ - INFOLOGEEK - 07/07/2020 à 16:12:57

Bonjour Guillaume

Merci pour tes précieux conseils et la doc en français que vous produisez pour la mettre à disposition de tous ! Il est temps de rentrer dans le vif du sujet ... Je regarde de ce côté et je ferais un retour.

Cordialement

Steeve

# - @ - Guillaume - 07/07/2020 à 11:21:38

@INFOLOGEEK :

Bonjour Steeve,

Pour mettre en œuvre de la priorisation de trafic dans un environnement multi-LAN, la configuration est différente que celle présentée dans cet article.
Si l'on souhaite pouvoir "partager" (option borrow) la bande-passante entre différentes files d'attente (queue) il est nécessaire qu'elles partagent la même file parente.
Aussi, la solution est de tout configurer sur l'interface WAN : aussi bien pour le download que pour l'upload.

Pour cela, il faut marquer les paquets en provenance de chaque réseaux locaux en complétant le champ "Tag" (dans les options avancés de vos règles de filtrage), puis de modifier vos règles de floating pour appliquer vos règles de priorisation en fonction de la valeur du champ "Tagged".

La lecture de l'article NAT / filtrage - Comprendre l'ordre des traitements appliqués par pfSense vous permettra de mieux comprendre pourquoi et comment il faut marquer les paquets.

Cordialement,

Guillaume
--
Provya

# - @ - INFOLOGEEK - 01/07/2020 à 13:48:01

Bonjour,

Je veux faire la Qos sur 2 interfaces Lan et 1 interface Wan.

J'ai 200M Fibre Symétrique Garantie.

Je voudrais attribuer:

- qMyCompany prioritaire sur le Lan1: 10M minimum Download/120M Upload qui peut faire du "borrow" sur l'autre queue de l'autre interface ??.

- qAP sur le Lan2: 170M Download/60M Upload

- qAck: 10% de la bande passante total = 20M Download/Upload

Donc j'ai fais comme ceci sur l'onglet By Interface:


WanFibre (Upload)
Enable/Disable: Coché
Scheduler Type: CBQ
Bandwidth: 200M


"Add new Queue"
Enable/Disable: Coché
Queue Name: qMyCompany
Priority: 7
Bandwidth: 120M

Enable/Disable: Coché
Queue Name: qAP
Priority: 2
Bandwidth: 60M

"Add new Queue"
Enable/Disable: Coché
Queue Name: qACK
Priority: 6
Bandwidth: 20M



LAN1 (Download)
Enable/Disable: Coché
Scheduler Type: CBQ
Bandwidth: 200M

"Add new Queue"
Enable/Disable: Coché
Queue Name: qMyCompany
Priority: 7
Bandwidth: 10M
Scheduler option: Coché ( Je ne peux pas faire du borrow sur le LAN2 car partage pas la même RootQueue )

Enable/Disable: Coché
Queue Name: qACK
Priority: 6
Bandwidth: 20M

LAN2 (Download)
Enable/Disable: Coché
Scheduler Type: CBQ
Bandwidth: 200M

"Add new Queue"
Enable/Disable: Coché
Queue Name: qAP
Priority: 2
Bandwidth: 170M

Enable/Disable: Coché
Queue Name: qACK
Priority: 6
Bandwidth: 20M


En fait ce n'est pas très clair !! Pouvez me donner un avis.Ou des liens vers une doc détaillée.

Bien cordialement

Steeve

# - @ - Hadil - 08/06/2020 à 21:00:45

Good