Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense + Serveur Web derrière un Firewall

    Scheduled Pinned Locked Moved Français
    11 Posts 5 Posters 5.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      allla
      last edited by

      je dispose de 2 adresses publics et d'un firewall Pix

      ce que je veus faire c'est d'ajouter pfsense entre Firewall et Internet

      dans le firewall PIX  j'ai le premier nat pour que les utilisateurs peuvent sortir vers Internet  avec @public1.
      de plus, j'ai un Serveur Web derrière le firewall qui est naté avec la deuxième @public2 (nat @ public 2 vers @privé du serveur)qui permet d’accéder au serveur depuis l’extérieur.

      j'ai installer pfsense avec 2 cartes réseau Lan et Wan
      mon architecture devient comme suit :

      réseau local –-----PIX-----Pfsense-------Internet

      maintenant les utilisateurs peuvent sortir vers Internet sans problème, mais le problème est l’accès depuis l’extérieur à mon serveur web

      j'ai mis la règle dans firewall rules Wan :

      Proto Source Port Destination            Port Gateway Schedule Description
      TCP   *         * 196.203.67.13 80 - 443     *

      ma question est comment faire pour accéder à mon serveur web, qui est déja naté par le PIX ?

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Quel est le rôle de pfSense dans ce schéma ?
        Autrement posé, qu'apporte pfSense de plus qu'un autre firewall comme Pix ?

        Le besoin est ici d'avoir une DMZ.
        pfSense (et Pix) sont tout à fait capable de gérer une DMZ (à partir du moment où ils sont en direct face à Internet).
        Il est notable qu'une seule adresse ip publique est tout à fait suffisante (c'est d'ailleurs plus simple).

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • A
          allla
          last edited by

          en faite je voudrais renforcer pix (525) hors maintenance avec  PfSense

          le problème est comment accéder au serveur web puisqu'il est déja naté avec le pix

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Pix et pfSense sont 2 firewalls mais ils ne sont pas vraiment en concurrence …

            Un des intérêts de pfSense est de pouvoir faire du CARP (cluster ou redondance ou fail-over) très aisément et pour "pas cher".

            Bref je remplacerai un pix par 2 barils de pfSense en cluster : si l'un tombe en carafe, l'autre prend le relais (avec presque tous les réglages !)

            NB : presque = par exemple la config OpenVPN (en 1.2.2) !
            NB : par hasard, j'ai un jour débranché un de mes pfsense; 3 heures plus tard, un collègue ne pouvait plus se connecter en VPN : je ne m'étais pas même aperçu de la bascule tant c'est automatique !

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • A
              allla
              last edited by

              puisque le firewall pix existe déjà je n'ai pas voulu le perdre,
              est il possible que je pourrais accéder à mon serveur web déja naté par le pix avec cette configuration est ce que je dois ajouter une règle ou un nat dans la partie pfsense ?
              Merci

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                @allla:

                en faite je voudrais renforcer pix (525) hors maintenance avec  PfSense

                Aussi illusoire qu'inutile voire dangereux.
                Le pix convient on le garde.
                Le pix ne convient plus on le change. Et il n'y a pas photo entre un 525 et Pfsense.

                1 Reply Last reply Reply Quote 0
                • A
                  allla
                  last edited by

                  le pix 525 qui date de plus de 5 ans ( sont out of sale out of life) donc on ne peut pas mettre ces os à jour. d'ou le besoin de le renforcer avec pfSense.

                  le problème est ce possible que pfsense permet d’accéder au serveur web déja naté par le pix ?

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    Cette idée de "renforcement" est une illusion, une vue de l'esprit. En terme technique on dit que c'est naze !
                    Donc on change le PIX puisqu'il ne convient plus.

                    1 Reply Last reply Reply Quote 0
                    • J
                      Juve
                      last edited by

                      et pix c'est tout !!!

                      OK je sors.

                      ;D

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccnet
                        last edited by

                        :D

                        1 Reply Last reply Reply Quote 0
                        • P
                          psylo
                          last edited by

                          Pour répondre à la question de départ (puis-je accéder à mon serveur WEB en passant au travers de mon pfSense puis de mon PIX): vous pouvez le faire…

                          Vous devez:

                          1. configurer une règle de NAT 1:1 de l'IP publique utilisée pour votre serveur WEB vers un IP virtuelle du réseau entre le PIX et le pfSense.
                          2. configurer une règle de NAT 1:1 de l'ip virtuelle vers l'IP LAN de votre serveur WEB.
                          3. Autoriser le trafic sur les ports 80 & 443 dans les 2 firewalls.

                          Par contre, même s'il est plus sécuritaire (et non pas inutile ni dangereux) d'avoir 2 firewalls de marques différentes en série, je vous conseille pour vous simplifier la vie de:

                          1. supprimer le PIX: ce produit étant abandonné, comme vous l'avez dit, il n'y a plus de mises à jour.
                          2. ajouter une interface réseau sur votre pfSense pour créer une DMZ et connecter votre serveur WEB dedans.

                          Hope this helps.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.