Sortir ….. pour rentrer
-
Je vois mal une même machine traiter en entrant un flux qu'elle vient de faire sortir.
Un portable avec son câble ethernet débranché et une connexion Wifi via un téléphone est une machine connectée sur Internet.
Ne pas oublier qu'une fois la bonne config faite (juste un NAT/port forward), le flux passe.
-
La solution "internet via 4G" ou la connexion depuis une machine distante en VNC, TeamViewer ou autre sont de bonnes solutions moins risquées que la modification des routes sur le FW ;)
Un autre aspect à prendre en compte si tu persistes avec un test "en boucle", comme je comprends qu'il s'agit de serveur Web: l'usage du proxy.
- avec un proxy transparent, ta requête va être interceptée par le proxy mais c'est le client qui fait la résolution
- avec un proxy explicite, c'est le proxy qui fait la résolution
et donc attention à quel DNS utilise chaque composant ;-)
-
Le vrai test, en fonction de l'objectif que vous indiquez, est bien une connexion Wifi avec par exemple un téléphone comme point d'accès. Là vous êtes certain des conditions. Par ailleurs modifier une configuration, sur un système en production, aux seules fins de test est une pratique dangereuse. dans les PSSI un peu sérieuses, c'est totalement prohibé.
-
merci pour l'attention que vous preter a mon probleme….
toutes mes IP publiques sont dans la RFC 1918....
Chris4916, est ce que tes 2 ISP sont connectees au meme pfsense... .si oui, je pense etre dans la meme situation de test que toi.....
effectivement, il m'arrive de prendre une connexion 3G pour faire mes tests, mais lorsque je fais un test avec un autre serveur Web (Web Service client) situe sur le meme LAN, il est beaucoup plus complique d'y installer une sortie 3G....
-
puisque tu veux tout savoir ;D mon setup est le suivant:
- un accès ADSL derrière une Freebox configurée en routeur
- un accès FTTH avec un routeur en frontal
la Freebox et le routeur ont donc tous les chacun une IP externe publique (de l'ISP), une une IP interne dans la RFC1918, et sont connectés à pfSense sur des interfaces "WAN" avec un serveur DHCP qui distribue deux adresses, dont une avec réservation de mail basée sur l'adresse MAC des interfaces WAN de pfSense.
Au final, seules les adresses internes des routeurs en frontal d'internet ont des adresses fixes ;)
chaque routeur (la Freebox d'un coté et le routeur qui fait l'interface avec le CPE) sont configurés pour router vers l'interface externe de pfSense les protocoles que j'autorise en entré, c'est à dire pas grand chose: web, VPN, SMTP, IMAP FTP.
Coté pfSense, les 2 WAN sont utilisés en mode fail-over (et non pas load-balancing) car la différence de performance entre ADSL et FTTH est énorme. L'accès ADSL me sert donc uniquement de back-up (dans les 2 sens)
Avec ce montage, lorsque je veux faire un test "vu de l'extérieur", si c'est ponctuel, je connecte mon interface réseau sur le switch du routeur externe. C'est simple et facile mais il m'est également arrivé de forcer la route sur pfSense pour, par exemple, avoir accès à toutes les fonctions d'administration de la Freebox (il faut une IP sortante dans le range de Free) tout en accédant pour le reste via FTTH.
Ce montage ne permet pas de récupérer les journaux d'attaque sur l'IP publique de la Freebox mais dans mon cas, ce n'est pas un soucis. Coté FTTH, le routeur fait ça très bien ;) mais le le changerai bientôt pour une version qui fait du rsyslog histoire d'être un peu plus réactif (c'est juste par curiosité).
Pour compléter le paysage, coté intérieur, pfSense gère 2 DMZ: une pour un réseau plutôt publique et une pour mes serveurs qui exposent ou consomment des services tournés vers internet (MTA, proxy, web, FTP)
Dans mon usage, je ne vois pas d'inconvénient majeur à ce design, si ce n'est de devoir configurer 3 composants (Freebox, routeur et pfSense) lorsque j'ai un nouveau protocole entrant, ce qui n'arrive presque jamais.
L'impact du routeur supplémentaire qui pourrait être évité si pfSense était directement connecté au CPE (ou la Freebox connectée en gateway) est parfaitement négligeable e tje n'ai pas de soucis de type "double NAT" ;)A noter que pfSense n'est pas mon serveur DHCP interne ni mon serveur DNS pour les machines internes ;)
-
Que tout cela est compliqué !
La solution sage et rapide, c'est un PC avec une connexion directe à Internet qui réalise le test.
Ensuite, la règle est juste un transfert de port : ça fonctionne ou ça ne fonctionne pas : si cela fonctionne 1 fois, cela fonctionne toujours !
On regarde ensuite directement dans les logs du serveur web. -
Je crois aussi que c'est la bonne méthode. Simple et qui colle à le réalité.
-
Je ne sais pas pourquoi mais je m'attendais un peu à des réactions de ce genre ;)
oui ça peut paraître compliqué mais ça a plein d'avantages également :)Et pour ce qui est de la réalité, probablement qu'il n'y en a pas qu'une seule :-[
Je vous invite quand même, si vous en avez la possibilité, à aller voir les configurations réseau (sur la partie connectée à internet), de quelques grands comptes. Vous en trouverez peut-être quelques uns qui connectent directement leur FW à internet mais dans la grande majorité des entreprises, le vrai point d'accès entre internet et l'entreprise est un routeur… Un [i]edge routerBien sûr ça ouvre la porte à qu'est-ce qui est fait au niveau du routeur versus qu'est-ce qui est fait un niveau firewall.
Ceci étant, ça marche aussi très bien de connecter son serveur avec pfSense directement sur internet, avec le package OpenBGPD si nécessaire ;D
Dans mon cas ce ne serait pas nécessaire bien sûr et c'est plus une question d'habitude de design et de confort que ça apporte.
-
Je vous invite quand même, si vous en avez la possibilité, à aller voir les configurations réseau (sur la partie connectée à internet), de quelques grands comptes. Vous en trouverez peut-être quelques uns qui connectent directement leur FW à internet mais dans la grande majorité des entreprises, le vrai point d'accès entre internet et l'entreprise est un routeur… Un edge router
J'en suis bien d'accord (et j'en vois) mais notre ami en est loin je pense.
-
bon… en fait mon serveur n'est pas vraiment juste derrière mon pfsense... et mon pfsense n'est pas vraiment mon seul firewall... d'ailleurs a mes yeux mon pfsense est plutôt un gestionnaire d'ISP avec des politiques de routage selon l'etat de mes ISP (qui sont d'ailleurs assez hétérogènes: cable, adsl et de temps en temps 4G), les ports utilises, l'heure ou l'ip de de destination....
je suis tout a fait d'accord avec vous que le plus simple est un PC avec une sortie directe.... mais quand vous êtes sur gros système (type unix) en situation "pre-production", mettre une cle 3g "au cul" de la machine est assez masochiste....
merci encore
-
J'en suis bien d'accord (et j'en vois) mais notre ami en est loin je pense.
Probablement sans quoi il ne poserait même pas ce genre de question sur ce forum mais sa configuration avec des routeur en edge fonctionne très bien même si elle n'est pas indispensable et accessoirement, elle permet l'accès direct à internet sans téléphone ;D
Très franchement, pratiquement tous les utilisateurs de pfSense qui font du xDSL ont un équipement supplémentaire entre le firewall et leur ligne téléphonique.
(l'exception étant constituée de ceux qui ont une carte xDSL directement dans in slot PCI). A partir de là, et pour revenir à la question initiale, on peut discuter de qu'est-ce qui est le plus simple pour avoir un accès direct à internet, avec cet équipement en mode routeur ou gateway, l'essentiel étant à mon avis d'expliquer les pros & cons de chaque approche, ce que j'ai essayé de faire avec le design que j'utilise et qui s'approche de son besoin, sans pour autant prétendre détenir la vérité absolue ;D -
J'imagine que la machine qui doit "accéder depuis internet" n'est pas ton serveur unix.
La proposition de clé 3G, c'est pour attacher au PC qui doit accéder depuis l'extérieur. Cette solution présente également l'avantage de s'affranchir des problèmes éventuels de DNS que tu va potentiellement rencontrer si tu veux configurer une règle dans pfSense pour forcer l'utilisation d'une gateway particulière (ce qui se fait en configurant les options "avancées" de la règle que tu ajoutes (je ne sais pas quel est l'intitulé en français). -
Quand on gère 2 sites (ou +), c'est encore plus simple.
Attention, je répète, une fois la règle configurée, une fois la règle testée, elle fonctionne !
C'est comme un robinet : le robinet peut-être ouvert mais la qualité de l'eau qui y passe n'est pas dépendant de l'ouverture !