PFSENSE V2 règle accès internet
-
Bonjour,
Je suis en train de mettre sur pieds un PFSENSE en V2 et une question très basique me vient:
Pour autoriser le trafic vers internet depuis un vlan2 sans donner l'accès vers les autres vlans: faut il toujours créer pour chaque vlan un objet qui reprend tous les vlans moins celui depuis lequel on veut donner l'accès à internet(vlan2 dans ce cas) puis faire une règle par la négative?
Ou bien la V2 amène t elle une nouveauté sur ce plan?
Merci
David
-
D'après ce que je comprend.
Si tout est interdit par défaut (règle de base), et que ce qui est autorisé l'est explicitement. Pourquoi une règle sur Vlan 2 autorisant le trafic Internet ne suffit elle pas ? Je ne saisi pas bien cette complication. -
Bonjour CCNET,
Merci pour votre réponse/question.
D'abord je vais être plus explicite sur un point, la config contient différents VLANs.
Si je donne un accès à "tout" depuis le VLAN2 il aura accès à internet mais aussi aux autres VLANs ce qui n'est pas souhaité.
Ma question est alors: existe t il dans la version 2 un objet "internet" (ou autre nom) à choisir comme destination pour créer ma règle d'autorisation de trafic sortant (autorisant le trafic vers internet sans autoriser le trafic vers les autres VLANs?)
Merci
-
Bonsoir MrD,
Juste une piste, j'ai lu quelque part que la solution pour ce genre de problème était a chercher du coté des Gateway que l'on pouvait créer, ce n'est qu'une piste !
Cordialement,
Alex. -
Hello Alex,
Merci pour cette piste.
Les gateway n'ont elles pas plus à voir avec le routage qu'avec les ouvertures de ports (à moins qu'un script n'intervienne dans la v2…)
Mais je garde cette piste sous le coude
David
Bonsoir MrD,
Juste une piste, j'ai lu quelque part que la solution pour ce genre de problème était a chercher du coté des Gateway que l'on pouvait créer, ce n'est qu'une piste !
Cordialement,
Alex. -
Je continue dans mes recherches / pistes:
Je trouve l'objet :"WAN subnet" disponible dans le menu destination des règles de firewall
Cet objet :"WAN subnet" peut-il être utilisé pour donner l'accès à internet depuis un vlan (sans donner l'accès aux autres vlans)?J'ai fait quelques testes non concluants… peut être que je l'utilise mal...
Si vous avez une piste/idée/remarque ça m'intéresse
-
On s'égare ?
Quelques éléments logiques :
- 'WAN subnet' est un objet qui parait clair, et il ne vaut pas 'any' !
- 'any' désigne tout, c'est à dire Internet ET tous les réseaux internes,
- une règle avec 'any' pour cible donne accès à Internet ET à tous les réseaux internes,
- si on veut donner accès à Internet et pas aux autres réseaux internes, il faut d'abord interdire vers tous les réseaux internes puis autoriser 'any'.
Je recommande de toujours créer des alias désignant les réseaux internes :
p.e. lanLAN = 192.168.1.0/24, lanVLAN2 = 192.168.32.0/24, …On peut alors, en v2, créer un alias lanINTERNES = lanLAN + lanVLAN2 + .... grâce aux alias d'alias.
Un accès depuis VLAN2 à Internet seulement s'écrira juste en 2 règles :
- block / proto: ... / source: lanVLAN2 / destination: lanINTERNES
- accept / proto: ... / source: lanVLAN2 / destination : any
Cela me parait très simple et logique !
Avec pfSense, il est ESSENTIEL de penser alias ! (et de normer les noms d'alias pour faciliter la lecture !)
-
Bonjour JDH,
Merci de cette réponse par laquelle tu réponds implicitement à ma première question.
Donc la méthode pour écrire une règle qui authorise l'accès internet n'a pas changé depuis la version précédente de pfsense, il faut créer un alias avec les différent VLANs bloquer l'accès intervlan, il n'y a pas un objet créé automatiquement qui simplifie les choses (soit un objet "internet" soit un objet "tous les vlans sauf celui en question").
Merci beaucoup
David