Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bug dans le filtrage ?

    Scheduled Pinned Locked Moved Français
    13 Posts 2 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      ccnet
      last edited by

      Quand tcp 80 et 443 sont autorisés depuis le lan via GW_Failover_Web, alors vous pouvez vous connecter à machine Unbuntu situé en dmz sur le port TCP 22 (ssh), c'est bien ce qu'il faut comprendre ?

      Deux trois choses pour essayer de dégrossir le problème :
      Le port ssh n'a pas été changé sur la machine Unbuntu ?
      Que donne un trace route ou un scan avec Nmap depuis le lan vers la machine Ubuntu, avec et sans la gateway ?
      Pas de nat qui traine ?

      1 Reply Last reply Reply Quote 0
      • J
        Jey-B
        last edited by

        Oui, c'est bien ce qu'il faut comprendre.

        Il n'y a que du classique là, SSH sur port 22, pas de port mapping ou NAT.

        Un traceroute depuis le LAN ne montre que l'IP pfSense côté LAN.

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Ok et un scan Nmap avec, puis sans la gateway ?

          1 Reply Last reply Reply Quote 0
          • J
            Jey-B
            last edited by

            Je n'ai pas touché Nmap depuis… ptet 10ans.
            Je viens de l'installer, mais ça commence mal. Nmap n'arrive pas à pinguer la machine en DMZ alors que j'y arrive depuis mon poste. ?!

            Dans les options du scan, j'ai coché ICMP Ping (pensant qu'il n'utilise pas un ping classique pour tester).

            Bon, je cherche et te donne le résultat dès que je suis arrivé à quelque chose.

            Edit : j'ai bien un prb avec Nmap. Il fonctionne avec les machines du LAN, mais pas du tout avec les machines distantes (IP pfSense des 2 autres sites de la société, que je pingue sans prb depuis mon poste).
            Edit2 : prb de multiple interfaces sur ma machine, ça se contourne en utilisant -S et en indiquant notre IP source locale. Prochain message, les résultats.

            1 Reply Last reply Reply Quote 0
            • J
              Jey-B
              last edited by

              Le scan NMAP correspond à mes tests précédents :

              Avec la règle qui permet le surf (80+443 uniquement) + Gateway forcée (1, ou un groupe pour le failover) :

              PORT    STATE SERVICE
              22/tcp  open  ssh
              80/tcp  open  http
              443/tcp open  https

              Si je vire la gateway de la règle :
              PORT    STATE SERVICE
              80/tcp  open  http
              443/tcp open  https
              Soit le comportement attendu de cette règle.

              Attends-tu + d'infos du scan Nmap ? Si oui, lesquelles ?

              1 Reply Last reply Reply Quote 0
              • J
                Jey-B
                last edited by

                Même chose avec un autre réseau de la société (wan d'un autre site).
                Si je scan le pfSense de l'autre site (via VPN IPsec), j'ai soit les ports 80 et 443 d'ouverts, soit les 80, 443 et 53 si pour ce dernier test une passerelle est définie dans la règle qui n'autorise que le HTTP et HTTPs vers toute destination.

                1 Reply Last reply Reply Quote 0
                • J
                  Jey-B
                  last edited by

                  Ca semble être le cas pour les sous réseaux de la société.

                  si je tente avec altern.org ou smtp.free.fr, j'ai un comportement normal lors du scan, avec ou sans gateway.

                  1 Reply Last reply Reply Quote 0
                  • J
                    Jey-B
                    last edited by

                    Une capture de paquets sur le pfSense sur l'interface DMZ montre, soit que seules les tentatives vers le 80 et 443 ne passent, soit, les  1000 ports du REGULAR TEST de Nmap sont transmises à la machine en DMZ.

                    grr, mais c'est quoi ce comportement ?!

                    1 Reply Last reply Reply Quote 0
                    • J
                      Jey-B
                      last edited by

                      J'ai activé le log de la règle qui permet le surf :

                      Dans les logs firewall :

                      Si aucune gateway n'est configurée, tout est bloqué sauf les paquets correspondant au 80 et 443.

                      Si une gateway est configurée, certains paquets sont autorisés (par ex, des broadcasts de machines du LAN).
                      exemple de destination :
                      10.10.18.255:8612
                      10.10.18.255:138

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccnet
                        last edited by

                        Désolé mais peu de temps ces derniers jours pour me pencher sur le problème un peu sérieusement. Où en êtres vous ?

                        1 Reply Last reply Reply Quote 0
                        • J
                          Jey-B
                          last edited by

                          Merci :)

                          Y a pistes sur mon topic sur le forum anglais.
                          Je viendrai faire un récap dès que possible.

                          Le topic Anglais : http://forum.pfsense.org/index.php/topic,58304.0.html

                          Je ne comprends pas leur notion de "négation" (autre que ce que l'on peut activer manuellement dans les règles).

                          1 Reply Last reply Reply Quote 0
                          • J
                            Jey-B
                            last edited by

                            Problème réglé !

                            Depuis la mise à jour 2.0.2, une nouvelle option existe :
                            Disable Negate rule on policy routing rules
                            With Multi-WAN you generally want to ensure traffic reaches directly connected networks and VPN networks when using policy routing. You can disable this for special purposes but it requires manually creating rules for these networks

                            Donc j'ai testé, coché cette option. Résultats :

                            • quand aucune gateway n'est configurée dans ma règle de surf (80-443), je peux accéder à ma machine en DMZ uniquement sur ces 2 ports, normal (ils tournent sur cette machine, en plus du SSH).
                            • quand une gateway est configurée dans ma règle de surf (connexion aDSL), plus rien ne va faire ma DMZ ou mes réseaux distants. Ce qui pour moi est un comportement normal. Ca oblige de rajouter plus de règles.

                            Ce que je ne comprends absolument pas, c'est cette notion de "negate" ajoutée automatiquement (décrit dans mon sujet anglais, dont le lien est dans mon post au dessus).
                            Pourquoi, dans une règle qui n'autorise que le 80-443, tout devient permis sur les WANs/DMZ de la société quand une passerelle est ajoutée dans cette règle ?!

                            ???

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.