Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1627 connectés 

 



 Mot :   Pseudo :  
 
 Page :   1  2  3
Page Suivante
Auteur Sujet :

Firewall avec DPI gratuit - Conseil/feedback : pfsense,sophos etc

n°1088662
dafunky
Posté le 07-09-2019 à 18:18:12  profilanswer
 

Reprise du message précédent :
Alors j'y suis allé un peu cash, j'ai mis sophos en bridge et j'ai tout mon LAN derrière désormais. Le problème, c'est que j'ai traefik qui ne peut plus faire son boulot de reverse proxy, et plus rien ne répond, que ce soit en local ou de l'extérieur, quand j'utilise les noms dns de mes applis. Je fais comment?
 
- je mets tous mes serveurs sur le 3ème port ethernet (actuellement inutilisé) de sophos et je déclare une DMZ
- je crée une règle qui permet à traefik de faire son buolot
 
Dans tous les cas, je ne comprends pas exactement sur quel critère traefik est bloqué et donc de quelle manière je vais résoudre ça.


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
mood
Publicité
Posté le 07-09-2019 à 18:18:12  profilanswer
 

n°1088667
dafunky
Posté le 07-09-2019 à 19:08:16  profilanswer
 

Alors j'y suis allé un peu cash, j'ai mis sophos en bridge et j'ai tout mon LAN derrière désormais. Le problème, c'est que j'ai traefik qui ne peut plus faire son boulot de reverse proxy, et plus rien ne répond, que ce soit en local ou de l'extérieur, quand j'utilise les noms dns de mes applis. Je fais comment?
 
- je mets tous mes serveurs sur le 3ème port ethernet (actuellement inutilisé) de sophos et je déclare une DMZ
- je crée une règle qui permet à traefik de faire son buolot
 
Dans tous les cas, je ne comprends pas exactement sur quel critère traefik est bloqué et donc de quelle manière je vais résoudre ça.
 
EDIT : je viens de brancher mes deux serveurs sur la 3ème interface "DMZ" sur sophos. Le problème c'est que je ne parviens pas à pinguer ces serveurs depuis le LAN. J'ai essayé de créer des règles permissives, mais je n'ai pas dû faire ça correctement.


Message édité par dafunky le 07-09-2019 à 19:09:29

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1088674
webmail-75​000
Posté le 07-09-2019 à 20:37:53  profilanswer
 

dans le sophos il y a une option pour les webserver  
https://community.sophos.com/kb/en-us/120388


---------------
Et la mer apportera à chaque homme des raisons d'espérer comme le sommeil apporte son cortège de rêves...
n°1088685
webmail-75​000
Posté le 07-09-2019 à 22:30:25  profilanswer
 

pour vos firewall je vends le barebone qui a accueilli mon Sophos UTM durant 2 ans
https://www.2ememain.be/plaats/m145 [...] mympSeller
Prix discutable si c'est sur HFR ;)


---------------
Et la mer apportera à chaque homme des raisons d'espérer comme le sommeil apporte son cortège de rêves...
n°1088695
dafunky
Posté le 08-09-2019 à 01:57:52  profilanswer
 

La page en lien est privée, non accessible. Merci pour le lien vers webserver.
Sinon j'ai l'ado qui est venu me dire que le DHCP ne fonctionnait plus, j'ai dû ajouter deux règles et ajouter un IP Serveur pour que ça fonctionne à nouveau. Sophos est en mode bridge pour le moment.


Message édité par dafunky le 08-09-2019 à 01:59:22

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1088711
webmail-75​000
Posté le 08-09-2019 à 11:34:30  profilanswer
 

yep bien vu
https://www.2ememain.be/a/informati [...] ousPage=lr
 
le sophos est en bridge ou c'est la box qui l'est?


---------------
Et la mer apportera à chaque homme des raisons d'espérer comme le sommeil apporte son cortège de rêves...
n°1088741
dafunky
Posté le 08-09-2019 à 19:49:39  profilanswer
 

Pour mémoire, voici le tuto pour laisser passer les requêtes DHCP vers le routeur quand SOphos est en bridge comme chez moi :  
 
https://community.sophos.com/kb/en-us/122983
 
Et voici comment configurer un serveur web situé dans le LAN pour qu'il soit accessible depuis l'extérieur :  
 
https://community.sophos.com/kb/en-us/126470


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1088744
dafunky
Posté le 08-09-2019 à 20:06:06  profilanswer
 

Au sujet du tuto DHCP, je pense qu'il est foireux. Pour commencer, ils demandent de créer une règle WAN to LAN , puis LAN to WAN, sauf que chaque fois ils utilisent le même nom de règle : en pratique ce n'est pas permis. ça c'est un détail.  
Par contre autre chose plus gênante, au bout de 24h tout le trafic LAN to WAN passe par cette règle, au vu du volume de données associé :  
 
http://image.prntscr.com/image/B_1QyCjXRDemkrlWasg7xA.png
 
J'ai beau être totalement noob, quand je crée une règle de ce type sans aucun filtre, ça veut dire open bar. Du coup j'ai rajouté cette option, et ça a l'air de fonctionner, on verra si la data transite par là.
 
http://image.prntscr.com/image/l9Io1D3WQTm3QR5LVj_cmw.png


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1088768
dafunky
Posté le 09-09-2019 à 08:01:06  profilanswer
 

Bon, les rapports de Sophos sont intéressants. J'ai un appareil wifi qui esssaie de se connecter régulièrement à mon serveur mutualisé OVH en FTP sans succès (FTP login fail). Par contre j'ai mis une heure à retrouver quel appareil c'est. Avec Sophos je n'ai que l'IP source/destination, puis avec mon point d'accès ubiquiti j'ai trouvé la MAC et j'ai déduit que c'était un appareil wifi. Pour OVH j'ai fait un reverse DNS. Sophos ne pourrait pas me faciliter le boulot de reverse DNS? Je n'ai pas tout exploré encore, je demande.
 
http://image.prntscr.com/image/LHJf36cjSYmiYh9g8IRNSA.png
 
 
EDIT : du coup c'est peut être pour ça que je n'arrive plus à le logguer à mon FTP OVH depuis un an, mon IP doit être blacklistée  [:madame_de_galles:5]


Message édité par dafunky le 09-09-2019 à 08:08:59

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1089203
dafunky
Posté le 12-09-2019 à 02:21:27  profilanswer
 

Donc fin heureuse pour mon histoire de FTP ovh qui était inaccessible depuis 1 an, c'était bien la caméra qui essayait de s'y connecter pour pousser des images, en boucle, avec de mauvais ID/MDP. Du coup mon IP était blacklistée. Merci sophos pour avoir mis ça en évidence.
 
Bon, grâce à l'aide de Delivereath j'ai réussi à réactiver l'accès à mes apps web depuis l'extérieur, merci à lui.
Maintenant j'aimerais bien que Sophos soit le serveur DHCP de mon réseau. Dans le tuto suivant, je lis ça :
 
"Note: These DHCP server configurations can only be done in Gateway Mode or Mixed Mode."
 
Je suis en bridge mode, je ne trouve pas comment basculer en mixed mode, et d'autre part j'ai bien les menus pour configurer un DHCP... Quand j'aurai un moment je testerai. ça prendra un peu de temps, j'ai une vingtaine d'appareils pour lesquels je dois réserver un bail.


Message édité par dafunky le 12-09-2019 à 02:23:15

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
mood
Publicité
Posté le 12-09-2019 à 02:21:27  profilanswer
 

n°1090548
dafunky
Posté le 23-09-2019 à 23:28:20  profilanswer
 

J'ai un comportement étrange de sophos, en bleu l'usage CPU sur 48H, sachant que c'est comme ça depuis le début :  
 
https://image.prntscr.com/image/x-ww1ATIQBmOAZgYbi5zKw.png
 
On voit un pic CPU à 10% pendant une heure puis repos, puis rebelote, etc.


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1090563
webmail-75​000
Posté le 24-09-2019 à 08:06:32  profilanswer
 

une tache cron?


---------------
Et la mer apportera à chaque homme des raisons d'espérer comme le sommeil apporte son cortège de rêves...
n°1090564
dafunky
Posté le 24-09-2019 à 08:18:38  profilanswer
 

Sachant que c'est une image sophos toute neuve, j'ai du mal à imaginer un cron qui travaille à 50 % du temps sur un cpu ryzen.

 

Par contre les 10 % de consommation CPU mesurés sur la machine virtuelle sophos, ne se voient pas au global sur la conso du CPU, sur le graphique des cpu host, no sur la conso en watt. Pour le moment je ne m'inquiète pas plus, donc.


Message édité par dafunky le 24-09-2019 à 08:19:34

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1091316
Kyjja
Paye la dîme.
Posté le 28-09-2019 à 20:38:18  profilanswer
 
n°1092535
dafunky
Posté le 09-10-2019 à 11:37:40  profilanswer
 

Bon, je suis à deux doigts de ragequit.
 
Proxmox   [:yann39]  
Sophos XG en mode bridge [:yann39]  
Docker installé sur le host proxmox  [:yann39]  
Reverse proxy Traeffik  sur docker [:yann39]  
Faire fonctionner ensemble sophos + traeffik pour accéder à mes applis depuis l'extérieur  [:judgedredd:2]  
 
1 - Si j'ai Docker + Traefik sur le host proxmox mais Sophos est shunté (= retiré du réseau), j'accède à mes serveurs web depuis l'extérieur grâce à Traefik  [:yann39]  
2 - Si j'ai Docker + Traefik sur une autre machine que proxmox + Sophos actif, impossible d'accéder à mes serveurs web depuis l'extérieur via Traefik  [:yann39]  
 
En gros pas moyen de trouver ce qui cloche dans les flux. Je sais que docker a modifié les iptables du host proxmox, du coup j'ai dû rajouter une règle pour réactiver le réseau vers les VM et LXD sinon c'était bloqué.  
Quand je lance des analyses de flux réseau depuis sophos, je ne vois rien passer de consistant en direction de traeffik, hormis des erreurs "Bad TCP Checksum" aléatoires.  
 
Bref, je sens que je vais installer docker sur une VM sur proxmox, comme préconisé ici ou là. En espérant que ça règle le souci.


---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
n°1092545
depart
Posté le 09-10-2019 à 13:08:02  profilanswer
 

C'est ce que j'allais te conseiller, teste docker dans une VM ou un conteneur (mais pour commencer c'est probablement plus efficace dans une VM car je sais que certaines applis qui touchent un peu au réseau peuvent avoir du mal à passer dans un lxc)

n°1092588
LibreArbit​re
Radicalement modéré
Posté le 09-10-2019 à 16:29:46  profilanswer
 

J'ai essayé aussi de mettre Docker sur mon host Proxmox et ça a fini aussi dans une VM...


---------------
Hebergement d'images | Le topic de la VR standalone
n°1094965
dafunky
Posté le 28-10-2019 à 15:33:28  profilanswer
 

J'ai rajouté en PP un petit retour d'expérience après 5 semaines, c'est positif sur tous les points (voir partie "bilan au 28/10" ). Sinon en ce moment je m'amuse avec la dernière version de grafana et ses jauges vraiment sympathiques.
 
http://image.prntscr.com/image/it-0z0LPTQKUcEAP_ww7HA.png
 
http://image.prntscr.com/image/nbL_1HLuQFq9-klHwbVpYw.png


Message édité par dafunky le 28-10-2019 à 15:34:00

---------------
xPLduino, la domotique DIY deluxe - - - - Sigma 85mm F1.4
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
Configuration PfSenseRouteur MikroTik, routage 1Gb/s
conseils pour reseau domicileutiliser PFsense virtualisée comme routeur
modem 4G avec filtrage adresses mac par horairesSynology - OpenVPN - Routage
Box internet et table de routage ?Routage via Virtualbox
[ Résolu ] Navigation internet PfsenseChoix modem/routeur pour vieux pc/pfsense et interrogations
Plus de sujets relatifs à : Firewall avec DPI gratuit - Conseil/feedback : pfsense,sophos etc


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR