Fermer port 80 wan

alliass

Bonjour,

je suis en phase de test sur pfsense, je l'ai installé la première phase de configuration se passe sans pb particulié, cependant lorsque j'effectue un nmap sur mon adresse public mon port 80 est ouvert. Je souhaiterais qu'il n'y ait aucun port d'ouvert sur l'interface wan. Quelqu'un pourrait il me dire comment je dois procédé.

J'ai malgré tout créé une rêgle sur l'interface wan :
protocol : any
source : *
port : *
destination :*
port : *

mais rien n'y fait le port 80 restes malgré tout open.

merci d'avance pour l'aide que vous pourrez m'apporter.

ccnet

Et cette règle fait quoi ? Vous avez juste oubliez de nous le dire !
Il y a autre chose que vous ne dites pas. A quoi est connecté votre interface wan, une box (en pont, en routeur ?), un routeur, un modem adsl ?

alliass

Effectivement désolé pour le manque de précision  :(

mon interface wan est connectée sur un routeur SDSL fourni par mon fai.

mon objectifs est de fermer tous les ports de l'interface wan.

en esperant vous avoir apporté un peu plus d'élément

merci à vous

alliass

Je complete un peu plus en fait j'ai un boitier SDSL fourni par FT le routeur FAI et je viens plugger ma machine pfsense sur ce routeur et sur pfsense je lui attribue l'une des ip de ma plage ip.

je sais pas si ces éléments vous permettent d'y voir un peu plus clair.

ccnet

Ok l'adresse ip publique testée est donc bien sur l'interface wan.

Quelle est l'action de la règle : PASS, BLOCK ou REJECT ?
Sur cette règle activez la journalisation et contrôlez ce qui se trouve dans les logs après le test nmap.

alliass

Ok l'adresse ip publique testée est donc bien sur l'interface wan
    –-> Oui

Quelle est l'action de la règle : PASS, BLOCK ou REJECT ?
    ---> BLOCK

Sur cette règle activez la journalisation et contrôlez ce qui se trouve dans les logs après le test nmap.
    --->J'ai donc procédé au nmap, le résultat du nmap me dit que le port 80/tcp est open
    dans pfsense -> System log -> firewall : plusieurs log sont apparuent toutes en action Block cependant dans la colonne destination j'ai cherché mon adresse wan:80 et je ne la vois pas.

ccnet

Comment faites vous votre test ? à quoi, où est connecté la machine qui exécute Nmap ?
Je soupçonne votre test d'être incorrect et donc vos résultats faussés. Vous devriez voir l'ip source de la machine nmap et l'ip tetée dans la colonne destination dans les logs de Pfsense. La colonne If devrait indiquer Wan. Quelque chose ne va pas.

alliass

Effectivement pardonnez moi je ne vous transmet pas toutes les informations. lorsque je fait le nmap ensuite dans l'interface pfsense j'ai les element suivant :

Act : une croix rouge
time : jour et heure
if : wan
source : adresse wan:port ou le nmap a été executé
destination : adresse wan:port de pfsense
proto : tcp.

je pense que mes testes sont correcte mais que je suis pas suffisement précis dans mes réponses je vais tacher d'y remédier.

ccnet

Ok mais où est branchée physiquement la machine nmap et avec quelle ip travaille t  elle ?

destination : adresse wan:port de pfsense

si votre ip sur Wan de pfsense est 213.48.87.25 (fictif bien évidement) nous avons alors dans les logs :
213.48.87.25:80 TCP, c'est bien cela ? l'ip source wan est différente et c'est bien une ip publique hors RFC 1918 ?

alliass

Effectivement j'ai un ecran ressemblant à cela (adresse ficitve)

Act : une croix rouge
time : jour et heure
if : wan
Source : 215.23.32.30:2540
Destination: 217.35.24.50:493 (adresse destination)
Proto : TCP

ccnet

Avec BLOCK le paquet vers le port 80 est purement et simplement mis aux oubliettes et Pfsense ne répond pas. C'est donc le trou noir pour la machine en face. Mais :

Destination: 217.35.24.50:493

que vient faire le port 493 dans l'histoire ? Ce n'est pas le port http. Normalement vous devriez avoir
Destination: 217.35.24.50:80 ou alors ce n'est pas la réponse à votre scan nmap. Ce n'est toujours pas clair.

alliass

que vient faire le port 493 dans l'histoire ? Ce n'est pas le port http. Normalement vous devriez avoir
Destination: 217.35.24.50:80 ou alors ce n'est pas la réponse à votre scan nmap. Ce n'est toujours pas clair

–-> je donnais un exemple.

En restant centré sur le port 80 : je n'ai aucun log lorsque que je fais un nmap wan -p 80
par contre le nmap me dit : 80/tcp - open - http

Si je scan le port 21 : une ligne de log apparait avec en destination l'adresse wan:21 et dans la colonne action la croix rouge.
nmap me retourne : 21/tcp - filtered - tcp

c'est quelques éléments sont il plus clair?

ccnet

Depuis l'interface d'admin de Pfsense pouvez vous aller dans "Diagnostics: Execute command" et dans la rubrique "Execute Shell command" saisir "netstat" et cliquer sur le bouton "execute". Quel est le résultat, pour la partie Active Internet connections ?

Merci d'activer les logs sur toutes les règles (quelles soient pass, block ou reject) que vous avez mis sur toutes les interfaces, puis tester à nouveau.

alliass

$ netstat (j'ai modifier les adresses ip)
Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4      0    564  pfsense.443          192.168.5.2.4640      ESTABLISHED
udp4      0      0  213.87.67.132.13502    arkas.fi.muni.cz.ntp 
udp4      0      0  213.87.67.132.3342    91-121-63-202.ov.ntp 
udp4      0      0  213.87.67.132.59222    services.127001..ntp 
udp4      0      0  213.87.67.132.41529    ns.airbites.bg.ntp   
udp4      0      0  213.87.67.132.35127    zaphod.rfc1149.n.ntp

Merci d'activer les logs sur toutes les règles (quelles soient pass, block ou reject) que vous avez mis sur toutes les interfaces, puis tester à nouveau
–> C'est fait j'ai ajouté  qu'une seule regle pour le moment : sur l'interface wan
protocol : any
source : *
port : *
destination :*
port : *

j'y ai coché la case : Log packets that are handled by this rule

est ce correct?

ccnet

je n'ai aucun log lorsque que je fais un nmap wan -p 80

Ce qui est complètement anormal.
Le résultat de netstat est normal, votre accès à l'admin est bien en https. Sinon vous utilisez une palanquée de serveurs de temps. RAS.
Et si vous essayer de lancer un navigateur vers votre ip wan, depuis l'extérieur toujours bien sur, que se passe t il ?

alliass

Ce qui est complètement anormal.
–>C'est clair j'avoue ne pas trop comprendre pour etre totalement transparent je suis en phase d'implémentation de la solution et j'ai que les rêgles de base à savoir :
interface LAN : Default LAN Any
interface WAN : la regles RFC 1918 networks
                      Ma regle cité dans les postes précédent

Le résultat de netstat est normal, votre accès à l'admin est bien en https.
-->effectivement

Sinon vous utilisez une palanquée de serveurs de temps. RAS.
-->comment les supprimer?

Et si vous essayer de lancer un navigateur vers votre ip wan, depuis l'extérieur toujours bien sur, que se passe t il ?
-->quand j'attaque mon ip public en http un message apparait en stipulant que la page ne peut etre affichée

MageMinds

Je soupçonne que vous ne faites pas le à partir de la bonne machine. Prenez un navigateur connecté derrière votre pfSense et allez à l'adresse http://nmap-online.com/ faites votres nmap à partir de là. Si ce nmap donne encore le port 80 ouvert, tentez d'accéder à votre pfSense à partir d'un autre ordinateur sur Internet pour voir ce qui réponds. Certains fournisseurs d'accès Internet vous empêchent d'avoir un site web et pour se faire vont rediriger les requêtes vers le port 80 de votre modem sur leur serveurs.

Sinon faites des capture d'écran de votre configuration Firewall->NAT (tous les onglets) et Firewall->Rules (onglet WAN) et postez les ici.

alliass

Je soupçonne que vous ne faites pas le à partir de la bonne machine. Prenez un navigateur connecté derrière votre pfSense et allez à l'adresse http://nmap-online.com/ faites votres nmap à partir de là. Si ce nmap donne encore le port 80 ouvert, tentez d'accéder à votre pfSense à partir d'un autre ordinateur sur Internet pour voir ce qui réponds. Certains fournisseurs d'accès Internet vous empêchent d'avoir un site web et pour se faire vont rediriger les requêtes vers le port 80 de votre modem sur leur serveurs.

En utilisant la liens que vous m'avez communiquer et en executant le nmap je me retrouve avec aucun port d'ouvert. Et dans les logs firewalls, je vois bien le block sur le port 80.

Je ne sais comment vous remercier pour le temps que vous avez bien voulu prendre pour me venir en aide.

Pourriez vous juste me dire comment faire pour supprimer des serveurs de temps.

merci encore.

ccnet

Je soupçonne que vous ne faites pas le nmap à partir de la bonne machine

C'est bien l'idée que j'avais en tête depuis presque le début.

Sinon vous avez des machines sur votre lan qui sont probablement configure avec un service qui exploite ces serveurs ntp.
Bloquer le service ntp par une règle sur "lan" vous permettra sans doute de voir d'où cela vient.

alliass

Ok merci encore bcp pour votre patience et votre aide.

pourriez vous me dire si la solution pfsense est une solution avec suffisement de recule pour dire qu'elle est vraiment fiable.

Peut on comparer pfsense à des firewall boitier de type sonicwall et companie?

merci pour les informations que vous pourrez me communiquer.