Probleme NAT pour mon serveur Web
-
@ccnet said in Probleme NAT pour mon serveur Web:
Sur vos règles activez le log
Comment faire?
Il y a cette option dans les règles firewall, mais pas en NAT -
@zeverybest said in Probleme NAT pour mon serveur Web:
La relecture de ces log n'est pas super explicite. Existe-t-il une doc à ce sujet ?
Pas explicite, c'est à dire ? Je les trouve plutôt clairs. Il y a la doc Pfsense oui.
Pour activer les logs sur une règle, on coche la case log dans la règle.
-
@ccnet
Effectivement, dans les règles, on peut activer les log, mais pas dans le NATJ'ai essayé différentes config, mais je ne vois rien passer dans les journaux (firewall - vue dynamique) lorsque j'essaye d'accéder à mon serveur Web
Pourtant il y a pleins de ligne d'adresses divers qui sont bloqués avec des port aléatoires qui essaye d'accéder au port WAN sur le port 80 ou 443Faut il que je configure uniquement le NAT ou dois je aussi impérativement créer une règle dans le firewall
J'avoue que je suis un peu perdu
-
Il y a un léger progrès
Maintenant, lorsque je tape mon nom de domaine, n'obtient une page rouge de PfSense avec le message suivant :Potential DNS remind attack detected, see http...wiki...
Pourtant, j'ai une redirection vers mon serveur Web
-
@zeverybest
Par défaut dans Pfsense la création d'une règle de nat génère automatiquement la règle de flux nécessaire. Je suggère que vous lisiez quand même un peu la documentation de Pfsense. Il est possible que vous appreniez des choses ;-) -
@ccnet
j'ai passé ma freebox en bridge
j'arrive maintenant a acceder a mon serveur web depuis l'exterieur, mais a la seul condition que je choisisse un pour autre qe HTTP ou HTTPS dans "Port de destination"
si je selectionne HTTP ou HTTPS, je tombe sur la page d'administration de PFsense, mais avec un ecran rouge d'interdiction, avec le meme message que celui cité precedemmentY a t il une solution pur y acceder en https ?
Merci de vos lumières
-
@zeverybest
C'est parce que l'interface web d'admin de pfSense écouter sur l'interface WAN sur le port 80 et/ou 443.
Le message que tu vois est celui de cette interface qui dit que l'URL que tu demande n'est pas autorisée parmi en tant que URL d'administration -
@chris4916
c'est bien ce qui me semblait avoir compris.
Y a t il un moyen de desactiver cette écoute sur le port WAN (qui manque de securité a mon gout. Il vaut mieux une connexion VPN pour l'administrer a distance)
j'ai essayé dans les Réglages Avancés de modifier le port TCP de l'interface de config, mais ça change la connexion en local, mais ne fonctionne toujours pas.
est ce sans issue? -
en fait, ça ne fonctionne pas :
lorsque j'essaye de me connecter a MONDOMAINE.xx:85 depuis mon PC, ça fonctionne, mais si je le fait depuis l'exterieur (smartphone en 4G) ça ne fonctionne pas.je suis désespéré
-
tu as lu ça: https://docs.netgate.com/pfsense/en/latest/config/advanced-admin.html
-
@chris4916
oui, et en suivant ces indication, cela ne fonctionne pas :
j'ai modifié le port de l'interface d'amin en 4343
augmenté le nombre de processue similtanés (a 10)
desactivé la redirection de linterfacedans ma regle NAT, en Destination, j'ai WAN address et port HTTPS
et en cible, l'adresse IP de mon serveur Webeh bien cela ne fonctionne pas
je commence a désespérer -
@zeverybest said in Probleme NAT pour mon serveur Web:
j'ai modifié le port de l'interface d'amin en 4343
Inutile.
- L'interface administration de Pfsesne n'a pas être exposé sur internet donc pas sur Wan.2.
- Si l'on souhaite administrer depuis l'extérieur on passe par un VPN.
- ET on nat tranquillement pour serveur Web. On créé un groupe de port 80 + 443 que l'on nomme par exemple HttpPorts et on translat HttpPort wan vars HttpPort en interne, vers l'ip du serveur cible en interne.
-
Je pense que le problème de zeverybest n'est pas exactement celui-ci.
Il n'y a pas (ou je n'ai jamais vu) de setting permettant de spécifier que le serveur web qui expose l'interface d'administration n'écoute que sur les interfaces internes.
Du coup, celui-ci bind sur toutes les interfaces, y compris le WAN.
Bien sûr il convient d'avoir une règle de FW qui n'en permette pas l'accès mais ça n'empêche pas le process d'occuper la place, d'où le commentaire de la doc que je mettais en lien ci-dessus.@zeverybest ne peux-tu pas coller ici une copie d'écran de ta règle de NAT ?
Je te confirme que ça fonctionne normalement très bien, j'utilise ce mécanisme quotidiennement, sans HAproxy, pour accéder à mon serveur de mail et ponctuellement au webmail. -
j'espere que ça pourra aider
-
j'ai tourné le probleme dans tous les sens et cela ne fonctionne pas.
j'ai tout essayé (enfin, tout, sauf la bonne solution, mais je ne l'ai pas trouvé)je galère vraiment
ma regle NAT a t elle pu aider quelqu'un a comprendre mon probleme?
-
@zeverybest
juste par curiosité, pourquoi n'y a t-il a de règle de FW associée, ce qui est bien plus simple à géré, à mon avis -
@chris4916
c'est une excellente question :
parceque je pensais qu'une regle NAT sufisait
comment faire?
je demande a ce que la regle soit créer automatiquement par la regle NAT ?c'est pertinent ?
ou il vaut mieux la faire manuellement?
(et dans ce cas, je mets quoi ? (j'autorise le HTTPS depuis WAN net vers admin Net?) -
@zeverybest
effectivement, il y a du mieuxmais si je ne rajoute pas "index.php" cela ne fonctionne pas
il faut que je tape le chemin complet : http://mondomaine.fr/index.phplà, je ne comprend pas
-
Les règles NAT génèrent automatiquement la règle WAN, il fallait donc laisser cette génération auto.
Devoir taper 'index.php' est une question liée au serveur web ...
-
@jdh
mais en local, cela fonctionne : pas besoin d'ajouter "index.php"
et pas en distantmais c'est pas grave, j'ai mon acces depuis l'exterieur
Encore merci de votre aide a tous