Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Règle de FW basiques

    Scheduled Pinned Locked Moved Français
    6 Posts 4 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hackman61
      last edited by

      Bonjour à tous, voici ma question :

      Le réseau de ma boite est composé de ça :

      On a internet (normal ^^) ,puis une freebox en mode routeur (pour garder un téléphone) , la box est en 192.168.10.254 , et reliée au routeur pfsense , qui à comme ip 192.168.10.1 sur ce réseau. Ensuite on a 2 réseaux :

      • 10.111.2.0/24 –> Administratif
      • 10.111.1.0/24 --> Technique

      Ils sont dans des vlans séparés, mais je pense que ce n'est pas important ici (les vlans sont là parce que ils passent dans la même carte réseau du pfsense ;) )

      Donc ce que je veux faire :

      • 10.111.2.0/24 à accès à Internet sur tout les ports/ip/bidules possibles sans restriction, mais pas à 10.111.1.0/24
      • 10.111.1.0/24 à accès à Internet sur tout les ports/ip/bidules possibles sans restriction, mais pas à 10.111.2.0/24

      Aujourd'hui c'est la fête, les deux réseaux se parlent entre eux comme des vieux potes :/

      Je suppose donc qu'il faut que je mettre une règle du type :

      • Onglet interface ADMIN :

      TYPE            ID Proto Source Port     Destination        Port         Gateway         Queue Schedule                           Description
      ALLOW        XX          all              *            *        Bonne question            *                  *                    ?                  ?              Ma regle qui autorise a parler avec internet
      DENY          XX          all              *            *            Technique                  *                  *                    ?                ?                Ma regle qui interdit de parler avec Technique

      Et pareil pour l'onglet interface technique, mais comme poivez le voir, il y à des inconnues...

      Voila si vous avez des infos je suis preneur :)

      Merci !

      Infos pfsense :

      Name fw-01.econcept.local
      Version 2.1-RELEASE (i386)
      built on Wed Sep 11 18:16:44 EDT 2013
      FreeBSD 8.3-RELEASE-p11

      You are on the latest version.
      Platform nanobsd (2g)
      NanoBSD Boot Slice pfsense1 / ad0s2 (ro)
      CPU Type Geode(TM) Integrated Processor by AMD PCS

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        • 10.111.2.0/24 à accès à Internet sur tout les ports/ip/bidules possibles sans restriction, mais pas à 10.111.1.0/24
        • 10.111.1.0/24 à accès à Internet sur tout les ports/ip/bidules possibles sans restriction, mais pas à 10.111.2.0/24

        Vous ne savez pas le traduire en règle sur pfsense ?

        accès à Internet sur tout les ports/ip/bidules possibles sans restriction

        C'est plutôt une mauvaise idée. Les flux sortants sont pratiquement aussi dangereux que les flux entrants. Plus pernicieux, moins voyant, mais dangereux.
        Pour l'accès à internet, il faut autoriser 80, 443 en TCP. Éventuellement 21 / TCP. Pour dns utilisez la fonction de cache de pfsense. Donc un accès à l'interface de Pfsense de chaque réseau suffit. Ensuite tout dépend des services que vous utilisez sur internet (messagerie ?).

        Une règle "deny" en premier sur chaque interface pour empêcher l'accès à l'autre réseau interne. Puis la règle pour internet. Faite un alias pour grouper 80, 443, 21 et autres (si besoin). Utilisez l'alias dans la règle d'autorisation.

        1 Reply Last reply Reply Quote 0
        • H
          hackman61
          last edited by

          Bonjour, merci de votre réponse :)

          Vous ne savez pas le traduire en règle sur pfsense ?

          non, c'est pour ça que je pose ma question ici ;)

          C'est plutôt une mauvaise idée. Les flux sortants sont pratiquement aussi dangereux que les flux entrants. Plus pernicieux, moins voyant, mais dangereux.
          Pour l'accès à internet, il faut autoriser 80, 443 en TCP. Éventuellement 21 / TCP. Pour dns utilisez la fonction de cache de pfsense. Donc un accès à l'interface de Pfsense de chaque réseau suffit. Ensuite tout dépend des services que vous utilisez sur internet (messagerie ?).

          On utilise toute sorte de service :  du ssh, de l'imap, du pop, du port 2000 pour Nexenta, du rdp, du rdp sur 3390, du … etc etc, après si je fais un alias avec tous ces services / ports dedans, je peux facilement en rajouter ? Du coup ça va être chiant les premiers jours, mais au fur et à mesure ma liste sera complète, donc pourquoi pas.

          Une règle "deny" en premier sur chaque interface pour empêcher l'accès à l'autre réseau interne. Puis la règle pour internet. Faite un alias pour grouper 80, 443, 21 et autres (si besoin). Utilisez l'alias dans la règle d'autorisation.

          Par contre je ne comprend pas le DENY en premier, si le FW lit la table, et tombe sur cette ligne, il s'arrete non ? Il va pas aller voir plus bas , si ?

          Merci encore, et désolé si ça parait simpliste comme question :/

          1 Reply Last reply Reply Quote 0
          • P
            psylo
            last edited by

            @hackman61:

            Bonjour, merci de votre réponse :)

            Vous ne savez pas le traduire en règle sur pfsense ?

            non, c'est pour ça que je pose ma question ici ;)

            C'est plutôt une mauvaise idée. Les flux sortants sont pratiquement aussi dangereux que les flux entrants. Plus pernicieux, moins voyant, mais dangereux.
            Pour l'accès à internet, il faut autoriser 80, 443 en TCP. Éventuellement 21 / TCP. Pour dns utilisez la fonction de cache de pfsense. Donc un accès à l'interface de Pfsense de chaque réseau suffit. Ensuite tout dépend des services que vous utilisez sur internet (messagerie ?).

            On utilise toute sorte de service :  du ssh, de l'imap, du pop, du port 2000 pour Nexenta, du rdp, du rdp sur 3390, du … etc etc, après si je fais un alias avec tous ces services / ports dedans, je peux facilement en rajouter ? Du coup ça va être chiant les premiers jours, mais au fur et à mesure ma liste sera complète, donc pourquoi pas.

            Une règle "deny" en premier sur chaque interface pour empêcher l'accès à l'autre réseau interne. Puis la règle pour internet. Faite un alias pour grouper 80, 443, 21 et autres (si besoin). Utilisez l'alias dans la règle d'autorisation.

            Par contre je ne comprend pas le DENY en premier, si le FW lit la table, et tombe sur cette ligne, il s'arrete non ? Il va pas aller voir plus bas , si ?

            Merci encore, et désolé si ça parait simpliste comme question :/

            Il s'arrête si la règle correspond au traffic. Donc, si vous mettez un règle interdisant l'accès à l'autre LAN en premier suivi d'une règle permettant tout… Je continue ou la pièce est tombée...  ;)

            Je rigole hein... Faut pas se vexer... ;)

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Une phrase en français peut donner 2 règles :

              • une interdiction (en 1).
              • une autorisation (en 2).
                Puisque pf exécute les règles dans l'ordre, cela fonctionne … même si la 2ième règle est "autorise tout".

              La logique de pfSense, mainte fois rappelée, on créé les règles par onglet, onglet qui indique l'interface d'arrivée dans pfSense.
              La conséquence est qu'une règle d'un onglet impose que la source soit bien en correspondance avec l'interface = l'onglet.

              Tout cela est bien basique et rappelé souvent malgré l'évidence ...

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                On utilise toute sorte de service :  du ssh, de l'imap, du pop, du port 2000 pour Nexenta, du rdp, du rdp sur 3390, du … etc etc, après si je fais un alias avec tous ces services / ports dedans, je peux facilement en rajouter ? Du coup ça va être chiant les premiers jours, mais au fur et à mesure ma liste sera complète, donc pourquoi pas.

                Vous pouvez compléter en tant que de besoin.
                D'une façon générale pour ssh, rdp, Nexenta, et sans doute d'autres, leur usage direct via internet sans utiliser de vpn est une folie.
                De plus vous savez sans doute identifier les destinations pour chacun de ces protocoles (imap, pop) donc à indiquer pour diminuer la taille des trous de la passoire.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.