Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    NAT ET REGLES FIREWALL

    Français
    2
    5
    1.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      osn
      last edited by

      Bonjour,

      Je viens de remarquer quelque chose d'étrange; j'ai fait des règles NAT pour accéder à distances à mes machines en ssh de ce type:

      WAN2 TCP * * * 24 192.168.1.17 22 (SSH)

      Pour sécuriser la chose je vais ensuite dans Firewall/Rules/ et je désactive la règle créée automatiquement dans cette section ce qui fonctionne très bien pour tout les autres protocoles testés (http, cups, lpr, rdp, syslog, etc…)
      Par contre tout ce qui concerne SSH reste accessible depuis l'extérieur même avec les règles sus-mentionnées désactivées.

      Nmap me montre bien les ports concernés ouverts.

      J'ai constaté le même comportement sur mes 2 pfsense respectivement en  2.0.1 et 2.02.

      Quelqu’un a il une explication ?

      [edit] j'ai trouvé comme un grand lorsque j'écrivais mon message… la règle firewall par défaut acceptant le ssh pour accéder à Pfsense prévaut sur les régles NAT ce qui est logique.
      Dans ce cas ma question est la suivante:
      Quelle règle firewall mettre pour que Pfsense soit accessible depuis l’extérieur en ssh mais que mes régles NAT a destination du même port soit désactivable ?

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Une pratique sûre, qui évite toute ambiguïté, consiste ne pas rendre possible ssh depuis l’extérieur autrement que pas un vpn que ce soit pour accéder à un serveur. Quand à Pfsense lui même il y très peu de raison d'y accéder en ssh. Une politique de sécurité un peu sérieuse devrait proscrire cette possibilité.

        1 Reply Last reply Reply Quote 0
        • O
          osn
          last edited by

          Certe, mais je suis loin géographiquement du site et je suis rassuré d'avoir cet accès de secours au cas où.
          Pour répondre moi même à ma question il fallait tout simplement mettre l'adresse ip de l'interface dans le champs destination de la règle.

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Au cas où quoi ? Si la liaison est tombée, si la machine est arrêtée, si le modem de l'isp est mort, si un câble est débranché accidentellement que ferez vous de plus en ssh sur Pfsense ? Rien ! Je gère moi aussi des systèmes éloignés d'un certain nombre de clients. Pas de ssh sur Pfsense, et pas sans vpn pour les autres machines. Par contre un cluster Pfsense est utilisé dès lors que la disponibilité est un critère peu sensible. Et si besoin des liaisons wan multiples.

            1 Reply Last reply Reply Quote 0
            • O
              osn
              last edited by

              Je ne sais pas pourquoi je vous répond, vous n'avez pas essayé de m'aider juste de m'imposer votre avis de manière condescendante …
              J'ai déjà eu le bug où l'interface web ne répond plus (error 503 si je me souviens bien) j'étais bien content de trouver ma session ssh.
              J'accède à une poignée de desktop dans des petites structures à de rares occasions durant lesquelles j'ouvre les ports NAT le temps de l'intervention depuis des endroits et des pc potentiellement différents, le VPN me semble bien overkill pour cette configuration.
              Sur une structure plus grande j'ai déjà utilisé des configurations de 4 wan le tout en CARP si c'est un concours de bite.
              Si j'ai mal compris vos intentions veuillez m'excuser.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.