Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfsense configuration

    Français
    3
    9
    451
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      Chance6216
      last edited by

      Salut la communauté
      J'aimerais mettre en place pfsense dans notre entreprise. La fibre de notre FAI est venue directement sur un pare feu huawei qui alimente ensuite le routeur. Le routeur à son tour alimente le switch core qui dispose de plusieurs ports dont l'un est en mode trunk et autorise les autres vlans.
      Maintenant j'ai installé pfsense sur un serveur qui a deux cartes réseaux (LAN et le WAN). J'ai le WAN sur le pare feu huawai (pour lequel j'ai fixé l"adresse à 192.168.110.2/24 (avec passerelle 192.168.110.1)) et le LAN sur le port du switch en mode trunk. (J'ai fixé également l'adresse à 10.10.10.100/23 (car c'est le vlan 10 qui est configuré sur ce port. J'ai également configuré les vlans 20, 30 et 99 dans mon pfsense avec le LAN. J'ai obtenu les adresses suivantes : 10.10.20.159 ; 10.10.30.54 ; 10.10.99.153. Ces vlans sont tous autorisés sur le port où est branché le LAN. Maintenant je mets en place des règles pour bloquer un site spécifique dans le réseau ça ne marche. Même pour bloquer un ping par exemple d'une adresse ip à une autre dans le réseau ça ne marche pas. Je ne sais pas si j'ai mal fait les configurations. Aidez moi s'il vous plaît.Capture d'écran 2024-05-21 150731.png

      J 1 Reply Last reply Reply Quote 0
      • stephenw10S stephenw10 moved this topic from General pfSense Questions on
      • J
        Jarhead @Chance6216
        last edited by

        @Chance6216 Premièrement, tous les VLAN fonctionnent-ils ? Cela signifie-t-il qu'ils ont accès à Internet, les appareils qu'ils contiennent reçoivent-ils des adresses IP, tous les appareils peuvent-ils envoyer une requête ping à leurs passerelles respectives, etc. ?
        Ensuite, gardez à l'esprit que pfSense est un pare-feu avec état, donc si vous avez un ping constant, créez une règle pour bloquer le ping, le ping continuera jusqu'à ce que l'état existant expire.
        Deuxièmement, publiez vos règles de pare-feu, incluez l'en-tête sur chaque interface pour indiquer sur quelle interface se trouvent les règles. Les gens semblent ne pas savoir sur quelle interface se déroule une règle.

        C 1 Reply Last reply Reply Quote 0
        • C
          Chance6216 @Jarhead
          last edited by

          @Jarhead Pour votre première question : oui tout marche.
          Pour la deuxième question j'ai pris l'exemple d'une règle qui bloque le ping d'une machine à une autre dans le réseau donc j'ai juste pris les adresses ip des deux machines pour pouvoir bloquer le ping. J'ai joint la photo de la règle2.png

          C 1 Reply Last reply Reply Quote 0
          • C
            Chance6216 @Chance6216
            last edited by

            @Chance6216 C'est sur le LAN

            J 1 Reply Last reply Reply Quote 0
            • J
              Jarhead @Chance6216
              last edited by

              @Chance6216 Je ne comprends pas vraiment votre adressage IP, mais je suppose que tous les sous-réseaux sont /23, n'est-ce pas ?
              Quoi qu'il en soit, 10.10.21.180 n'est pas sur l'interface LAN, il ne peut donc pas être une source sur l'interface LAN.
              Cette règle devrait être sur OPT1.
              Les règles sont évaluées lorsqu'elles entrent dans l'interface de ce sous-réseau.
              Donc, si vous souhaitez empêcher OPT1 d'accéder au LAN, la règle s'applique à OPT1.
              Si vous souhaitez empêcher le réseau local d'accéder à OPT1, la règle s'applique à l'interface LAN.
              De plus, les deux adresses IP de cette règle se trouveraient sur le même sous-réseau. Le pare-feu ne verra pas ce trafic car il s'agit de la couche 2. Il ne passera que par votre commutateur.
              Vouliez-vous peut-être définir l'adresse IP source 10.10.10.180 ?

              C 1 Reply Last reply Reply Quote 0
              • C
                Chance6216 @Jarhead
                last edited by

                @Jarhead D'accord j'ai compris merci beaucoup. Mais j'ai modifié la règle maintenant. J'ai bloqué le ping de 10.10.20.95 vers 10.10.99.39. Donc je l'ai fait sur l'interface OPT1. Mais ça n'a toujours pas fonctionné.3.png

                J 1 Reply Last reply Reply Quote 0
                • J
                  Jarhead @Chance6216
                  last edited by

                  @Chance6216 Je ne comprends toujours pas votre schéma d'adressage. Pourquoi des adresses aussi arbitraires ?

                  Les interfaces pfSense sont les passerelles pour tous les VLAN, n'est-ce pas ?

                  Vous avez attendu la fermeture des États existants avant de tester, n'est-ce pas ?

                  Modifiez la règle de ping en source : any, destination : any, puis essayez d'effectuer un ping depuis un périphérique OPT1 vers un autre VLAN. Est-ce que ça échoue ?

                  1 Reply Last reply Reply Quote 0
                  • P
                    Pandora88
                    last edited by

                    Bonjour,

                    J'ai fais quelques recherches, je ne sais pas du tout ce que ca vaut.. voici ce que j'ai trouvé.

                    1. Vérification des Interfaces et VLANs
                      Interfaces : Assurez-vous que vos interfaces sont correctement configurées avec les bonnes adresses IP et les bons VLANs.

                       WAN : 192.168.110.2/24 avec passerelle 192.168.110.1
 LAN : 10.10.10.100/23 (VLAN 10)
 OPT1 : 10.10.20.159 (VLAN 20)
 OPT2 : 10.10.30.54 (VLAN 30)
 OPT3 : 10.10.99.163 (VLAN 99)

                    2. Vérification des VLANs

                      Assurez-vous que les VLANs sont correctement configurés sur pfSense et sur le switch.
                      Dans pfSense, allez dans Interfaces > Assignments > VLANs et vérifiez que les VLANs 10, 20, 30, et 99 sont correctement créés et assignés à la bonne interface physique.
                      Sur le switch, vérifiez que le port connecté à pfSense est en mode trunk et autorise les VLANs nécessaires.

                    3. Règles de Pare-feu

                      Règles LAN : Allez dans Firewall > Rules > LAN et ajoutez des règles pour autoriser ou bloquer le trafic selon vos besoins.
                      Pour bloquer un site spécifique, ajoutez une règle de type "Block" avec l'adresse IP ou le domaine du site.
                      Pour bloquer le ping, ajoutez une règle de type "Block" pour le protocole ICMP.

                      Règles des autres interfaces (OPT1, OPT2, OPT3) : Faites de même pour chaque interface VLAN. Assurez-vous que les règles sont configurées pour autoriser ou bloquer le trafic selon les besoins de chaque VLAN.

                    4. Vérification du NAT

                      Allez dans Firewall > NAT > Outbound et vérifiez que le NAT est correctement configuré.
                      Pour la plupart des configurations, le mode "Automatic outbound NAT rule generation" fonctionne bien, mais si vous avez des besoins spécifiques, vous pourriez avoir besoin de règles NAT manuelles.

                    5. Configuration des DNS

                      Assurez-vous que les serveurs DNS sont correctement configurés dans System > General Setup.
                      Vous avez plusieurs serveurs DNS configurés. Assurez-vous qu'ils sont accessibles et fonctionnent correctement.

                    6. Vérification du Journal de Pare-feu

                      Allez dans Status > System Logs > Firewall pour vérifier les logs du pare-feu.
                      Cela vous aidera à identifier si les règles que vous avez mises en place sont effectivement appliquées et si elles bloquent ou autorisent correctement le trafic.

                    7. Tests de Connectivité

                      Ping : Depuis un poste de travail, essayez de pinguer différentes adresses IP pour vérifier la connectivité et l'application des règles ICMP.
                      Site Web : Essayez d'accéder au site web que vous souhaitez bloquer pour vérifier si la règle fonctionne.

                    Exemples de Règles de Pare-feu
                    Bloquer un site spécifique

                    Allez dans Firewall > Aliases et créez un alias pour le site à bloquer (par exemple, Blocked_Sites).
Allez dans Firewall > Rules > LAN et ajoutez une règle :
    Action : Block
    Interface : LAN
    Source : Any
    Destination : Single host or alias, puis choisissez Blocked_Sites
    Description : Bloquer l'accès à [nom du site]

                    Bloquer le ping

                    Allez dans Firewall > Rules > LAN et ajoutez une règle :
    Action : Block
    Interface : LAN
    Protocol : ICMP
    Source : Any
    Destination : Any
    Description : Bloquer les requêtes ICMP (ping)

                    Bonne chance!

                    C 1 Reply Last reply Reply Quote 0
                    • C
                      Chance6216 @Pandora88
                      last edited by

                      @Pandora88 Merci beaucoup je vais essayer

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post