Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Question facile concernant les ACL

    Scheduled Pinned Locked Moved Français
    7 Posts 4 Posters 1.1k Views 4 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Y Offline
      Yazur
      last edited by Yazur

      Bonjour,

      Je souhaite résoudre un problème assez simple à comprendre.

      J'effectue un grand nombre de requêtes depuis internet vers mon pfSense sur le port 80 "HTTP".
      Tout fonctionne bien grâce à l'ACL qui va bien pour autoriser ce trafic.

      Mais au bout de X requêtes pfSense bloque tout le trafic vers mon IP sur ce port.

      Dans les logs, je vois bien que c'est l'ACL "Default deny IPV4" qui prend la relève.

      Est-ce que pfSense possède un système d'auto-défense contre le flooding?

      Merci pour votre aide :) !

      F 1 Reply Last reply Reply Quote 0
      • J Offline
        jdh
        last edited by

        Simple ? Moi je ne comprends pas !

        Est des ACL dans le package Squid ? Si oui, il y a contradiction avec le sens du trafic !

        Bref, revoyez la présentation de votre problème ...

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • F Offline
          free4 Rebel Alliance @Yazur
          last edited by free4

          Hello @yazur ,

          Déja, désolé pour le message de @jdh. Je ne sais pas pourquoi l'ambiance est souvent détestable sur la partie francaise du forum... (Oui, j'ai bien compris que par ACL tu voulait dire règle firewall)

          Il y a bien des protections contre le flooding (le traffic shaper, par exemple. Ou bien, les règles firewall elles-mêmes pour se protéger d'un DDOS SYN ) mais je ne crois pas que ces protections soient une explication à ton problème....

          1 Reply Last reply Reply Quote 0
          • J Offline
            jdh
            last edited by

            Ce serait la première fois qu'on utiliserait 'ACL' pour 'Rules' ! Alors même que les règles c'est Firewall > Rules, et ce depuis le début de pfSense.

            Pour lire à l'occasion les forum en anglais et en espagnol, les français sont indécrottables : il y a très peu d'effort dans la présentation, et si les lecteurs ne compressent pas c'est bien évidemment de leur faute et non celle de celui qui a exposé la question (contre toute évidence). De plus il y a un certain mépris pour ceux qui ne répondent pas comme attendu (forcément) De facto le forum français est déserté ...

            (NB : je n'ai pas choisi par hasard ma signature ...)

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            Y 1 Reply Last reply Reply Quote 0
            • Y Offline
              Yazur @jdh
              last edited by Yazur

              @jdh @free4 Bonjour,

              Dans un premier temps, merci pour les réponses apportées.

              En ce qui concerne le terme ACL "access list", c'est bien un synonyme de 'rules / règles'.
              Pour avoir fait des études dans le domaine réseau chacun de mes professeurs utilisaient ce terme pour représenter les règles d'autorisations ou d'interdictions sur les différents routeurs/pare-feu que nous utilisions dont pfSense.

              Je vais ré-expliquer mon problème de la façon la plus simple possible pour permettre à un maximum de personne de comprendre le problème et essayer de me donner des pistes pour le résoudre.

              Nous utilisons un pfSense redondé avec le package haproxy.
              Celui-ci permet d'utiliser un frontend HTTP/HTTPS qui renvoie vers un backend composé de 3 serveurs WEB.

              Nous sommes actuellement en phase de test pour connaître le SPOF "single point of failure" c'est-à-dire jusqu'à combien de requêtes d'accès à une page web, arrivent à gérer chaque serveur.

              Lorsque nous passons en direct sans passer par haproxy nous arrivons à obtenir un ratio requête/seconde bien plus grand que par l'intermédiaire de haproxy.

              Nous avons donc remarqué qu'au bout d'un certain nombre de requêtes, des logs apparaissent dans pfsense nous indiquant que certaines de nos requêtes étaient bloquées.

              Nous aurions donc aimé savoir si pfSense avait un mécanisme d'auto défense par défaut contre le spamming sur un port/adresse IP.

              Merci pour votre aide, si vous avez besoin de captures d'écrans, de plus d'informations, n'hésitez pas.

              Mister-MagooM 1 Reply Last reply Reply Quote 0
              • Mister-MagooM Offline
                Mister-Magoo @Yazur
                last edited by Mister-Magoo

                @yazur Peur être que d'utiliser Haproxy sur une machine indépendante du firewall serait une idée plus interessante ??
                En plus, c'est beaucoup plus simple à gérer (une p'tite VM Debian et tout roule).
                Du coup, ça supporte beaucoup plus de trafic que d'avoir Haproxy sur le firewall (j'ai ça en production sur de l’hébergement et aucun souci)

                PFSense du moment en multiwan

                1 Reply Last reply Reply Quote 0
                • J Offline
                  jdh
                  last edited by

                  Concernant les ACL, non pour un firewall on utilise le mot 'règles' ou 'Rules'. Pour un switch, on peut utiliser ACL mais il n'y a pas de suivi de connexion comme dans un firewall !

                  Vous avez 3 serveurs web = vous avez besoin d'un reverse proxy, lequel va analyser le flux HTTP/HTTPS et le dispatchez selon le nom dns vers le bon serveur web.

                  Il n'y a pas que HAProxy : nativement les serveurs web (Apache, Nginx ou IIS) savent forcément le faire (y compris renvoyer vers un autre serveur !). Squid sait aussi le faire, et d'autres (Vulture p.e.)

                  Une bonne logique est de confier une tâche donnée à une machine (même virtuelle). C'est d'ailleurs bien suggéré par MisterMagoo (et qui l'utilisent lui-même) : les packages de pfSense sont pratiques mais il faut les utiliser de la façon prévue ... qui n'est pas forcément votre besoin !

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 1
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.