Difficultés sur pfsense à 4 pattes
-
Merci beaucoup pour ces éclairages avisés !
J'ai donc fait ceci sur la DMZ:
–------------------------------------------------------------------------------------------------
DMZ protocole source port destination port gateway schedule description
pass * * * !LAN net * * *
pass * * * !WIFI net * * *
pass TCP DMZ net 80 WAN net 80 * *
pass TCP DMZ net 21 WAN net 21 * *
pass UDP DMZ net 53 WAN net 53 * *Toutefois j'ai un soucis ; le site WEB que j'héberge ne répond pas de mon LAN, en utilisant le nom de domaine (qui sort et qui utilise mon IP fixe free) ; pas de réponse immédiate ! timeout !
Je trouve aussi que l'acces SSH depuis mon LAN vers ma DMZ est extrement lent (entre login et mdp) !Dois-je rajouter une régle ; je séche !
Par ailleurs, je compte supprimer le mode routeur de ma FREEBOX pour être en mode MODEM/BRIDGE !
C'est trop chiant d'être obligé de veiller dans mes tests à rerouter sur le portail FREE.
Y aura-t-il des choses à faire sur PFSENSE dans ce cas ?Merci.
-
Pour le premier problème il faut une règle sur lan similaire à celle ci :
TCP LAN net * DmzServers 80
Vous remplacerez DmzServers par l'ip de votre server web.Ensuite il y a éventuellement un second problème : la résolution dns. La solution s'appelle split horizon. L'info est suffisante ou pas pour la partie dns ?
Pour l'accès ssh je n'ai pas d'explication a priori. Le reste est normal sur les temps de réponses ?
Y aura-t-il des choses à faire sur PFSENSE dans ce cas ?
Cocher l'option "Block private networks" sur l'interface wan.
-
Bonsoir,
PFSense est en fonction. Les temps de réponses sont enfin normaux ; voir même plutôt bons. Un bonheur.
Bref, tout est en fonction ; SNORT et SQUID activés aussi.Ma problématique de base était le DMZ qui était carrément trop restrictive ; j'ai donc révisé ma politique et çà marche.
Ensuite il y a éventuellement un second problème : la résolution dns. La solution s'appelle split horizon. L'info est suffisante ou pas pour la partie dns ?
J'ai effectivement regardé ça ; DNS différents extérieurs/intérieurs en faisant du NAT ! Ok mais dans quels cas ? En fait le ralentissement se faisait exclusivement sur le domaine www ; pas en interrogeant l'IP public ! du moins c'est ce que j'ai constaté ; l'idée du DNS qui cloche coulait de source… j'ai donc décidé de partir de la DMZ toute ouverte, puis, pas à pas fermeture des portes pour arriver à ce que je voulais !
Quelques questions encore: j'ai activé SNORT que sur l'interface WAN ! Me conseillez vous sur toutes les interfaces ? SQUID est actif que sur LAN et WIFI ! Nécessaire sur LAN car je veux faire plus tard du filtrage URL.
Je vais attaquer la partie WIFI ; faut que je mette ma FREEBOX en modem !
Mon schéma est d'ailleurs pas bon sur cette partie. Que fait exactement l'option "Block private networks" sur l'interface WAN ?Merci encore...
je pense revenir vers vous demander validation de mon plan "RULES" que je peaufine.TB
-
j'ai activé SNORT que sur l'interface WAN ! Me conseillez vous sur toutes les interfaces ?
Je ne suis pas favorable à l'utilisation de Snort sur le firewall. Sur le forum Ixus j'ai pas mal écris ce que je pensai de l'utilisation de Snort. Et ne pense qu'il y a peu de structures en mesure de l'utiliser raisonnablement et efficacement. La difficulté principale avec Snort c'est … les RH. Encore que techniquement ce ne soit pas simple non plus. Si vous venez d'ipcop vous connaissez ixus et je poste sous le même nom.
Il peut être pertinent d'utiliser snort sur l'interface wan et l'interface lan, voire d'autres, mais les règles nécessaire ne seront pas les mêmes. On ne surveille pas les mêmes choses dehors et dedans.Je vais attaquer la partie WIFI ; faut que je mette ma FREEBOX en modem !
Surtout pas ! n'utilisez pas le wifi de la freebox mais un AP connecté à une interface de Pfsense.
Que fait exactement l'option "Block private networks" sur l'interface WAN ?
Elle évite le spoofing utilisant des ip privées de la RFC 1918, puisqu'elle les rejette.
-
Hello,
Je ne suis pas favorable à l'utilisation de Snort sur le firewall
Ah ! c'est intéressant ; il est vrai que c'est assez lourd !
En fait, je cherche à bloquer les attaques diverses de type "brute force" !
Avant c'était mon pauvre serveur WEB (sous FREEBSD) qui bloquait ça avec "Packet Filter" et un PERL.
Le PERL parsait via syslog la log authlog, repérait les messages d'erreur et insérer en black list l'IP détectée. Marchait très bien ! Increuvable durant 2 ans. Mais le serveur WEB faisait plus de la protection que de l'hébergement ! Et j'avais parfois des lenteurs…
SNORT me semblait bien... pour l'avoir essayé avec la soluce CLARKconnect, nombre de Kéké ont été blacklistés... PfSense le proposait, j'ai donc naturellement installé !Que proposez-vous ? Faut-il dissocier le FW et filtrage attaque ? (je vais aller faire un tour sur vos posts IXUS...)
Surtout pas ! n'utilisez pas le wifi de la freebox mais un AP connecté à une interface de Pfsense.
Ah ! J'ai trouvé une soluce un peu "osée" pour utiliser le WIFI de FB…
Vous pensez qu'il est mieux d'utiliser une carte WIFI dans mon FW ! Mais pourquoi pas le WIFI de la FB ?
Et passer le FB en modem... c'est juste pour éviter le routage sur le portail FREE ! sinon je trouve ça pas mal. -
re-hello ccnet,
La difficulté principale avec Snort c'est … les RH. Encore que techniquement ce ne soit pas simple non plus. Si vous venez d'ipcop vous connaissez ixus et je poste sous le même nom.
J'ai lu avec attention un POST sur IXUS (Posté le: 14 Nov 2008 17:21 Sujet du message: IPCop en IDS: alertes snort par e-mail ?) … Effectivement c'est plus clair ! Bon... je laisse SNORT sur PF mais l'idée d'un switch actif est intéressante.
MERCI pour vos lumières.
TB -
Oui celui là et d'autres … Attention Snort consomme beaucoup de ressources. Le risque est non nul qu'il soit détecté et que vos soyez noyé sous les alertes, avec des problèmes de perf qui en découle.
-
Pour ma part je n'utilise pas snort sur le firewall.
Je l'utilise parfois en IDS sur une machine dédiée via un port répliqué (option du switch, option qui sera présente en 2.0 également).Pour la protection des sites web hébergés j'utilise des reverse proxy apache avec mod_security+mod_console.
-
Bonsoir,
Pour la protection des sites web hébergés j'utilise des reverse proxy apache avec mod_security+mod_console.
OK… mais cela impose de toute façons une machine en amont...
La méthode est très intéressante dans tous les cas... faudrait que je trouve un petit serveur supplémentaire.
D'ailleurs, je suppose que SNORT serait le plus gourmand en ressources !Merci.
-
Oui absolument. Lorsque j'ai besoin de plusieurs machines pour pour des tâches de ce type (proxy, reverse proxy, relais smtp, et autres quincailleries fort utiles) j'utilise facilement Vmware (ESXi 3.5, pas la version serveur) pour y créer une vm par tâche à exécuter. Eventuellement je cloisonne à l'intérieur de la dmz concernée avec des vlans privés. Les machines de la dmz n'ont le plus souvent pas besoin de se parler directement. Si elles le font se sera en passant par Pfsense (sur lequel je créé aussi les vlans). Vmware ESXi supporte aussi la création de vlans.
-
Bonjour, juste pour info, avec quel outils a tu fait des grazphiques ;)
Bonjour,
Ancien utilisateur IPCOP, je cherche un FW plus performant pour monter ultérieurement 2 FWS en Failover
Loadbalancing ; j'ai découvert PFSENSE 1.2.2 et je pense qu'il répond très clairement à mes attentes ; J'ai
monté une maquette à 5 pattes (WAN,LAN,DMZ,WIFI) avec un accès freebox v5 en mode routeur ; J'ai réussit l'installation ; à faire fonctionner la sortie du LAN vers le WAN ; mais impossible d'atteindre ma DMZ ; de dedans ou de l'extérieur. Après de multiples essais, je n'ai jamais réussit ; j'ai cherché des tutos et des
discussions mais rien ne convient à ma config ; Je n'ai pas de repère et je pense que je ne perçois pas toutes les subtilités du produit ; Alors Que faut-il vraiment faire sous PFsense !Je sais que je demande peut-être encore et encore quelque chose qui a été certainement demandé mais je ne trouve pas chaussure à mon pied !
Voici mon schéma pour vous aider !
Voici ce que je pensais configurer !
Tout est bloqué au départ (je suppose)
J'autorise le LAN à sortir sur WAN
J'autorise la DMZ à sortir sur WAN
J'autorise la WIFI à sortir sur WAN
J'autorise le LAN vers DMZ (port 80,22,21 peut-être seulement)
J'autorise le WIFI vers DMZ (port 80,22,21 peut-être seulement)
Je NAT les ports 80,21 de WAN vers le serveur WEB de ma DMZ.J'ai peut-être oublié quelque chose !!!
Est-ce que quelqu'un peu m'aider en indiquant les étapes pas à pas !ENCORE…
MERCI.myux