Règle de FW basiques
-
Bonjour à tous, voici ma question :
Le réseau de ma boite est composé de ça :
On a internet (normal ^^) ,puis une freebox en mode routeur (pour garder un téléphone) , la box est en 192.168.10.254 , et reliée au routeur pfsense , qui à comme ip 192.168.10.1 sur ce réseau. Ensuite on a 2 réseaux :
- 10.111.2.0/24 –> Administratif
- 10.111.1.0/24 --> Technique
Ils sont dans des vlans séparés, mais je pense que ce n'est pas important ici (les vlans sont là parce que ils passent dans la même carte réseau du pfsense ;) )
Donc ce que je veux faire :
- 10.111.2.0/24 à accès à Internet sur tout les ports/ip/bidules possibles sans restriction, mais pas à 10.111.1.0/24
- 10.111.1.0/24 à accès à Internet sur tout les ports/ip/bidules possibles sans restriction, mais pas à 10.111.2.0/24
Aujourd'hui c'est la fête, les deux réseaux se parlent entre eux comme des vieux potes :/
Je suppose donc qu'il faut que je mettre une règle du type :
- Onglet interface ADMIN :
TYPE ID Proto Source Port Destination Port Gateway Queue Schedule Description
ALLOW XX all * * Bonne question * * ? ? Ma regle qui autorise a parler avec internet
DENY XX all * * Technique * * ? ? Ma regle qui interdit de parler avec TechniqueEt pareil pour l'onglet interface technique, mais comme poivez le voir, il y à des inconnues...
Voila si vous avez des infos je suis preneur :)
Merci !
Infos pfsense :
Name fw-01.econcept.local
Version 2.1-RELEASE (i386)
built on Wed Sep 11 18:16:44 EDT 2013
FreeBSD 8.3-RELEASE-p11You are on the latest version.
Platform nanobsd (2g)
NanoBSD Boot Slice pfsense1 / ad0s2 (ro)
CPU Type Geode(TM) Integrated Processor by AMD PCS -
- 10.111.2.0/24 à accès à Internet sur tout les ports/ip/bidules possibles sans restriction, mais pas à 10.111.1.0/24
- 10.111.1.0/24 à accès à Internet sur tout les ports/ip/bidules possibles sans restriction, mais pas à 10.111.2.0/24
Vous ne savez pas le traduire en règle sur pfsense ?
accès à Internet sur tout les ports/ip/bidules possibles sans restriction
C'est plutôt une mauvaise idée. Les flux sortants sont pratiquement aussi dangereux que les flux entrants. Plus pernicieux, moins voyant, mais dangereux.
Pour l'accès à internet, il faut autoriser 80, 443 en TCP. Éventuellement 21 / TCP. Pour dns utilisez la fonction de cache de pfsense. Donc un accès à l'interface de Pfsense de chaque réseau suffit. Ensuite tout dépend des services que vous utilisez sur internet (messagerie ?).Une règle "deny" en premier sur chaque interface pour empêcher l'accès à l'autre réseau interne. Puis la règle pour internet. Faite un alias pour grouper 80, 443, 21 et autres (si besoin). Utilisez l'alias dans la règle d'autorisation.
-
Bonjour, merci de votre réponse :)
Vous ne savez pas le traduire en règle sur pfsense ?
non, c'est pour ça que je pose ma question ici ;)
C'est plutôt une mauvaise idée. Les flux sortants sont pratiquement aussi dangereux que les flux entrants. Plus pernicieux, moins voyant, mais dangereux.
Pour l'accès à internet, il faut autoriser 80, 443 en TCP. Éventuellement 21 / TCP. Pour dns utilisez la fonction de cache de pfsense. Donc un accès à l'interface de Pfsense de chaque réseau suffit. Ensuite tout dépend des services que vous utilisez sur internet (messagerie ?).On utilise toute sorte de service : du ssh, de l'imap, du pop, du port 2000 pour Nexenta, du rdp, du rdp sur 3390, du … etc etc, après si je fais un alias avec tous ces services / ports dedans, je peux facilement en rajouter ? Du coup ça va être chiant les premiers jours, mais au fur et à mesure ma liste sera complète, donc pourquoi pas.
Une règle "deny" en premier sur chaque interface pour empêcher l'accès à l'autre réseau interne. Puis la règle pour internet. Faite un alias pour grouper 80, 443, 21 et autres (si besoin). Utilisez l'alias dans la règle d'autorisation.
Par contre je ne comprend pas le DENY en premier, si le FW lit la table, et tombe sur cette ligne, il s'arrete non ? Il va pas aller voir plus bas , si ?
Merci encore, et désolé si ça parait simpliste comme question :/
-
Bonjour, merci de votre réponse :)
Vous ne savez pas le traduire en règle sur pfsense ?
non, c'est pour ça que je pose ma question ici ;)
C'est plutôt une mauvaise idée. Les flux sortants sont pratiquement aussi dangereux que les flux entrants. Plus pernicieux, moins voyant, mais dangereux.
Pour l'accès à internet, il faut autoriser 80, 443 en TCP. Éventuellement 21 / TCP. Pour dns utilisez la fonction de cache de pfsense. Donc un accès à l'interface de Pfsense de chaque réseau suffit. Ensuite tout dépend des services que vous utilisez sur internet (messagerie ?).On utilise toute sorte de service : du ssh, de l'imap, du pop, du port 2000 pour Nexenta, du rdp, du rdp sur 3390, du … etc etc, après si je fais un alias avec tous ces services / ports dedans, je peux facilement en rajouter ? Du coup ça va être chiant les premiers jours, mais au fur et à mesure ma liste sera complète, donc pourquoi pas.
Une règle "deny" en premier sur chaque interface pour empêcher l'accès à l'autre réseau interne. Puis la règle pour internet. Faite un alias pour grouper 80, 443, 21 et autres (si besoin). Utilisez l'alias dans la règle d'autorisation.
Par contre je ne comprend pas le DENY en premier, si le FW lit la table, et tombe sur cette ligne, il s'arrete non ? Il va pas aller voir plus bas , si ?
Merci encore, et désolé si ça parait simpliste comme question :/
Il s'arrête si la règle correspond au traffic. Donc, si vous mettez un règle interdisant l'accès à l'autre LAN en premier suivi d'une règle permettant tout… Je continue ou la pièce est tombée... ;)
Je rigole hein... Faut pas se vexer... ;)
-
Une phrase en français peut donner 2 règles :
- une interdiction (en 1).
- une autorisation (en 2).
Puisque pf exécute les règles dans l'ordre, cela fonctionne … même si la 2ième règle est "autorise tout".
La logique de pfSense, mainte fois rappelée, on créé les règles par onglet, onglet qui indique l'interface d'arrivée dans pfSense.
La conséquence est qu'une règle d'un onglet impose que la source soit bien en correspondance avec l'interface = l'onglet.Tout cela est bien basique et rappelé souvent malgré l'évidence ...
-
On utilise toute sorte de service : du ssh, de l'imap, du pop, du port 2000 pour Nexenta, du rdp, du rdp sur 3390, du … etc etc, après si je fais un alias avec tous ces services / ports dedans, je peux facilement en rajouter ? Du coup ça va être chiant les premiers jours, mais au fur et à mesure ma liste sera complète, donc pourquoi pas.
Vous pouvez compléter en tant que de besoin.
D'une façon générale pour ssh, rdp, Nexenta, et sans doute d'autres, leur usage direct via internet sans utiliser de vpn est une folie.
De plus vous savez sans doute identifier les destinations pour chacun de ces protocoles (imap, pop) donc à indiquer pour diminuer la taille des trous de la passoire.