Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Filtrage firewall

    Scheduled Pinned Locked Moved Français
    13 Posts 3 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bennijamm
      last edited by

      Bonjour,
      Je suis en pleine installation d'un serveur pfSense pour la mise en place d'un portail captif dans mon entreprise.
      En regardant les logs du firewall, je m'aperçois que des trames provenant du WAN sont "bloquées" par le firewall.
      Or, les ordinateurs du WAN ne passent pas pas pfSense. Comment est-ce possible ?
      Merci

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Je ne comprend pas votre problème et comme nous ne savons pas ce qu'est votre configuration … Ce mélange wan, portail captif, proxy qui bloque des trames ?? Tout cela est très confus.

        1 Reply Last reply Reply Quote 0
        • B
          bennijamm
          last edited by

          WAN = 10.0.1.x/24 = réseau local de l'entreprise
          LAN = 192.168.1.x/24 = réseau clients
          Les deux interfaces sont IP Static :
          WAN IP = 10.0.1.207 + GW 10.0.1.254
          LAN IP = 192.168.1.1

          Le firewall :
          WAN : pour le moment, j'autorise le WAN subnet à se connecter aux ports 85 (HTTPS) et 22 (pour l'administration).
          Je bloque les ports 67 et 68 pour éviter que les utilisateurs du WAN prennent un IP distribuée par le DHCP de pfSense.
          LAN : j'autorise tous les ports standards en TCP/UDP.

          Ma question :
          A la lecture des logs du proxy, je vois que le firewall bloque des ports (137, 138, 17500…) alors que les utilisateurs du WAN ne sont pas sensés passer par là ?!

          block
May 12 14:33:52	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:33:52	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:33:52	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:17500	UDP
 block
May 12 14:33:55	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.70:59981	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:1947	UDP
 block
May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:60883	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.38:50270	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.42:61573	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:64972	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.55:56075	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.66:60837	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.37:59923	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:60883	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
 block
May 12 14:33:58	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
 block
May 12 14:33:59	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
 block
May 12 14:33:59	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.41:55321	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:34:05	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.53:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
 block
May 12 14:34:06	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.53:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
 block
May 12 14:34:06	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.45:55319	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:1947	UDP
 block
May 12 14:34:06	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.53:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
 block
May 12 14:34:07	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
 block
May 12 14:34:07	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
 block
May 12 14:34:08	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
 block
May 12 14:34:10	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.45:55319	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:1947	UDP
 block
May 12 14:34:11	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:11	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:11	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:11	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:11	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:17500	UDP
 block
May 12 14:34:14	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.18:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:14	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.18:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:14	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.18:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:14	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.18:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:17500	UDP
 block
May 12 14:34:22	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:22	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:22	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:17500	UDP
 block
May 12 14:34:32	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.70:59981	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:1947	UDP
 block
May 12 14:34:33	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.68:138	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:138	UDP
 block
May 12 14:34:36	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.70:59981	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:1947	UDP
 block
May 12 14:34:39	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.212:1057	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:138	UDP
 block
May 12 14:34:39	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.43:60904	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:34:39	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.41:55334	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:34:39	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.38:64716	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:34:39	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.43:60904	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
 block
May 12 14:34:40	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.39:138	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:138	UDP
 block
May 12 14:34:42	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:42	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:42	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:42	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
 block
May 12 14:34:42	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:17500	UDP
          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Sans schéma votre configuration reste pour le moins exotique.

            WAN = 10.0.1.x/24 = réseau local de l'entreprise

            Pour le moins curieux. Ne pas perdre de vue que tous les flux de lan (et toutes autres interfaces qui existeraient) à destination d'une adresse autre que lan (ou autres) vont être translatés avec l'ip du wan.

            WAN IP = 10.0.1.207 + GW 10.0.1.254

            On en déduit que les réseau "Wan" possède probablement 2 gateways … encore que ??

            Je bloque les ports 67 et 68 pour éviter que les utilisateurs du WAN prennent un IP distribuée par le DHCP de pfSense.

            Ne pas activer dhcp sur l'interface wan résoudrait le problème.

            LAN : j'autorise tous les ports standards en TCP/UDP.

            Que sont pour vous les ports standards en TCP/UDP ? Il y en a plusieurs centaines, voire milliers …

            A la lecture des logs du proxy, je vois que le firewall bloque des ports (137, 138, 17500…)

            Je ne comprend pas comment on voit dans les logs d'un proxy ce que bloque un firewall !!
            Il est grand temps de décrire tout cela clairement avec une description fonctionnelle, un schéma et les fonctions de chaque machine.

            j'autorise le WAN subnet à se connecter aux ports 85 (HTTPS)

            85 https vraiment ?

            et 22 (pour l'administration).

            l'administration de quoi ?

            1 Reply Last reply Reply Quote 0
            • B
              bennijamm
              last edited by

              Pour schéma du réseau, je ne sais pas ce que vous voulez exactement. Voilà ce que je peux vous donner :

              passerelle Internet : 10.0.1.254
                  |
                  |
              LAN entreprise (10.0.1.x/24)
                  |
                  |________________________(10.0.1.207/24)_pfSense _(192.168.1.1/24)_______AP Wifi____Clients Wifi (192.168.1.x/24)

              Fonction du serveur pfSense : portail captif, filtrage URL.

              Le WAN n'a qu'une seule passerelle.

              Le DHCP n'est activé que pour le LAN. J'avais dû l'activer accidentellement au moment de mes tests.

              Les ports que j'appelle "standards" sont ceux qui permettent de naviguer et de consulter ses mails. En l'occurrence, ce sont les ports 80, 443, 143, 993, 110, 995, 25, 587 et 465. Je laisse passer aussi 8000:8001 et 53. Est-ce logique pour vous ?

              A la lecture des logs du firewall évidemment, pas du proxy !

              Quant au port 85 qui est utilisé pour l'HTTPS, c'est une option prise dans la configuration pfSense de changer le port par défaut…
              Le port 22 est activé pour le SSH mais c'est vrai que l'esprit de pfSense est vraiment tournée vers son interface graphique.

              L'objectif final est de fournir à nos clients un accès Wifi via un portail captif + que ça ne coûte rien à l'entreprise. Par contre, si dans mon schéma, il y a des erreurs ou des problèmes de sécurité, je suis preneur.

              Merci encore

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                LAN entreprise (10.0.1.x/24)

                "Subnetter" une classe A est juste une source de confusions et ou d'ennuis. 101.0.0/8 ou 192.168.x.0/24

                Les ports que j'appelle "standards" sont ceux qui permettent de naviguer et de consulter ses mails. En l'occurrence, ce sont les ports 80, 443, 143, 993, 110, 995, 25, 587 et 465. Je laisse passer aussi 8000:8001 et 53. Est-ce logique pour vous ?

                Voir commentaire de JDH que je partage.

                Quant au port 85 qui est utilisé pour l'HTTPS, c'est une option prise dans la configuration pfSense de changer le port par défaut…

                Si vous imaginez un quelconque avantage sur le plan de la sécurité vous vous trompez. Restez sur les standards.

                Le port 22 est activé pour le SSH mais c'est vrai que l'esprit de pfSense est vraiment tournée vers son interface graphique.

                Danger !

                Enfin, le schéma retenu est inapproprié et dangereux. Les flux des invités traversent joyeusement le lan de l'entreprise. Une règle de base en sécurité réseau, c'est le cloisonnement des flux. De plux vous êtes contraint par ce schéma d'autoriser les flux retour à traverser votre lan. Suicidaire !
                Un schéma de base acceptable est joint. Sous réserve d'investigation plus poussées. Ce qui nous ramène encore et toujours à l'analyse fonctionnelle.
                Vos invités ne doivent en aucun vas traverser votre lan. Et inversement d'ailleurs. Tout cela doit être rigoureusement séparé. Je fais l'hypothèse que vous avez une exigence de sécurité limitée en confiant tout le trafic au même isp. C'est votre firewall qui fera le travail de cloisonnement. Attention au paramétrage !
                DHCP sera fourni au lan par un autre équipement que Pfsense.

                Capture.GIF
                Capture.GIF_thumb

                1 Reply Last reply Reply Quote 0
                • B
                  bennijamm
                  last edited by

                  Merci pour vos éclairages mais à votre schéma, je vois un problème majeur : le firewall n'est pas chez nous mais chez l'opérateur !
                  Alors, dans ces conditions, quelles sont les alternatives pour sécuriser l'installation ?

                  Concernant notre réseau, certes il est en classe A mais ce sont des tranches données par Oléane et nous y sommes contraint du fait de notre VPN. Quand il ne restera plus que ça… !

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    Un abonnement Free à 30 euros. Sinon c'est à Oleane qu'il faut poser la question. En attendant cela donne un bon exemple de ce que peut entrainer une externalisation, pour partie, de la sécurité du SI. Il y a bien un routeur chez vous ? Les solutions techniques ne manquent pas mais c'est Oleane qui va décider, selon ce qu'ils ont (ou pas ) au catalogue. Les connaissant, ce ne sera pas gratuit.
                    A part la Freebox dans un coin (et c'est une autre architecture qu'il faut réfléchir), vous ne pouvez de toute façon rien faire sans Oleane. Du moins rien de sérieux.

                    1 Reply Last reply Reply Quote 0
                    • B
                      bennijamm
                      last edited by

                      D'accord. Merci.
                      Nous changeons d'opérateur très prochainement et nous devrions avoir un firewall dédié watch guard. Cela sera l'occasion de revoir notre sécurité.

                      1 Reply Last reply Reply Quote 0
                      • J
                        jdh
                        last edited by

                        Je ne comprends guère : vous n'êtes pas capable de poser correctement votre problème : chaque post apporte un peu plus de précision … ce qu'il faudrait faire AU DEBUT !
                        Ensuite, une fois les réseaux posés, il faut parler en terme de besoin : quel besoin ?

                        Orange (Oleane), SFR ont tendance à proposer des lignes pour relier plusieurs sites et fournir "depuis le central", l'accès "sécurisé" à Internet.
                        C'est une vaste fumisterie parce que vous ne pouvez plus avoir de firewall ou de proxy

                        Lan1 <-> Rtr1
                        Lan2 <-> Rtr2
                        et lien Rtr1 <-> Rtr2 et Rtr1 <-> Internet et Internet <->  Rtr2

                        Cela n'est pas pratique du tout !

                        On arrive souvent à un schéma avec un LAN connecté à 1 firewall et accès à Internet + 1 routeur de lien vers un autre site équivalent.
                        Si vous ne gérez pas correctement les routes cela devient l'enfer : ajout du routage pour chaque matériel : fourni par le dhcp en automatique ou inscrit manuellement (route -p sous W).

                        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                        1 Reply Last reply Reply Quote 0
                        • B
                          bennijamm
                          last edited by

                          Je ne comprends guère : vous n'êtes pas capable de poser correctement votre problème : chaque post apporte un peu plus de précision … ce qu'il faudrait faire AU DEBUT !
                          Ensuite, une fois les réseaux posés, il faut parler en terme de besoin : quel besoin ?

                          Désolé de ne pas avoir été plus clair dès le début  :-\

                          L'évolution de notre offre Internet se profile vers une interconnexion de chaque site via un VPN IP MPLS et une sortie en cœur de réseau avec son filtrage dédié Watchguard.

                          Lan1 <-> Rtr1
                          Lan2 <-> Rtr2
                          et lien Rtr1 <-> Rtr2 et Rtr1 <-> Internet et Internet <->  Rtr2

                          Cela n'est pas pratique du tout !

                          Je suis désolé, je n'ai pas vos compétences techniques, c'est évident mais en quoi ce n'est pas pratique ?
                          Quelle solution devrions-nous adopter alors ?

                          Merci

                          1 Reply Last reply Reply Quote 0
                          • J
                            jdh
                            last edited by

                            MPLS et une sortie en cœur de réseau

                            Le discours marketing habituel (et bien rodé) !

                            Quelques minutes de réflexion :

                            • comment récupérer un flux entrant avec ce schéma ? Je veux créer un serveur ftp interne, comment je fais ? Je veux un serveur de mail interne et recevoir directement les mails ?
                            • puis-je avoir un firewall (sans perdre la connectivité réseau à réseau) ? seul un firewall en pont peut-être utilisé (avec les difficultés que cela pose).
                            • comment filtrer les flux sortants ? idem
                            • comment filtrer mon flux de navigation ? idem + proxy + règle d'autorisation du seul proxy
                            • comment gérer la passerelle par défaut si j'ajoute un adsl privé ?
                              (enfin, quid des stats d'utilisation des liens ?)

                            En général, je préviens, dès le début, le commercial de l'opérateur qu'il n'est pas question qu'il me parle de cette solution …
                            J'ai vu et revu, et maintenant je gère moi-même le vpn inter-sites (même si je perds en débit).

                            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                            1 Reply Last reply Reply Quote 0
                            • C
                              ccnet
                              last edited by

                              Et après le discours, on a l'ouverture de port à la demande facturée 100,00 € HT. A moins qu'ils aient changé le tarif.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.