Classe C public vers Serveur

ccnet

1. http://doc.pfsense.org/index.php/Main_Page

2. Lisez la documentation de Monowall dont Pfsense est issu. http://m0n0.ch/wall/documentation.php

Cela ne réglera pas les questions d'architecture, mais vous saurez où cliquer.

dumarjo

MErci

J'ai trouvé ceci http://doc.m0n0.ch/handbook/examples.html#id11641322

Sa explique bien ce que je veux faire.

Il reste a tester le tou maintenant.

Dumarjo

ccnet

C'est exactement votre besoin, il n'y plus qu'à suivre la doc pour la suite.
N'oubliez pas un point : dans Pfsense le nat est d'abord appliqué puis les règles. Les règles s'appliquent à des paquets dont les adresses sont déjà translatées. Et non l'inverse comme dans certains autres firewall.

dumarjo

JE veux juste être certain que sa va fonctionner.

J'ai parler avec mon ISP et il m'as dis (avec mon ancien system basé sur iptable (showrewall)) que j'avais un problème de NAT parce qu'il voyait des machine dans le 205 (ma classe C) dans ces table ARP. Je trouve sa étrange. Il m'a dis que c'était une mauvaise configuration de mon router/firewall. Et ceci semblait ne pas le satisfaire.

J'espère ne pas avoir le même problème avec pfsense et cette configuration.

Dumarjo

ccnet

Le problème n'est pas Pfsense, mais la façon dont vous allez l'utiliser. Vous n'êtes pas obligé, c'est le moins que l'on puisse dire, de laisser sortir de la dmz toutes les requêtes icmp.

dumarjo

Bonjour,

Si je comprend bien, il ne faudrais laisser passer les commande ARP ? pfsense reprodui-til le arp des ordinateur qui sont situer a l'intérieur vers l'extérieur ?

Dumarjo

psylo

@dumarjo:

Bonjour,

Si je comprend bien, il ne faudrais laisser passer les commande ARP ? pfsense reprodui-til le arp des ordinateur qui sont situer a l'intérieur vers l'extérieur ?

Dumarjo

En gros, oui. Vous devez utiliser des IP virtuelles (si je ne me trompe) qui simuleront une entrée ARP sur l'interface out (si je ne me trompe). Donc lorsque quelqu'un essaiera de joindre une de ces IP, votre pfSense répondra aux requêtes.

Vous devrez ensuite configurer le NAT "lier" les IP LAN de vos serveurs à leurs IP virtuelles respectives. Pour finir, vous devrez créer des règles ne permettant qu'un accès minimal à vos serveurs depuis l'extérieur (ex: port 80 & 443 pour un serveur WEB).

Comme signalé plus haut, le NAT est appliqué avant les règles de filtrages. Donc, ces dernières concerneront vos IP LAN.

Hope this helps.

Juve

Pourquoi ne pas simplement mettre en place un routage statique pour cette plage publique en accord avec votre ISP ?

psylo

@Juve:

Pourquoi ne pas simplement mettre en place un routage statique pour cette plage publique en accord avec votre ISP ?

C'est à dire?

Juve

Configurer cette plage publique en DMZ, puis demander a votre ISP de mettre une route statique vers cette plage en direction de votre firewall pfsense.

Coté WAN trois solutions s'offre à vous:
1- obtenir un petit /29 pour la partie WAN (le réseau entre votre firewall et votre ISP)
2 - découper votre /24 pour en sortir deux plages afin d'en avoir une pour le WAN et une en DMZ
3- WAN dans une plage privé (RFC1918) si votre ISP accepte de configurer son routeur en privé (celà économise de l'IP publique).