[NAT sur Server Web] acces via LAN refuse


  • Salut à tous,

    Je voulais éviter de poser cette question de base mais j'ai cherché et franchement je sèche.

    Voici ma conf : FreeboxADSL –- WAN --- Pfsense --- LAN --- Switch --- PC1 etc....
                                                                |                          |
                                                              OPT1              Serveur Web
                                                                                    (192.168.1.5)

    Pour l'instant depuis n'importe quelle adresse internet (depuis l'extérieur), j'accède bien à mon serveur Web.
    En revanche impossible d'y accéder depuis une machine du LAN  ???  Curieusement quand je tape l'adresse ip de mon server web dans mon navigateur j'obtiens bien la page mais lorsque je tape l'adresse ip WAN depuis une machine du LAN, j'obtiens une page blanche ?
    En gros Pfsense bloque toutes les requêtes http/https depuis une machine du Lan vers une autre (mon server web):
    Quand je tape, depuis une machine de mon LAN, http:\monnomdedomaine    ça passe pas, j'obtiens une page blanche
    Alors que lorsque je tape toujours depuis le LAN http:\192.168.1.5  la page web s'affiche très bien
    et depuis une adresse internet tout passe sans problème.

    J'ai donc pas compris comment créer cette règle.

    Merci d'avance de m'éclairer ou de m'indiquer comment créer cette règle pour que mes machines du LAN accède à une autre machine  sur les ports 80 et 443 ?


  • C'est un problem de NAT reflection.

    Il faut créer une regle de NAT sur la carte LAN qui redirige la les ports 80/443 destiné à l'IP du WAN sur le serveur WEB du LAN (192.168.1.5).

    Sinon, pour faire plus propre, la soluce "split horizon DNS", il faut faire un ecrasement DNS dans le "DNS Forwarder". Aller dans DNS forwarder et ajouter (premier bouton +) un ecrasment pour www.mondomaine.tld avec l'adresse 192.168.1.5. Dès lors on obtient un système à "deux horizons", quand je suis un Internaute je résoud www.mondomaine.tld avec l'IP publique de la freebox, quand je suis dans le LAN (à condition d'utiliser pfsense comme serveur DNS) je résoud www.mondomaine.tld avec l'ip privée (192.168.1.5).


  • Salut,  :D

    • Je cherchais à créer mes règles NAT sur la carte WAN ….. ça marche mieux sur la carte LAN.....
      et j'ai testé en ajoutant mes règles et ça marche nickel. Merci beaucoup  ;D

    • J'ai désactivé mes règles précédentes pour activer le DNS Forwarder et là également j'ai accès à mon serveur web depuis un PC du lan .

    Mais je ne comprends pas son fonctionnement ??
    Est ce que c'est comme remplir un fichier "Host" dans lequel on ajoute : l'adresse ip suivi du Nom de Machine. Mon Nom de Domaine suivi du Nom de Machine ?  ???  Pour que les résolutions de noms se fassent ??
    Désolé encore pour ces questions (peut-être basique à vos yeux) mais j'ai déjà l'impression d'y voir plus clair ?

    En tout cas merci pour votre aide et merci à ce forum  ;)


  • C'est exactement ca. En fait le DNS forwarder possède cette fonctionnalité permettant de "mentir" lors de la résolution de nom.

    Merci.


  • Tu aurais aussi tout simplement pu déactiver l'options qui dit "Disable NAT Reflection" donc activer la réflexion NAT qui fait exactement ce qui t'a été proposé de créer un NAT sur le LAN pour le trafic destiné au WAN, mais c'est automatique et tu ne vois pas les règles dans l'interface.


  • Bonsoir,

    Pour résumé, le DNS Forwarder sert de résolution de nom pour mes ordinateurs qui sont sur mon LAN.
    Je suis comme même obligé de créer mes NAT sur ma carte WAN pour joindre une machine depuis l'exterieur ?

    Il y a comme même quelque chose qui m'échappe entre la section NAT et la section Rules. Je pense que c'est un défaut de langage car je n'arrive pas à différencier les deux ? Est ce que vous pouvez m'indiquer la différence svp car pour moi la seule différence est qu'il y a plus d'option dans les règles de la section Rules mais au final on fait bien du NAT ? J'espère être clair ?

    En revanche, je n'ai pas trouvé cette option "disable NAT reflection"   ???
    Dans quelle section je la trouve ?

    Encore merci pour votre aide  :D


  • Alors dans l'ordre des questions:

    Oui il faut tout de même créer au moins un NAT pour que les clients naviguent et effectivement le DNS Forwarder ne sert qu'à la résolution de nom.

    Ensuite, NAT et RULES sont liés aux deux fonctionnalités principales d'un pare feu. Le moteur de NAT (Traduction d'adresse réseau afin de réécrire les IP sources et/ou Destination dans les paquets IP) et le moteur de filtage qui permet tout simplement d'autoriser ou de bloquer un flux entre A et B. Il faut savoir une chose importante, lorsqu'un paquet se présente au firewall, il subit tout d'abord les règles de NAT puis les règles de filtrage, autrement dit le NAT est appliqué avant les RULES.

    On s'occupe d'un côté (Menu NAT) de "l'identité":

    • modification de l'adresse source d'un paquet lorsqu'il sort d'une interface, ce sont les règles de l'onglet Outbound. (techniquement le NAT de sortie dans pf c'est le mot clé NAT, sous linux iptables cela serait l'action -j snat)

    • modification de l'adresse de destination d'un paquet lorsqu'il rentre sur une interface, ce sont les règles de l'onglet port forwarding (techniquement le port forwarding c'est du NAT, dans pf c'est le mot clé RDR, sous linux iptables cela serait l'action -j dnat –to). A noter une limitation de l'interface graphique de pfsense, dans le port forwarding on ne peut pas choisir la source du paquet (de qui vient le paquet que l'on veut rediriger) pour faire de la redirection conditionnelle. Cette limitation n'st pas liée à pf mais seulement à pfsense.

    • modification de l'adresse source d'un paquet et modification de l'adresse de destination d'un paquet c'est l'onglet 1:1

    Puis de l'autre côté (Menu Rules), on définit les règles de sécurité sur les flux.

    Enfin, l'option dont parle MageMinds est dans le menu System puis Advanced puis tout en bas de la page, avant derniere option.


  • Salut à tous,  :D

    C'est beaucoup plus clair maintenant, même s'il me reste pas mal de points à bien assimiler sur le "réseau"…..
    Vraiment bien Pfsense !!!
    Merci beaucoup d'avoir pris le temps de m'éclairer.
    Un grand merci pour votre soutien.

    A bientôt