Firewall Pfsense
-
Je crois qu'il vous faut revoir les fondamentaux. Vous confondez probablement ouverture de flux ( niveau 3, 4) et les aspects applicatifs où le firewall requête le serveur Radius. ce qui ne nécessite nullement l'ouverture du port 1812 puisque ce n'est pas le poste qui s'adresse au serveur Radius.
j'ai voulut configuré le firewall afin de n'utilisé que les ports nécessaire au bon fonctionnement de mon portail captif tout en désactivant les autres ports inactif
Je ne suis pas certain de comprendre ce que vous voulez dire. Par défaut une interface de Pfsesne n'autorise aucun trafic en entrée sur la dite interface.
-
Bonjour, je me suis peut être mal exprimé pour être plus précis je n'autorise que les ports donc j'ai besoin pour que les utilisateurs accèdent à internet via mon portail captif en désactivant le reste pour évité qu'un utilisateur mal attentionné ne fasse de bêtises.
-
Bonjour, je me suis peut être mal exprimé pour être plus précis je n'autorise que les ports donc j'ai besoin pour que les utilisateurs accèdent à internet via mon portail captif en désactivant le reste pour évité qu'un utilisateur mal attentionné ne fasse de bêtises.
Et donc, pour simplifier un peu, tu n'as besoin que des ports 80/443 et 53 et ça marche ;)
Tout le reste n'utilise pas l'interface LAN, si je comprends bien ton design.
-
Je crois qu'il vous faut revoir les fondamentaux. Vous confondez probablement ouverture de flux ( niveau 3, 4) et les aspects applicatifs où le firewall requête le serveur Radius. ce qui ne nécessite nullement l'ouverture du port 1812 puisque ce n'est pas le poste qui s'adresse au serveur Radius.
Donc cela voudrai dire que Pfsense et le portail captif ouvre et utilise le port 1812 uniquement lorsqu'un utilisateur s'authentifie? et cela me semblé bizarre depuis le début car Pfsense communique avec le Radius via son interface Lan étant donné qu'ils sont tous les deux connecté dans mon réseau local via un switch.
Donc le fait de ne pas ouvrir se port qui est défini dans les paramètres du portail captif afin de faire circulé les données d'authentification me rend un peu perplexe.
En tous cas merci pour vos réponses.
-
Donc cela voudrai dire que Pfsense et le portail captif ouvre et utilise le port 1812 uniquement lorsqu'un utilisateur s'authentifie?
Non. Manifestement vous n'en avez toujours pas compris le fonctionnement.
-
Non. Manifestement vous n'en avez toujours pas compris le fonctionnement.
Non car vous me dites qu'il n'ouvre pas le port 1812 pourtant dans la configuration du portail captif lorsqu'on indique l'IP du serveur Radius il faut préciser le port par lequel le portail vas communiqué avec le serveur Radius afin de faire circuler les données d'authentification.
-
dans la configuration du portail captif lorsqu'on indique l'IP du serveur Radius il faut préciser le port par lequel le portail vas communiqué avec le serveur Radius afin de faire circuler les données d'authentification.
Et pour cela vous pensez qu'il faut ouvrir le port radius sur l'interface de Pfsense à la quelle se connecte l'utilisateur ?
Je repète :Je crois qu'il vous faut revoir les fondamentaux. Vous confondez probablement ouverture de flux ( niveau 3, 4) et les aspects applicatifs où le firewall requête le serveur Radius. ce qui ne nécessite nullement l'ouverture du port 1812 puisque ce n'est pas le poste qui s'adresse au serveur Radius.
Au surplus vous n’avez pas compris comment Pfsense filtre les flux réseau. Nous avons un flux sortant de Pfsense vers le Radius. Pfsense filtre les flux entrants sur une interface donnée. Et rien d'autre.
Ces incompréhensions sont telles que vous faites courir des risques important à votre entité car vous ne maitrisez pas ce que vous faites. Ou, pire, ce que vous croyez faire. Vous pouvez continuer à scanner nuit et jour interface de Pfsesne vous ne verrez jamais le port 1812 ouvert. -
D'accord merci j'ai compris maintenant. Pfsense ne gère que les flux entrant et lorsque Pfsense contact le serveur Radius c'est un flux sortant.
Merci beaucoup en tous cas je met résolu pour le sujet.
Bonne fin de journée à vous.
-
Il y a un second point, tout aussi important, à préciser pour être complet. Dans la cas du portail captif on souhaite authentifier l'utilisateur avant d’autoriser la navigation. Le portail captif fourni la fonctionnalité comme suit (version simplifiée, donc fausse et incomplète de l’échange protocolaire, à but didactique) :
Lors de la première requête http(s) de l'utilisateur, la portail bloque le trafic et renvoi au navigateur une page de demande d'authentification.
Nous avons donc client (TCP > 1024) -> portail captif (80 ou 443).
Lorsque l'utilisateur retourne la page d'authentification : (TCP > 1024) -> portail captif (80 ou 443).
Le portail traite les données et contacte le radius indiqué dans la configuration : Pfsense (TCP > 1024) -> Radius (TCP 1812)
Le radius valide ou non, si oui le portail captif laisse passer le trafic du navigateur vers 80/443 du serveur de destination.
Voilà pourquoi à aucun moment il n'est nécessaire d'ouvrir le port 1812. -
D'accord, merci beaucoup pour vos précisions.