Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [RESOLU] Création d'une DMZ pose problème

    Scheduled Pinned Locked Moved Français
    14 Posts 3 Posters 7.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      FLamme_2
      last edited by

      Bonjour tout les deux.

      Merci beaucoup de vous occuper de mon problème.

      Désolé si je ne vous ait pas donné toutes les informations. j'ai encore un peu de mal à utiliser les bons termes.

      Alors, pour ce qui est du WAN2, on peut l'omettre pour le moment, il n'est pas nécessaire (en fait, c'est plutôt pour m'entrainer et mieux comprendre).

      Pour ce qui est du modem, il s'agit d'une bête livebox (version 2 (livebox carré sagem)). Elle est configurer pour renvoyer tout vers l'adresse 192.168.0.254 (donc pfsense). je suppose que c'est cela qui s'appelle le mode bridge :

      Donc jhd, on va simplifier comme tu dit, et supprimer wan2. Le problème avec la dmz me parraît plus important.

      Il y a lieu de regarder les règles pour chaque zone. Et "! LAN net" ne signifie pas du tout "any" !

      Pour ce qui est de pfsense sur la dmz, je voulais autorisé le port 80 à rentrer sur la dmz et je pensais que "! LAN net" signifiait d'interdire la dmz à rentrer sur mon réseau local. Le but de la dmz est de faire tourner un petit site web avec le cms joomla

      Comme la si bien dit jdh, la règle qui est créer sur la DMZ n'est pas 'Any' mais surtout elle n'a rien avoir avec l'extérieure.

      Comment je devrais la configurer alors ? Le tutorial que j'ai donné en lien serais erroné ?

      Donc ça c'est OK par rapport à la screen plus haut :

      il faut déjà que ton Modem/Routeur laisse passez (NAT) les ports que tu à besoin pour ton serveur,
      Entre autre si tu n'à aucune utilité du Modem/Routeur en amont de pfSense je te conseille de le passer tout simplement en mode Modem uniquement (Bridge).

      Le schéma n'est guère lisible !!

      Voulez-vous que je refasse un schema sous visio pour que cela soit plus visible ?

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Pour ce qui est du schéma, j'écris souvent le nom du réseau au dessus du trait et n° de réseau + masque au dessous, puis près de chaque machine .N pour la partie d'adresse qui manque. (C'est plus difficile à décrire qu'à lire sur un schéma).

        Par exemple ici cela donnerait

        Réseau WAN : 192.168.0.X/24
          Livebox : .253
          pfSense (carte WAN) : .254

        On peut déclarer une DMZ sur une livebox. Cela ne correspond pas DU TOUT à un mode bridge, mais au moins tout le trafic udp, tcp, icmp est transféré automatiquement vers cette machine DMZ. Il est notable que certains protocoles IP (il n'y a pas que tcp et udp dans la vie !) ne sont pas transféré, d'où impossibilité de faire de l'Ipsec standard. Ceci pour info !

        La plupart des box ne peuvent pas fonctionner en bridge, ce qui serait pourtant plus simple, mais cette fonction "DMZ" compense.

        Une fois le trafic arrivé sur la carte Wan de pfSense, il faut regarder 2 points :

        • les rules utiles pour chaque carte réseau,
        • les NAT utiles pour accéder à un serveur en DMZ par exemple (créé automatiquement une rule correspondante).

        On peut par exemple

        • dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN

        et ainsi de suite : un besoin = une règle

        La ligne NAT suffit à créer la rules nécessaire MAIS si on modifie le NAT, la rule n'est pas modifiée.

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • T
          titofe
          last edited by

          @FLamme_2:

          Pour ce qui est de pfsense sur la dmz, je voulais autorisé le port 80 à rentrer sur la dmz et je pensais que "! LAN net" signifiait d'interdire la dmz à rentrer sur mon réseau local. Le but de la dmz est de faire tourner un petit site web avec le cms joomla

          Ta Rules actuellement autorise et donc n'interdis pas.

          1 Reply Last reply Reply Quote 0
          • F
            FLamme_2
            last edited by

            Pour ce qui est du schéma, j'écris souvent le nom du réseau au dessus du trait et n° de réseau + masque au dessous, puis près de chaque machine .N pour la partie d'adresse qui manque. (C'est plus difficile à décrire qu'à lire sur un schéma).

            Voilà un nouveau schéma, j'espère que c'est bien comme ça que tu voulais que je le fasse jdh, sinon dit le moi ;)

            On peut déclarer une DMZ sur une livebox. Cela ne correspond pas DU TOUT à un mode bridge, mais au moins tout le trafic udp, tcp, icmp est transféré automatiquement vers cette machine DMZ. Il est notable que certains protocoles IP (il n'y a pas que tcp et udp dans la vie !) ne sont pas transféré, d'où impossibilité de faire de l'Ipsec standard. Ceci pour info !

            Pour ce qui est de la livebox, elle à été configurer de la sorte :

            Sinon, je peut aussi la configurer manuellement :

            mais d'après ce qu'il y à décrit, configurer en faible elle ne filtre rien, donc logiquement rien ne devrait bloquer :

            Ta Rules actuellement autorise et donc n'interdis pas.
            

            Comment faire puisque dans la configuration de la rule, je croyais avoir coché comme quoi je n'autorise pas l'accès au lan ?

            La ligne NAT suffit à créer la rules nécessaire MAIS si on modifie le NAT, la rule n'est pas modifiée.

            Oui effectivement, j'ai cru remarquer que si je supprime une nat, elle reste quand même dans la rule.

            Une fois le trafic arrivé sur la carte Wan de pfSense, il faut regarder 2 points :
            - les rules utiles pour chaque carte réseau,
            - les NAT utiles pour accéder à un serveur en DMZ par exemple (créé automatiquement une rule correspondante).
            

            Mais il faut bien commencer par une rule pour la dmz et ouvrir les ports ensuite pas le nat ? C'est bien cela

            On peut par exemple

            • dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN

            Et comment faire pour autoriser la même chose que LAN ? Puis par la suite autorisé le traffics http, et les services que l'on désire ouvrir sur la dmz.
            En fait, moi je voyais cela comme ça : autorisé la même chose au lan, puis petit à petit ouvrir le port 80, s'il le faut le port 22 / 21 etc…

            D'arpès ce que je comprend sur une DMZ, il faut autorisé chaque service manuellement ?

            PS : Je suis bluffé par la rapidité de vos réponse vous deux !!
            PS2 : Merci beaucoup de m'aider.
            PS3 : pardonner mon ignorance, mais je désire fortement apprendre.

            1 Reply Last reply Reply Quote 0
            • T
              titofe
              last edited by

              Question:
              @FLamme_2:

              mais d'après ce qu'il y à décrit, configurer en faible elle ne filtre rien, donc logiquement rien ne devrait bloquer :

              Réponse:

              Faible:
              Le pare-feu ne filtre rien. Attention, ce niveau est réservé aux utilisateur avancés pour lesquels la sécurité n'est pas une priorité. Veuillez noter aussi que même dans ce mode une connexion initiée depuis Internet sera rejetée si une règle NAT/PAT correspondante n'a pas été créée.

              Je ne connais pas la LiveBOX, mais pour ce que j'ai pu entendre, on peux créer une DMZ et y mettre pfSense dedans (je crois que je jdh en parle plus haut).

              @FLamme_2:

              Comment faire puisque dans la configuration de la rule, je croyais avoir coché comme quoi je n'autorise pas l'accès au lan ?

              Une Rules qui bloque à comme symbole une Croix Rouge et une Rules qui laisse passer à comme symbole une Flèche Verte

              @FLamme_2:

              Mais il faut bien commencer par une rule pour la dmz et ouvrir les ports ensuite pas le nat ? C'est bien cela

              • Pour que le serveur en DMZ sorte il n'y a que des Rules à créer.
              • Pour initiée depuis internet une connexion avec le serveur en DMZ, il faut d'abord créer les regles NATs, puis le Rules correspondantes.

              P'tit rappel:
              @jdh:

              les NAT utiles pour accéder à un serveur en DMZ par exemple (créé automatiquement une rule correspondante)

              @FLamme_2:

              D'arpès ce que je comprend sur une DMZ, il faut autorisé chaque service manuellement ?

              Non et Oui.

              • Non, car tu peux tout autoriser, comme la Rules qui est créer par défaut sur LAN,
              • Oui, car niveau sécurité il est inutile de laisser ouvert quelque chose qu'on à pas besoin, surtout dans une DMZ zone ouverte sur l'extérieure.
              1 Reply Last reply Reply Quote 0
              • F
                FLamme_2
                last edited by

                je ne comprend plus trop  :-\

                • Pour que le serveur en DMZ sorte il n'y a que des Rules à créer.

                Il y a lieu de regarder les règles pour chaque zone. Et "! LAN net" ne signifie pas du tout "any" !

                Une Rules qui bloque à comme symbole une Croix Rouge et une Rules qui laisse passer à comme symbole une Flèche Verte

                Donc, la rule que j'ai faite laisse passer, pourquoi cela ne fonctionne pas alors ?

                Cela à un rapport avec ceci ? :

                On peut par exemple

                • dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN

                Mais si j'ai mis any, tout devrais passer.

                Non et Oui.

                • Oui, car niveau sécurité il est inutile de laisser ouvert quelque chose qu'on à pas besoin, surtout dans une DMZ zone ouverte sur l'extérieure.
                • Non, car tu peux tout autoriser, comme la Rules qui est créer par défaut sur LAN,

                Peut on utiliser la deuxième solution pour le moment de manière à ce que cela fonctionne et voir par la suite pour mettre en place la première solution ?

                Attention par défaut une règle "tout autorisé" est créé pour LAN ce qui n'est pas le cas pour DMZ.

                Bah pourtant meme lorsque je fait ceci, je ne peut pas joindre l'exterieur depuis ma dmz :

                http://img297.imageshack.us/img297/8150/captureqt.png

                Bien entendu, le but est juste de tester voir si déjà cela fonctionne en autorisant tout, et ce n'est pas la cas, où peut-être mon erreur ?

                Es-ce normale que depuis le serveur DMZ, je ne puisse pas pinguer la passerelle ? Y a t-il un rapport avec ceci :

                On peut par exemple

                • dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN

                En revanche depuis le lan je peut pingué la machine dmz :

                flamme@MSI:~$ ping 192.168.2.254
                PING 192.168.2.254 (192.168.2.254) 56(84) bytes of data.
                64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=0.872 ms
                ^C
                --- 192.168.2.254 ping statistics ---
                1 packets transmitted, 1 received, 0% packet loss, time 0ms
                rtt min/avg/max/mdev = 0.872/0.872/0.872/0.000 ms
                flamme@MSI:~$ ping 192.168.2.253
                PING 192.168.2.253 (192.168.2.253) 56(84) bytes of data.
                64 bytes from 192.168.2.253: icmp_seq=1 ttl=127 time=1.85 ms
                ^C
                --- 192.168.2.253 ping statistics ---
                1 packets transmitted, 1 received, 0% packet loss, time 0ms
                rtt min/avg/max/mdev = 1.851/1.851/1.851/0.000 ms
                flamme@MSI:~$ ifconfig
                eth0      Link encap:Ethernet  HWaddr 00:e0:4c:77:bc:4c  
                          inet adr:192.168.1.24  Bcast:192.168.1.255  Masque:255.255.255.0
                          adr inet6: fe80::2e0:4cff:fe77:bc4c/64 Scope:Lien
                          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                          Packets reçus:87465 erreurs:0 :0 overruns:0 frame:0
                          TX packets:50054 errors:0 dropped:0 overruns:0 carrier:0
                          collisions:0 lg file transmission:1000 
                          Octets reçus:108492919 (108.4 MB) Octets transmis:5489250 (5.4 MB)
                          Interruption:17 Adresse de base:0xac00
                
                1 Reply Last reply Reply Quote 0
                • F
                  FLamme_2
                  last edited by

                  Je vient de comprendre un peu plus de chose en regardant ce post :

                  http://forum.pfsense.org/index.php/topic,24613.0.html

                  je n'avais pas vu l'histoire des protocoles, et je comprend mieux pourquoi tu m'as écrit ceci jdh :

                  On peut par exemple

                  • dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN

                  je continue de chrecher et de comprendre ;)

                  1 Reply Last reply Reply Quote 0
                  • F
                    FLamme_2
                    last edited by

                    Edit : Effectivement, j'ai mis any dans les protocoles, et cela fonctionne beaucoup mieux ;)

                    Donc, maintenant, il reste à passer à ta première solutions, à savoir faire un filtrage personalisé. Je suppose que c'est toujours au niveau des rules que cela ce passe.

                    Désolé d'avoir eu un déclic si tard  ;D

                    1 Reply Last reply Reply Quote 0
                    • J
                      jdh
                      last edited by

                      Une "rule" c'est

                      • PASS (autant ne faire que des "rules" à PASS mais on peut aussi avoir besoin de "BLOCK" ou "REJECT")
                      • protocole
                      • source
                      • destination

                      Il est clair que l'on peut mettre le protocole à "any" MAIS c'est exactement ce qu'il ne faut pas faire car, évidemment, on ne contrôle plus rien !
                      La source est évidemment liée à l'interface (l'onglet) de rules : elle ne doit pas être à "any" sauf pour WAN (forcément).

                      Moi, je pose mes mains du clavier et prend un crayon pour tracer un tableau carré :

                      • 4 lignes (de départ) : LAN, DMZ, WAN, fw
                      • 4 colonnes (d'arrivée) : LAN, DMZ, WAN, fw.
                        A l'intersection, j'écris chaque protocole dont on a besoin.

                      Par exemple :
                      de WAN vers fw : ping autorisé
                      de WAN vers DMZ : http vers srv web
                      de LAN vers WAN : http, https, ftp depuis tout pc du LAN
                      …
                      ...

                      Et puis on code cela, principalement dans "Rules".

                      Mais on commence par POSER LES MAINS ! (Que de temps gagné !)

                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                      1 Reply Last reply Reply Quote 0
                      • F
                        FLamme_2
                        last edited by

                        Et voilà justement ce que je n'avais pas vraiment cerné ;)

                        Donc, moi avoir besoin de du TCP/UDP et de l'icmp pour la dmz si je comprend bien ?

                        en fait je croix qu'il va falloir que je me renseigne sur les autres protocoles puisque je ne les connaît pas du tout.

                        1 Reply Last reply Reply Quote 0
                        • F
                          FLamme_2
                          last edited by

                          Je vais placé le poste en résolu.. Grâce à vous j'ai mieux compris le fonctionnement des protocoles réseaux. Il ne me reste plus qu'a me documenter.

                          Je vous remercie infiniment  ;)

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.