Problème accès serveur web derrière mon Firewall
-
Bonjour,
J'ai monté un Firewall entre mon routeur opérateur et mon réseau interne, aujourd'hui j'aimerais accéder au serveur web présent derrière le Firewall afin de pouvoir y accéder depuis l'extérieur. Seulement aucune règle NAT ne fonctionne.
Contexte : milieu pro, niveau expertise de l'administrateur débutant, age de la solution firewall : tout récent.
Besoin : Pouvoir accéder a un serveur Web derrière mon Firewall. La solution Firewall permettrai d'avoir accès à un seul serveur web par règle NAT et le reste de la structure uniquement en VPN pour nos outils interne.
Schéma : Box opérateur en Bridge avec adresse IP PUBLIQUE directement sur le port WAN du PFSENSE, Du PFSENSE un port LAN (192.168.50.0/24) avec derrière tous les équipements réseaux.
WAN (modem/routeur/box) : Routeur Huawei Opérateur Bouygues Entreprises en Bridge avec IP Fixe Publique
LAN : 1 seul réseau LAN relié directement au PFSENSE avec pour adressage 192.168.50.0/24, DNS opérateur pas de DNS en interne.
DMZ : aucun
WIFI : borne wifi en interne
Autres interfaces : aucun
Règles NAT : aucun
Règles Firewall : 1 règle en WAN pour le VPN et côté LAN 1 règle anti blocage de base + 1 règle qui autorise tous les accès sortants sans restriction de port ou protocole.
Packages ajoutés : aucun
Autres fonctions assignées au pfSense : VPN
Question : Je souhaiterais accéder à mon serveur WEB en 192.168.50.203 depuis l'extérieur par le biais du firewall en 192.168.50.1
Pistes imaginées
Recherches : Ouverture d'une règle NAT qui transfert les ports (80 et 443) WAN vers une adresse local unique 192.168.50.203 avec les mêmes ports. protocole TCP/UDP
Logs et tests : Après application des règles NAT aucun succès malgré plusieurs essais redémarrage et autres sans jamais réussir à arriver sur mon serveur par contre de l'extérieur je tombe sur l'interface du PFSENS
J'espère avoir apporter un maximum d'information, j'espère trouver de l'aide sur le sujet j'y travail depuis plusieurs jours sans succès.
Merci d'avance.
-
Bravo pour la présentation du problème :
- on comprend le schéma,
- on comprend le besoin,
- mais on est surpris que vous n'ayez pas réussi, car cela parait simple.
Cependant, tout n'est pas super précis, et certaines expressions montrent une expertise débutante ...
Le schéma est donc
Internet <-> box opérateur (bridge) <-> (WAN) pfsense (LAN) <-> réseau interne avec un serveur WebComme la box est en bridge, l'adresse ip publique est directement sur le pfSense : l'adresse de l'interface WAN est publique, ce qui est idéal.
Les machines internes doivent, naturellement, être correctement configurées : une ip dans le réseau LAN, le masque réseau du LAN, la passerelle (gateway) = l'ip LAN de pfSense et le bon DNS (le mieux serait que ce soit le pfSense avec le service DNS activé pour le LAN).
De façon naturelle, le trafic interne vers Internet est réalisé par le pfSense qui modifie les paquets en remplaçant l'ip source interne par l'ip publique pour que les paquets soient corrects : 'masquerade'. (Le firewall effectue l'inverse pour les paquets retour !)
Pour le trafic entrant, et donc le serveur web, la règle est dans Firewall > NAT > Port Forward :
- le trafic à destination de la 'WAN address',
- pour le protocole TCP, et pour le port 80 ( http) et le port 443 (https),
- le trafic est 'forwardé' à l'ip interne du serveur web.
(il faudra 2 règles NAT > Port Forward.)
Ne pas hésitez à activer le log.NB : si le firewall n'a pas été 'bricolé' : la création de la règle NAT > Port Forward entraine, automatiquement, une règle coordonée Firewall > onglet WAN ... qu'il ne faut pas toucher (sauf pour activer le LOG).
-
@jdh Bonjour,
Merci pour la réponse claire et précise, j'avoue débuter sur ces systèmes. Je vais aller tester de ce pas voir si cela fonctionne. Je vais effectivement mettre les logs en place afin de pouvoir avoir un éventuel retour sur les actions menées.
Sylvain.
-
@jdh Après avoir appliqué les réglages ça ne fonctionne pas non plus, de l'extérieur impossible d'aller plus loin que l'interface du firewall, dans les logs je ne vois rien de spécial qui remonte.
-
J'avais oublié de préciser une évidence : au préalable, il faut changer le port de l'interface d'administration de pfSense. Car l'interface par défaut de pfSense est sur 80/tcp ou 443/tcp, il ne saurait être question de rediriger du trafic que le pfSense écoute lui-même !
-
@jdh J'y ai pensé à cela mais du coup j'ai modifié le port de l'interface au préalable, ce qui m'a permis déjà de vérifier que j'arrive au moins à joindre le pare-feu à distance. Par contre voilà c'est après que ça ne fonctionne pas, du coup j'ai mis le port 4444 sur le port en http et https.