Probleme NAT pour mon serveur Web

zeverybest

@ccnet
Effectivement, dans les règles, on peut activer les log, mais pas dans le NAT

J'ai essayé différentes config, mais je ne vois rien passer dans les journaux (firewall - vue dynamique) lorsque j'essaye d'accéder à mon serveur Web
Pourtant il y a pleins de ligne d'adresses divers qui sont bloqués avec des port aléatoires qui essaye d'accéder au port WAN sur le port 80 ou 443

Faut il que je configure uniquement le NAT ou dois je aussi impérativement créer une règle dans le firewall

J'avoue que je suis un peu perdu

zeverybest

Il y a un léger progrès
Maintenant, lorsque je tape mon nom de domaine, n'obtient une page rouge de PfSense avec le message suivant :

Potential DNS remind attack detected, see http...wiki...

Pourtant, j'ai une redirection vers mon serveur Web

ccnet

@zeverybest
Par défaut dans Pfsense la création d'une règle de nat génère automatiquement la règle de flux nécessaire. Je suggère que vous lisiez quand même un peu la documentation de Pfsense. Il est possible que vous appreniez des choses ;-)

zeverybest

@ccnet
j'ai passé ma freebox en bridge
j'arrive maintenant a acceder a mon serveur web depuis l'exterieur, mais a la seul condition que je choisisse un pour autre qe HTTP ou HTTPS dans "Port de destination"
si je selectionne HTTP ou HTTPS, je tombe sur la page d'administration de PFsense, mais avec un ecran rouge d'interdiction, avec le meme message que celui cité precedemment

Y a t il une solution pur y acceder en https ?

Merci de vos lumières

chris4916

@zeverybest
C'est parce que l'interface web d'admin de pfSense écouter sur l'interface WAN sur le port 80 et/ou 443.
Le message que tu vois est celui de cette interface qui dit que l'URL que tu demande n'est pas autorisée parmi en tant que URL d'administration

zeverybest

@chris4916
c'est bien ce qui me semblait avoir compris.
Y a t il un moyen de desactiver cette écoute sur le port WAN (qui manque de securité a mon gout. Il vaut mieux une connexion VPN pour l'administrer a distance)
j'ai essayé dans les Réglages Avancés de modifier le port TCP de l'interface de config, mais ça change la connexion en local, mais ne fonctionne toujours pas.
est ce sans issue?

zeverybest

en fait, ça ne fonctionne pas :
lorsque j'essaye de me connecter a MONDOMAINE.xx:85 depuis mon PC, ça fonctionne, mais si je le fait depuis l'exterieur (smartphone en 4G) ça ne fonctionne pas.

je suis désespéré

chris4916

tu as lu ça: https://docs.netgate.com/pfsense/en/latest/config/advanced-admin.html

zeverybest

@chris4916
oui, et en suivant ces indication, cela ne fonctionne pas :
j'ai modifié le port de l'interface d'amin en 4343
augmenté le nombre de processue similtanés (a 10)
desactivé la redirection de linterface

dans ma regle NAT, en Destination, j'ai WAN address et port HTTPS
et en cible, l'adresse IP de mon serveur Web

eh bien cela ne fonctionne pas
je commence a désespérer

ccnet

@zeverybest said in Probleme NAT pour mon serveur Web:

j'ai modifié le port de l'interface d'amin en 4343

Inutile.

1. L'interface administration de Pfsesne n'a pas être exposé sur internet donc pas sur Wan.2.
2. Si l'on souhaite administrer depuis l'extérieur on passe par un VPN.
3. ET on nat tranquillement pour serveur Web. On créé un groupe de port 80 + 443 que l'on nomme par exemple HttpPorts et on translat HttpPort wan vars HttpPort en interne, vers l'ip du serveur cible en interne.

chris4916

Je pense que le problème de zeverybest n'est pas exactement celui-ci.
Il n'y a pas (ou je n'ai jamais vu) de setting permettant de spécifier que le serveur web qui expose l'interface d'administration n'écoute que sur les interfaces internes.
Du coup, celui-ci bind sur toutes les interfaces, y compris le WAN.
Bien sûr il convient d'avoir une règle de FW qui n'en permette pas l'accès mais ça n'empêche pas le process d'occuper la place, d'où le commentaire de la doc que je mettais en lien ci-dessus.

@zeverybest ne peux-tu pas coller ici une copie d'écran de ta règle de NAT ?
Je te confirme que ça fonctionne normalement très bien, j'utilise ce mécanisme quotidiennement, sans HAproxy, pour accéder à mon serveur de mail et ponctuellement au webmail.

zeverybest

@chris4916

j'espere que ça pourra aider

zeverybest

j'ai tourné le probleme dans tous les sens et cela ne fonctionne pas.
j'ai tout essayé (enfin, tout, sauf la bonne solution, mais je ne l'ai pas trouvé)

je galère vraiment

ma regle NAT a t elle pu aider quelqu'un a comprendre mon probleme?

chris4916

@zeverybest
juste par curiosité, pourquoi n'y a t-il a de règle de FW associée, ce qui est bien plus simple à géré, à mon avis

zeverybest

@chris4916
c'est une excellente question :
parceque je pensais qu'une regle NAT sufisait
comment faire?
je demande a ce que la regle soit créer automatiquement par la regle NAT ?

c'est pertinent ?

ou il vaut mieux la faire manuellement?
(et dans ce cas, je mets quoi ? (j'autorise le HTTPS depuis WAN net vers admin Net?)

zeverybest

@zeverybest
effectivement, il y a du mieux

mais si je ne rajoute pas "index.php" cela ne fonctionne pas
il faut que je tape le chemin complet : http://mondomaine.fr/index.php

là, je ne comprend pas

jdh

Les règles NAT génèrent automatiquement la règle WAN, il fallait donc laisser cette génération auto.

Devoir taper 'index.php' est une question liée au serveur web ...

zeverybest

@jdh
mais en local, cela fonctionne : pas besoin d'ajouter "index.php"
et pas en distant

mais c'est pas grave, j'ai mon acces depuis l'exterieur

Encore merci de votre aide a tous