• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Règle Firewall

Scheduled Pinned Locked Moved Français
5 Posts 4 Posters 5.6k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M
    meirick
    last edited by Jan 10, 2011, 1:06 AM

    Bonjour à tous,

    Je suis nouveau sous pfSense et en train de le tester sous VirtualBox.

    Lorsqu'on crée des règles du firewall, on a le choix de l'interface (comme WAN ou LAN). Je ne comprend pas bien ce choix, ni son utilité, puisqu'on doit renseigner la source et le destinataire pour chaque règle. Y a-t-il un risque de conflits en créant des règles dans WAN et LAN?

    Merci d'avance.

    Meirick

    1 Reply Last reply Reply Quote 0
    • ?
      Guest
      last edited by Jan 10, 2011, 4:25 AM

      Mes excuses pour le mauvais français, je me sers translate.google.com

      Les règles de filtrage doit être appliqué à l'interface qui sera d'abord voir le trafic réseau. Donc, si le trafic est en provenance d'Internet, vous souhaitez créer des règles sur l'interface WAN. Par ailleurs, si vous essayez de bloquer le trafic à partir du réseau local à Internet, les règles doivent être appliquées à l'interface LAN.

      Rappelez-vous aussi que les règles de pare-feu sont évalués sur "premier match gagne" une telle ordonnance sera certainement compte.

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by Jan 10, 2011, 8:32 AM

        @meirick:

        Lorsqu'on crée des règles du firewall, on a le choix de l'interface (comme WAN ou LAN). Je ne comprend pas bien ce choix, ni son utilité, puisqu'on doit renseigner la source et le destinataire pour chaque règle.

        Si les adresses source et destination sont effectivement renseignées dans la règle il faut bien comprendre que l'interface sur laquelle se présente le paquet a son importance, (c'est le moins que l'on puisse dire). Pour un même paquet (j'entends pas là couple ip source - destination) il peut être licite selon qu'il arrive sur wan ou sur lan. Il est donc nécessaire de préciser sur quelle interface s'applique la règle.

        Y a-t-il un risque de conflits en créant des règles dans WAN et LAN?

        Je ne sais pas ce que vous entendez par conflit. Le seul risque est "juste" un mauvais paramétrage du firewall et un comportement qui ne répond pas aux besoins, ou un nib=veau de sécurité qui ne correspond pas à ce qui est souhaité. Je vous recommande sérieusement de lire la documentation disponible avant vous mettre devant le clavier.

        La première réponse qui vous a été donné n'est pas fausse mais elle est incomplète et mal formulée (la traduction automatique).

        1. Pfsense n'applique les règles pour une interface donnée que sur le trafic qui vient de l'extérieur vers le firewall.
        2. Les règles de nat s'appliquent avant les règles de filtrage.
        3. Les règles sont  lues de bas en haut
        4. Dès qu'une règle est évaluée positivement, elles est appliquée et l'évaluation des règles cesse. Le paquet est traité selon la règle.

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by Jan 10, 2011, 9:05 AM

          Comme d'hab, ccnet est très complet !

          J'ajoute qu'une règle ne se rédige que pour le "paquet initial". Par exemple : tel PC de la DMZ peut envoyer des mails (smtp=25/tcp) vers "any" donne une règle :

          • interface : DMZ
          • source : serveur mail (situé en DMZ)
          • destination : any
          • protocole : tcp
          • port destination : 25 ou smtp
            On ne décrira pas le paquet retour (interface WAN, source any, destination srv mail).

          On peut observer que, l'adresse ip de la source fait FORCEMENT partie du réseau lié à l'interface.

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • M
            meirick
            last edited by Jan 10, 2011, 11:48 PM

            Salut,

            Merci à tous, vous m'avez bien éclairé.

            A+

            Meirick

            1 Reply Last reply Reply Quote 0
            5 out of 5
            • First post
              5/5
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
              This community forum collects and processes your personal information.
              consent.not_received