Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloquer l'interface web sur le LAN

    Scheduled Pinned Locked Moved Français
    7 Posts 4 Posters 6.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      meta
      last edited by

      Bonjour,

      Je n'arrive pas à interdire l'accès au WEBgui côté LAN pour tout les clients en 192.168.197.x /24. J'ai créer la règle coté wan pour autoriser l'acces au webgui, cela fonctionne (voir image). Je souhaite maintenant interdire l'accès depuis le LAN mais je n'y arrive pas

      Merci pour votre aide.

      ![](http://C:\Users\Florian\Desktop\firewall wan.jpg)
      ![firewall wan.jpg_thumb](/public/imported_attachments/1/firewall wan.jpg_thumb)
      ![firewall wan.jpg](/public/imported_attachments/1/firewall wan.jpg)

      1 Reply Last reply Reply Quote 0
      • GertjanG
        Gertjan
        last edited by

        Bloquer l'acces de ton "interface web" ….  :-\

        Un peu plus de détails svp :
        C'est qui l'IP de ton pfSense ? (le passerelle ?) 192.168.197.254 ?

        Bloquer l'IP de ton passerelle... étrange - il fait quoi lui (pfSEnse) alors ?
        Si tu bloque tout TCP/UDP, même le DHCP passe plus, ni le DNS .....
        Je te conseille d'ajouter aussi le port de 'interface web' (et le description parle du WAN ??)

        Un mot de passe bien choisi peut faire l'affaire, non ? et tout personne que tu fait pas confiance, ils ne doivent pas être à TON LAN déjà.
        Une carte réseau de plus qui s'installe en tant que OPT1 - c'est sur cet interface que tout publique 'LAN' doit ce trouver. La, rien est permis, sauf quand tu l'autorise.

        Sur le LAN il existe un règle parafeu "caché" qui garde justement ouvert l'accès vers pfSEnse, histoire de ne pas s'enfermer dehors ^^
        Regarde ici :
        System : Advanced : webGUI anti-lockout (aha !!)
        Ca dit :
        Disable webGUI anti-lockout rule
        By default, access to the webGUI on the LAN interface is always permitted, regardless of the user-defined filter rule set. Enable this feature to control webGUI access (make sure to have a filter rule in place that allows you in, or you will lock yourself out!).
        Hint: the "set LAN IP address" option in the console menu resets this setting as well.

        Donc même si tu arrive à bloquer l'acces correctement, ça passe toujours.
        Il faut cocher cette option, et connaître ces conséquences  8)

        No "help me" PM's please. Use the forum, the community will thank you.
        Edit : and where are the logs ??

        1 Reply Last reply Reply Quote 0
        • M
          meta
          last edited by

          Bonjour et merci pour votre réponse

          IP LAN PfSense : 192.168.197.254

          En fait j'ai autoriser l'adresse 192.168.199.253 (coté wan) qui appartient a un poste admin a pouvoir prendre le contrôle du webgui depuis le WAN et cela fonctionne.
          En fait j'ai mis en place des points d'accès wifi pour des personnes de passages dans mes locaux (commercial…) et c'est pas pratique pour moi de devoir a chaque fois me connecter à la borne pour administrer côté LAN mon serveur PfSense.
          Donc une fois l'option activé, quelle est la règle a rajouté côté LAN ensuite ?

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            @meta:

            En fait j'ai autoriser l'adresse 192.168.199.253 (coté wan) qui appartient a un poste admin a pouvoir prendre le contrôle du webgui depuis le WAN et cela fonctionne.

            Attention à votre sécurité.
            1 Il est hautement préférable de travailler exclusivement en https pour le Web GUI de Pfsense.
            2. Pour un accès externe, il est préférable de réaliser une connexion VPN puis en accès à l'interface d'administration.
            3. Un poste d'admin n'a rien à faire côté Wan.

            1 Reply Last reply Reply Quote 0
            • M
              meta
              last edited by

              Les administrateurs de l'entreprise ou je suis stagiaire ne veulent pas se connecter en WIFI pour l'administration du côté LAN parce qu'il n'ont pas toujours de pc portable disponible. Je vous donne une architecture qui vous aidera pour mieux m'aider.
              Le poste admin est dans le vlan 99.

              ![](http://C:\Users\Florian\Documents\Cours\Deuxième année\Stage Mairie de Hyères\Shéma de conception du projet\Shéma physique de la sécurisation du hotspot wifi avec portail captif.jpg)

              ![Shéma physique de la sécurisation du hotspot wifi avec portail captif.jpg](/public/imported_attachments/1/Shéma physique de la sécurisation du hotspot wifi avec portail captif.jpg)
              ![Shéma physique de la sécurisation du hotspot wifi avec portail captif.jpg_thumb](/public/imported_attachments/1/Shéma physique de la sécurisation du hotspot wifi avec portail captif.jpg_thumb)

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                Dans une mairie il y des salariés. Je ne comprend toujours pas où ils sont dans ce réseau. Je ne comprend pas non plus comment est sécurisée la connexion à internet. La boucle du Vlan 97 est pour le moins étonnante.

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  Le mieux serait de décrire précisément le besoin.

                  Ce que je crois avoir compris : l'objectif est de donner un accès wifi de type portal à des nomades (des usagers de la mairie avec ordi portables ?).

                  Ce que je ne sais pas :

                  • ont-il besoin d'accéder à des ressources internes à la mairie ?
                  • ne doivent-ils accéder QU'A ces ressources internes ?

                  Moi je verrais plutôt un accès distinct (avec son ADSL propre), un pfsense avec le portal activé, et une page automatique permettant d'accéder à des serveurs public en dmz.

                  Voire une "dmz" qui relirait au réseau physique de la mairie (avec des règles FORTES). (ATTENTION dans ce cas ne SURTOUT pas fournir le dns de la mairie !)

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.