[Débutant] Besoin de conseil
-
@ CCNET
Dans un cadre perso, en ayant besoin des services TV + tel ? Je veut bien stp que tu développe ton point de vue.
-
Dans un contexte domestique je comprend bien ton choix et il me semble adapté. Je me place dans un contexte presque intégralement professionnel (pas de télé, pas de wifi sur la box, pas d'upnp, pas de téléphonie un peu spécifique, …). Le boitier free player n'est pas connecté. Tout ce que je demande à l'équipement c'est d'être le plus proche possible d'un routeur, bien que ce ne soit pas le cas puisque pas 'ip public sur la box elle même. Chaque contexte justifiant de ses solutions.
-
La, je te rejoins totalement ;)
-
J'ai exactement la config et l'usage de baalserv pour mon accès internet domestique, à ceci près que mon pfSense est en multi-WAN avec la Freebox en VDSL (et 2 players) en failover d'un accès FTTH chez un autre ISP.
Je n'ai pas activé le mode DMZ mais je fais du port forwarding pour les quelques services susceptibles d'utiliser le lien Free pour des sessions entrantes (mail, webmail, vpn sur pfSense)
Zéro stockage sur le LAN Free ;) et à part les players et les stations de jeu d'un de mes enfants, il n'y a rien.
C'est effectivement la solution de facilité 8)La surface d'exposition est limitée aux machines de jeu et aux player (sur lesquels ils n'y a "rien")
Pour les box que j'ai déployé en milieu pro, les critères sont différents. Assez souvent je remplace la box de l'ISP par un boitier de mon choix, soit en mode bridge lorsqu'il s'agit d'un accès "simple" (peu de clients et services sur le LAN et donc peu de charge sur l'accès WAN) soit en mode routeur sur les config où du multi-WAN avec du CARP est requis… car je ne sais pas faire autrement ;D
Lorsque je suis en mode routeur, j'utilise le mode "DMZ" (vers la VIP) pour ne pas avoir à configurer les services et ports sur le routeur.Le double NAT ne m'a jamais, dans ce mode, posé de problèmes insurmontables.
-
Je n'ai pas activé le mode DMZ mais je fais du port forwarding pour les quelques services susceptibles d'utiliser le lien Free pour des sessions entrantes (mail, webmail, vpn sur pfSense)
Excusez moi de mon ignorance sur certains points mais j'aime comprendre ce que je lis ;)
Soit on configure une dmz à partir de la freebox sur le réseau connecté à pfsense
soit on laisse tel quel mais on ouvre les ports dont on a besoin (NAT)Est ce bien cela ?
Merci
-
Il ne faut pas s'excuser de ne pas savoir mais plutôt s'excuser lorsqu'on pense tout savoir et avoir LA réponse ;)
Le mode DMZ redirige tous les flux entrants vers l'adresse IP désignée comme étant "l'adresse de DMZ"
dès lors, il n'est plus nécessaire, dans ce cas, de configurer du forward puisque tout va vers cette IP.La différence entre ces 2 approches, c'est qu'en mode "forward", seuls les ports configurés vont être redirigés vers l'IP de ton choix: c'est un mode explicite, alors qu'en mode DMZ, tous les flux entrants, pour les nouvelles connexions, vont aller vers l'IP définie dans la conf comme DMZ. C'est un mode implicite.
-
Merci chris4916 de ta patience et de ton partage ;)
J'ai une nouvelle interrogation … dans quel cas concret peut on avoir besoin de faire du mode explicite ? car le mode implicite semble "plus simple" à gérer car tout se fait au travers du pf.
Encore un grand merci à tout le monde pour votre partage d'expérience.
-
Dans le cas où tu veux que ton routeur (edge router) ne transmette qu'un nombre limité et contrôlé de flux.
Dans mon cas, du mail (SMTP, IMAP), du HTTP, OpenVPN et IPSec. Tout le reste n'est simplement pas retransmis.
ça peut bien sûr être considéré comme redondant avec ce que sait faire le FW, d'autant qu'il faut maintenir également les règles relatives à ces flux au niveau du FW mais ça présente l'avantage de rendre la gestion de ces règles et la lecture des flux sur le FW beaucoup plus simple, les routeurs à la frontière du réseau publique se chargeant d'ignorer les flux qui ne sont pas "attendus".
-
Dans le cas où tu veux que ton routeur (edge router) ne transmette qu'un nombre limité et contrôlé de flux.
Dans mon cas, du mail (SMTP, IMAP), du HTTP, OpenVPN et IPSec. Tout le reste n'est simplement pas retransmis.
ça peut bien sûr être considéré comme redondant avec ce que sait faire le FW, d'autant qu'il faut maintenir également les règles relatives à ces flux au niveau du FW mais ça présente l'avantage de rendre la gestion de ces règles et la lecture des flux sur le FW beaucoup plus simple, les routeurs à la frontière du réseau publique se chargeant d'ignorer les flux qui ne sont pas "attendus".
Merci pour les explications … je m'interroge sur l'utilisation de l'un ou l'autre des modes .... la gestion des flux au niveau du pf est peut être plus simple car il n'y a pas de redondance à faire (bien que c'est pas tous les jours que l'on modifie cela) sur le box. Y a t il plus de sécurité dans l'une ou l'autre des méthodes ?
-
Dans l'absolu, oui c'est mieux de multiplier les lignes de défense et de ne pas laisser tout faire par le pare-feu.
Dans les faits, pour un particulier, je ne pense pas que la différence soit significative. -
Merci pour ton explication.
Je pense que je vais pouvoir commencer à me lancer dans la mise en place de mon pf.
je vais donc garder ma box en mode routeur (dans un premier temps) en y désactivant le WiFi et en créant une dmz. La TV continura donc à passer par ma box. Je vais connecté un point d'accès sur l'un des ports de mon pf pour pouvoir le gérer au mieux et séparer le réseaux iot du reste du réseau dit fiable (pc, tablette maison).Je me permets de revenir pour demander des conseils au besoin.
Encore un grand merci à vous.
-
Garde à l'esprit que si tu utilises un point d'accès wifi un tant soit peu évolué (comme par exemple les modèles d'Ubiquiti : https://unifi-shd.ubnt.com/), ce point d'accès wifi unique te permet de diffuser plusieurs SSDI et de gérer des réseaux wifi dans des VLAN séparés, ce qui te permet ensuite, au niveau de pfSense , d'autoriser le wifi "sécurisé" (par exemple en WPA2) à accéder au réseau local tandis que le wifi "sans authentification" ne disposera que d'un accès internet isolé.
Beaucoup d'autres points d'accès wifi offrent ce type de fonctionnalité, chez Linksys/Cisco, Asus ou autre.
-
Je possède actuellement un Asus RT-AC68U et il semble posséder un ssd guest. Mon soucis est que mes équipements iot étaient connectés au réseau WiFi de ma box car elle est branché sur un onduleur. Je n'ai donc que la solution de brancher un nouveau point d'accès au niveau de la box branché sur le pf