Rules & Log - Explications possibles ?
-
Bonjour,
Dans le cadre de mon BTS, j'ai comme "mission" le renouvellement d'un firewall installé sur une très vieille machine sous Indian Firewall.
On m'a conseillé de me tourner vers pfSense et avoir parcouru le net, c'est en toute logique que j'ai soumis pfSense. Il va s'en dire qu'on laisse "carte blanche" à ce sujet ;-)
J'ai donc procédé à une installation et suivi les documentations et les tutoriels de ce site et ceux présents sur le net. J'ai désactivé la règle par défaut d'un accès total pour y mettre des règles aux cas par cas comme j'ai pu le lire sur beaucoup de post ;-)
Néanmoins et malgré avoir activé une règle d'accès sur un port spécifique, le journal m'inonde de message d'alerte sur ce même port pourtant activé. Je vous ai préparé des captures d'écran pour y d'écrire mon souci (plus représentatif).
Exemple :
Mise en place d'une règle dull accès sur le port 443
Extrait du journal d'événements, relatif à cette même règle
Autre exemple :
Règle part défaut en Alias
Et extrait du journal d'événement
D'avance merci de votre aide et surtout désolé si vous jugez de l'évidence ou la simplicité de la question.
Bonne journée.
-
Bonjour,
les logs sont ceux d'un dialogue DHCP je pense. Avez-vous configurez un serveur DHCP sur votre LAN ou sur PF ?
P.S : Mauvaise idée de mettre des accents dans les noms des objets ^^
-
Pour la première question il y a plusieurs hypothèses.
1. l'ordre des règles pourrait ne pas être le bon. Votre copie d'écran isole la règle qui autorise Lan net vers any:443 mais si il se trouve au dessus une règle qui l'interdit explicitement ou implicitement, les paquets sont rejetés. Dans Pfsense les règles s'applique dans l'ordre où on les lit, de bas en haut. Lorsqu'une règle est vérifiée l'évaluation cesse.
2. 192.168.1.0.118 fait il bien partie de LAN net ?
Pour la troisième copie d'écran (EasyRuleBlockHostLan) , que souhaitez faire ?
Le dernier log est bien celui d'une machine qui tente d'obtenir une configuration réseau via DHCP. Est ce qui est souhaité ?
A première vue je serai tenté de voir conseiller la vérification de l'ordre des règles et la vérification des règles par défaut.
Dans un premier temps essayez de simplifier, avec des règles plus laxistes, pour vérifier que vous obtenez un résultat qui correspond à ce que vous pensez faire. Temporairement bien sûr.Et extrait du journal d'événement
Terminologie strictement Windows. Ici on parle de log. Pas important mais on n'est pas obligé de se laisser envahir par le marketing de Microsoft. Appeler des logs "journal d'événements" c'est quand même du marketing.
-
Bonjour,
Avant tout, merci à vous deux, pour vos réponses.
Pour répondre à Pro21 :@Pro21:
les logs sont ceux d'un dialogue DHCP je pense. Avez-vous configurez un serveur DHCP sur votre LAN ou sur PF ?
P.S : Mauvaise idée de mettre des accents dans les noms des objets ^^
Oui un serveur DHCP est bien présent sur le réseau LAN. Dois-je activer un DHCP relay ou mettre en place une règle ?
Pour le P.S., les accents sont sur les descriptions et non sur les règles. Sauf erreur, je ne pense pas que cela soit un souci sur la description, non ?Pour répondre à ccnet :@ccnet:
1. l'ordre des règles pourrait ne pas être le bon. Votre copie d'écran isole la règle qui autorise Lan net vers any:443 mais si il se trouve au dessus une règle qui l'interdit explicitement ou implicitement, les paquets sont rejetés. Dans Pfsense les règles s'applique dans l'ordre où on les lit, de bas en haut. Lorsqu'une règle est vérifiée l'évaluation cesse.
Ah ??? je pensais que les règles s'appliquaient de haut en bas ?!
Voici une copie d'écran de la totalité des règles mise en place, pour une meilleur compréhension :
La règle "bogon" ; appliquée ce matin (et pour le 0.0.0.0).2. 192.168.~~1.~~0.118 fait il bien partie de LAN net ?
Oui. Le Lan Net est 192.168.0.0/24
Pour la troisième copie d'écran (EasyRuleBlockHostLan) , que souhaitez faire ?
Je l'ai appliqué de façon "automatique" afin de ne plus afficher les log en provenance de 0.0.0.0.
Le dernier log est bien celui d'une machine qui tente d'obtenir une configuration réseau via DHCP. Est ce qui est souhaité ?
Oui sur le LAN Net certains postes sont en configuration DHCP. Pourtant un serveur DHCP est bien présent sur le LAN mais sans option de Boot (PXE).
A première vue je serai tenté de voir conseiller la vérification de l'ordre des règles et la vérification des règles par défaut.
Dans un premier temps essayez de simplifier, avec des règles plus laxistes, pour vérifier que vous obtenez un résultat qui correspond à ce que vous pensez faire. Temporairement bien sûr.C'est en cours. Je vais tout désactiver et réactiver au fur et à mesure.
Et extrait du journal d'événement :Terminologie strictement Windows. Ici on parle de log. Pas important mais on n'est pas obligé de se laisser envahir par le marketing de Microsoft. Appeler des logs "journal d'événements" c'est quand même du marketing.
Oui oui, je sais ;-). J'ai simplement voulu utiliser des termes français sur un forum français. Mais dans mon language courant, j'emploie le terme de log tout OS confondu ;-)
En tout cas merci encore une fois.
A+
-
Pardon monstrueuse coquille, les règles s'appliquent de haut en bas comme vous l'indiquez. Grosse, grosse annerie de ma part.
-
Bonsoir,
Oui, je m'en suis douté avec la phrase ci-dessous, mais du coup le doute s'est quand même installé:
@ccnet:Votre copie d'écran isole la règle qui autorise Lan net vers any:443 mais si il se trouve au dessus une règle qui l'interdit explicitement ou implicitement, les paquets sont rejetés.
Alors ces règles, des incohérences ?
Des recommandations ?J'ai continué à chercher et je suis tombé sur le lien ci-dessous est-ce l'explication à mon souci ou une piste ?
Logs show - Blocked traffic from a legitime connection - Why ?Bonne soirée.
A+ -
Un rapide commentaire.
Pour dns je préciserai la destination vers laquelle le trafic est autorisé. Ce serait plutôt l'interface Lan de Pfsense si vous utiliser le cache dns de Pfsense. DNS comporte de nombreux dangers sous son air inoffensif et gentil.
Pour DHCP il faut en effet autoriser l'accès à la patte Lan (dans votre cas) pour udp/67.