Firewall LAN et WAN
-
Bonjour,
PfSense 2.2.6
Je suis un peu (ou beaucoup) confus par rapport à la mise des règles firewall … et l'utilisation de WAN plutôt que LAN.
En effet, je ne comprends pas vraiment quand est-ce qu'on doit mettre une règle dans WAN et quand est-ce qu'on la met dans LANVoilà ce que j'ai dans les règles firewall LAN
En tout premier lieu :
LAN (Anti Lock out Rule)
Type Pass - Proto * - Source * - Port * - Destination LAN ADRESS - Port 443, 80, 22 - Gateway *Puis viennent les autres pass et autres block
A la fin-1 (Default allow LAN to any)
LAN
Type Pass - Proto * - Source * - Port * - Destination * - Port * - Gateway *A la fin
LAN
Type Block - Proto * - Source * - Port * - Destination * - Port * - Gateway *Si je change l'avant dernière règle par l'une des suivantes
A la fin-1 (Default allow LAN to any)
LAN
Type Pass - Proto * - Source * - Port 80 - Destination * - Port * - Gateway *
ou
Type Pass - Proto * - Source * - Port * - Destination * - Port 80 - Gateway *
ou
Type Pass - Proto * - Source * - Port 80 - Destination * - Port 80 - Gateway *Je n'ai accès qu'aux sites web locaux (même FAI), pas les internationaux
Voilà ce que j'ai dans les Firewall WAN
Dans les premières lignes : des autorisations spécifiques pour l'utilisation des ports 25 et autres accès à nos serveurs via des ports spécifiques
A la fin de la ligne
WAN (Block all)
Type Block - Proto * - Source * - Port * - Destination * - Port * - Gateway *=================
Mon souhait c'est de mettre une règle qui permet d'utiliser le port 80 et 443 pour consulter les sites web, mais bloquer tous les autres ports non autorisés par règle firewall (donc règles dans les lignes supérieures), l'utilisateur étant en interne (LAN). En effet, ces ports sont utilisés par les TOR, TOrrent etc …
Sachant que tous les ports utilisés sont considérés comme identifiés et mis en "PASS" dans les règles.
Que me conseillez vous ?
-
Salut salut
Bon on va essayer de tout débrouiller et autant que possible être simple claire et concis.
Un pare-feu de base à une interface d'entrée (lan ou réseau interne) et une de sortie (wan qui elle bloc les accès de puis extérieure).
Les règles sur le lan permettre l'accès vers tous les autres réseaux ou en direction de tous les autres réseaux.
Par défaut si vous ne vous trompé pas dans vos branchement physique, c'est par le réseaux lan que vous administrez et passez pour surfer vers l'extérieur (internet entre autre)
Les règles sur le wan (l'extérieur) sont la pour empêcher qui conque de rentrer dans votre réseau interne, elles sont à ne pas toucher où en sachant ce que vous faites qui au vu de votre poste pas votre cas, mais peu être plus tard un jour.Donc on va faire un petit schéma
internet (votre box ou modem) ===== (réseau wan) pfsense (réseau lan) === réseau internet ou lan, + vos pc connectés en filaire)
Pour mieux appréhender le concept d'un pare-feu/router vous avez pas mal de site web et de littérature qui traitent du sujet.
Entre autre ;
excellent site http://irp.nain-t.net/doku.php qui est si vous auriez mieux regarde le haut du topic en stick présent ici https://forum.pfsense.org/index.php?topic=69908.0
Il intègre aussi beaucoup d'autres concepts réseaux qui sont les bases du réseaux et des bonnes pratiques.Je note que vous avez chercher à respecter la consigne du bien poster pour avoir une réponse, c'est pourquoi je vous apporte un début de réponse, maintenant je vous invite à travailler plus votre recherche et assimilation des concepts réseaux et enfin de faire vos test avec pfsense, qui est un produit assez puissant et fascinant.
Cordialement.
-
C'est en fait assez simple: la règle s'applique sur l'interface sur laquelle s'initie la connexion.
Donc pour un flux sortant, c'est à dire du LAN vers le WAN, la règle s'applique sur l'interface LAN
Pour un flux entrant, c'est à dire du WAN avers le LAN, la règle s'applique sur l'interface WAN.Ensuite, il faut, au niveau du contenu de la règle, avoir une compréhension au moins basique du protocole: pour du web "standard", le port de destination est généralement 80, mais il n'y a pas de supposition sur le port source. Si tu mets 80 dans le port source, ça ne va pas fonctionner.
Ce qui m'intrigue dans ton message, c'est cette phrase:
Voilà ce que j'ai dans les Firewall WAN
Que veux-tu dire pas là ?
Pour répondre à ta question:
- crée un alias (par exemple "web") avec les ports 80 et 443 puis ajoute une règle, sur l'interface LAN, qui autorise cet alias en port de destination
- il faut par contre supprimer la règle qui autorise "tout" en sortie ;)
-
Merci pour les réponses claires et concises
WAN = Filtrage du flux entrant
LAN = Fitrage des flux interne et flux sortantJe vais essayer avec les alias de ports,