Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bypass du firewall ou Modifier Règles du Firewall (Rules) PF 2.2.6

    Scheduled Pinned Locked Moved Français
    14 Posts 4 Posters 7.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      chris4916
      last edited by

      Quel est l'objectif de "contournement du firewall" ???

      Le fait que le proxy HTTP soit installé sur le firewall ne change rien au fait que ce sont 2 composants différents qui net traitent pas la même chose.

      Par ailleurs, la possibilité de contourner le proxy en mettant HTTPS à la place de HTTPs vient de ce que votre proxy est configuré en mode transparent.
      C'est pour une autre plate-forme mais j'y explique (en anglais) la différence entre proxy explicite et transparent.

      Avec un proxy explicite, on peut tout à fait interdire un site en HTTPS sans devoir activer SSL-Bump (man in the middle)

      Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

      1 Reply Last reply Reply Quote 0
      • B
        baalserv
        last edited by

        Avez-vous créer la règle de fw comme indiquer ?

        Quand au mode explicite du proxy, ce sont plutôt les ''contraintes'' lier à ce mode qu'il faut appréhender ^^

        Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

        1 Reply Last reply Reply Quote 0
        • C
          chris4916
          last edited by

          @baalserv:

          Quand au mode explicite du proxy, ce sont plutôt les ''contraintes'' lier à ce mode qu'il faut appréhender ^^

          La vraie contrainte du mode explicite, c'est qu'il faut dire au client (le plus souvent un navigateur mas c'est également valable pour les OS, java etc.) qu'il faut utiliser un proxy à une adresse et un port donné.
          Une des réponse à cette question passe par la mise en œuvre de WPAD, point discuté brièvement ici, largement dans la section "anglaise" de ce forum et également dans le lien que j'ai fourni un peu plus haut.

          Mais il y a souvent une méprise entre WPAD et le proxy:
          le proxy en mode explicite n'a pas obligatoirement besoin de WPAD.

          Il y a 3 étapes successives:

          • proxy en mode explicite
          • proxy.pac
          • WPAD

          proxy.pac va permettre d'adapter la manière le navigateur accède ou pas au proxy (en décrivant d'ailleurs l'IP et le port)
          wpad va automatiser la découverte de proxy.pac (et non pas du proxy contrairement à ce que l'acronyme semble dire)

          Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

          1 Reply Last reply Reply Quote 0
          • ?
            A Former User
            last edited by

            Merci bien pour vos conseils.

            Je ne sais pas si on bien fait mais voilà ce qu'on a fait :

            • L'adresse du poste client est attribué soit par dhcp de win2008 soit par adresse réservé dans AD.
            • C'est ce serveur AD là qui sert de DNS ….
            • Dans la config Pfsense, l'adresse du serveur AD (ci dessus) est déclaré comme DNS
              => A mon avis nous n'avions pas besoin de déclarer l'adresse du proxy étant donné que Pfsense est devenu à la fois proxy et DNS.
              =>Je crois qu'on ne devrait avoir accès à internet tant qu'on n'est pas dans le domaine.

            Même le WAN est configuré dans PFsense (on a laissé tombé le routeur physique).

            Le besoin de contourner le Firewall c'est surtout pour les deux serveurs d'application où il y a énormément de traffic. Et le fait de passer par FW PFsense risque de ralentir (alors que nous ne voulons pas encore faire de VLAN pour aujourd'hui).

            Petit à petit on va modifier notre façon de faire pour ne pas risquer de bloquer le parc, en essayant.

            1 Reply Last reply Reply Quote 0
            • C
              chris4916
              last edited by

              Pas de soucis pour utiliser AD comme serveur DNS et serveur DHCP pour les autres machines du LAN.
              Il faut par contre que soit pfSense soit déclaré comme serveur pfSense de AD soit que le FW laisse passer les requêtes DNS de AD

              Par contre :

              • tu ne sembles pas le comprendre mais tu ne peux PAS faire un by-pass du firewall sans une configuration réseau différente : comme tu continues à mélanger firewall et proxy, tu ne vas jamais avancer dans ta réflexion.
              • tu n'as pas besoin de déclarer "où trouver le proxy" si celui-ci fonctionne en mode transparent puisque c'est le but d'un tel design.
              • pfSense (selon ton hardware bien sûr) dans sa fonction pare-feu, ne va pas ralentir les requêtes des serveurs.

              Point important : ta remarque visant à ne pas autoriser les accès internet pour les utilisateurs qui n'appartiennent pas au domaine signifie authentification et donc impose un proxy explicite car il ne peut PAS avoir d’authentification avec un proxy transparent

              Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

              1 Reply Last reply Reply Quote 0
              • ?
                A Former User
                last edited by

                Merci pour ton explication,

                La liaison LDAP est déjà fait avec AD.
                Et c'est peut-être pour éviter d'avoir à configurer l'adresse proxy 192.XXXXXX port 3128 que mes prédécesseurs ont choisi le mode transparent.

                Et si je désactive le mode transparent, je devrais donc renseigner cette partie dans l'image ? (onglet miscallenous)

                Oublions l'histoire de by-passer le FW …

                1 Reply Last reply Reply Quote 0
                • C
                  chris4916
                  last edited by

                  Tu mélanges un peu tout.
                  Ce que tu montres, c'est que AD est configuré en tant que back-end LDAP pour pfSense mais cela n'a rien à voir avec la configuration du proxy.
                  Par ailleurs, ta deuxième copie d'écran montre les paramètres de configuration d'un proxy… lorsque pfSense est lui même derrière un proxy. Ce qui n'a rien à voir avec le fait de mettre un proxy à disposition des utilisateurs du LAN

                  Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                  1 Reply Last reply Reply Quote 0
                  • ?
                    A Former User
                    last edited by

                    Ceci veut dire que je dois mettre l'adresse du proxy dans cet onglet miscellaneous ? et faire utiliser ce paramètre dans les navigateurs ?

                    1 Reply Last reply Reply Quote 0
                    • C
                      ccnet
                      last edited by

                      @chris4916:

                      Par ailleurs, ta deuxième copie d'écran montre les paramètres de configuration d'un proxy… lorsque pfSense est lui même derrière un proxy. Ce qui n'a rien à voir avec le fait de mettre un proxy à disposition des utilisateurs du LAN

                      Donc non !
                      Les navigateurs des utilisateurs ne récupèrent pas ces paramètres. Comme Chris l' a écrit : lorsque pfSense est lui même derrière un proxy. Ce paramètre ne concerne que Pfsense pour sa propre connectivité à internet en tant que client http.
                      Je confirme, vous mélangez tout.
                      Par ailleurs AD ou pas, rien n’empêche un utilisateur de configurer manuellement une ip sur une machine (windows ou non) et ce n'est pas l'appartenance ou non au domaine qui contrôlera son accès à internet avec un proxy transparent (mauvaise idée).
                      Si vous souhaitez ce type de contrôle (bonne idée) il faut :
                      Un proxy authentifiant qui s’appuie sur AD comme source d'authentification.
                      Un filtrage adapté sur Pfsense.
                      La présence des serveurs d'applications (web ?) dans le lan est une mauvaise idée.

                      ce que je veux c'est que les connexions entrant et sortant de ces 4 adresses IP de serveurs ne passent pas par le Firewall

                      Mauvaise idée et gros risques.

                      1 Reply Last reply Reply Quote 0
                      • ?
                        A Former User
                        last edited by

                        Merci les gars, il faut vraiment que je refasse pas mal de choses,  … :-[

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.