DMZ Firewall et Vlan

Tatave

Salut salut

Réponse partielle

freebox ==== pfsense ==(xvlan)== switch ==(xvlan)== machines

1 - De mémoire freebox avec ajout via interface d'administration de la box y mettre le pf en dmz.
2 - Monter les vlan sur le swtich suivre le doc de votre switch ou sur le site web du constructeur.
3 - Dans pf pour les vlan suivre la doc de pf pour ajouter les vlan et gérer les routages intervlan.

nota, Attention particulière à la compréhension des termes taged/untaged ports :
http://blog.securite.free.fr/index.php/tagged-untagged

Ne pas supprimer le vlan 1 par defaut sur le switch, certain on fait la bêtise et s'en mordent encore les doigts

Bon courage

ccnet

Quel est l’objectif fonctionnel qui nécessite de connecter l’interface Wan de pfsense à la Free box via un switch ?
De même y a t il un contrainte pour ne pas utiliser la box en pont plutôt qu’en routeur ?

trazom

ok mais ou mets je la DMZ?
thanks
Thierry

ccnet

Vous hébergez des serveurs ou des services devant être accessibles depuis Internet ?

trazom

oui c'est ça!

je ne compte pas pas relier pfSense à la Freebox via le switch.
je passerai la Freebox en bridge quand tout marchera.

je pensais pouvoir avoir une des configs suivantes :

               FREEBOX
                    ||   
                    ||
         DMZ  ==   Switch  == pfSense
                     ||   
                     ||
                2 Vlans

ou bien :
FREEBOX
||
||
pfSense == DMZ
||
||
Switch
||
||
2 Vlans

Bref je me demande si je dois connecter la freebox directement au switch administrable puis tout le reste à ce switch ou bien connecter la freebox à pfSense et connecter tout le reste à pfSense
merci
c'est juste?

Tatave

Salut salut

La deuxieme solution est la plus logique ne trouvez vous pas ?
non plus sérieusement, j'ai la certitude que vous avez un manque de compréhension sur la structuration d'un réseau qu'il soit personnel ou professionnel.
Je ne serais que vous conseiller de vous documenter par autre chose que des site youtube, (votre niveau réseau n'est pas assez bon pour assimiler les informations)

Pour avancer je vous invite à lire attentivement le site de "Caleca" qui doit être en annexes de la section http://irp.nain-t.net/doku.php qui à pour avantage d'être pédagogique et de tous niveaux.

Ensuite il y le site d'openclasseroom (école en ligne accessible par tous) ou vous aurez la possibilité de vous y inscrire et suivre l'un des cours réseaux (payant ou pas je ne sais plus) mais cela vous aidera grandement pour la suite de votre projet, ils ont aussi un forum qui est plus généraliste que celui ci et permettra de débroussailler vos besoins et attentes.

Ce n'est qu'en suite que vous pourrez avancer et poser des questions structurées ici sur pfsense.

N'y voyez pas ici une réprimande quelconque, juste une assistance, cela vous évitera les foudres et vilipendages.

Cordialement.

ccnet

L'arcitecture la plus classique dans votre cas se généralise en connectant chaque zone réseau distincte (lan,wan,dmz, ...) à une carte réseau physique du firewall. Les vlans sont des options possibles plus complexes, fortement dépendantes du besoin de securité qui a été préalablement déterminé. Le vlan fourni une isolation logique qui n'est pas forcément suffisante.
Quoi qu'il en soit suivez les conseils qui précèdent.

trazom

ok
je vais suivre vos conseils.
j'ai posé cette question surls Vlans car mon firewall n'a que 2 cartes réseaux; je pensais pouvoir construire les 3 zones réseaux en construisant des Vlan.
merci

ccnet

On peut.
Pas toujours le plus simple puis il reste à déterminer le niveau de sécurité souhaité et sa cohérence avec une séparation purement logique des zones concernées.

trazom

peut-être devrais je d'abord lire la doc!!! elle a l'air super
ma dernière proposition n'est donc pas infaisable?
je reviendrai vers vous plus tard
merci