Bug dans le filtrage ?
-
Ok et un scan Nmap avec, puis sans la gateway ?
-
Je n'ai pas touché Nmap depuis… ptet 10ans.
Je viens de l'installer, mais ça commence mal. Nmap n'arrive pas à pinguer la machine en DMZ alors que j'y arrive depuis mon poste. ?!Dans les options du scan, j'ai coché ICMP Ping (pensant qu'il n'utilise pas un ping classique pour tester).
Bon, je cherche et te donne le résultat dès que je suis arrivé à quelque chose.
Edit : j'ai bien un prb avec Nmap. Il fonctionne avec les machines du LAN, mais pas du tout avec les machines distantes (IP pfSense des 2 autres sites de la société, que je pingue sans prb depuis mon poste).
Edit2 : prb de multiple interfaces sur ma machine, ça se contourne en utilisant -S et en indiquant notre IP source locale. Prochain message, les résultats. -
Le scan NMAP correspond à mes tests précédents :
Avec la règle qui permet le surf (80+443 uniquement) + Gateway forcée (1, ou un groupe pour le failover) :
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
443/tcp open httpsSi je vire la gateway de la règle :
PORT STATE SERVICE
80/tcp open http
443/tcp open https
Soit le comportement attendu de cette règle.Attends-tu + d'infos du scan Nmap ? Si oui, lesquelles ?
-
Même chose avec un autre réseau de la société (wan d'un autre site).
Si je scan le pfSense de l'autre site (via VPN IPsec), j'ai soit les ports 80 et 443 d'ouverts, soit les 80, 443 et 53 si pour ce dernier test une passerelle est définie dans la règle qui n'autorise que le HTTP et HTTPs vers toute destination. -
Ca semble être le cas pour les sous réseaux de la société.
si je tente avec altern.org ou smtp.free.fr, j'ai un comportement normal lors du scan, avec ou sans gateway.
-
Une capture de paquets sur le pfSense sur l'interface DMZ montre, soit que seules les tentatives vers le 80 et 443 ne passent, soit, les 1000 ports du REGULAR TEST de Nmap sont transmises à la machine en DMZ.
grr, mais c'est quoi ce comportement ?!
-
J'ai activé le log de la règle qui permet le surf :
Dans les logs firewall :
Si aucune gateway n'est configurée, tout est bloqué sauf les paquets correspondant au 80 et 443.
Si une gateway est configurée, certains paquets sont autorisés (par ex, des broadcasts de machines du LAN).
exemple de destination :
10.10.18.255:8612
10.10.18.255:138 -
Désolé mais peu de temps ces derniers jours pour me pencher sur le problème un peu sérieusement. Où en êtres vous ?
-
Merci :)
Y a pistes sur mon topic sur le forum anglais.
Je viendrai faire un récap dès que possible.Le topic Anglais : http://forum.pfsense.org/index.php/topic,58304.0.html
Je ne comprends pas leur notion de "négation" (autre que ce que l'on peut activer manuellement dans les règles).
-
Problème réglé !
Depuis la mise à jour 2.0.2, une nouvelle option existe :
Disable Negate rule on policy routing rules
With Multi-WAN you generally want to ensure traffic reaches directly connected networks and VPN networks when using policy routing. You can disable this for special purposes but it requires manually creating rules for these networksDonc j'ai testé, coché cette option. Résultats :
- quand aucune gateway n'est configurée dans ma règle de surf (80-443), je peux accéder à ma machine en DMZ uniquement sur ces 2 ports, normal (ils tournent sur cette machine, en plus du SSH).
- quand une gateway est configurée dans ma règle de surf (connexion aDSL), plus rien ne va faire ma DMZ ou mes réseaux distants. Ce qui pour moi est un comportement normal. Ca oblige de rajouter plus de règles.
Ce que je ne comprends absolument pas, c'est cette notion de "negate" ajoutée automatiquement (décrit dans mon sujet anglais, dont le lien est dans mon post au dessus).
Pourquoi, dans une règle qui n'autorise que le 80-443, tout devient permis sur les WANs/DMZ de la société quand une passerelle est ajoutée dans cette règle ?!???