Bypass du firewall ou Modifier Règles du Firewall (Rules) PF 2.2.6



  • Bonjour,
    Nous gérons 4 serveurs en plus des postes clients sous PFsense, à savoir AD, Email, et deux serveurs d'application.
    Pour le filtrage, tout semble fonctionner, mais nous voudrions autoriser les 4 serveurs à faire du bypasse du firewall, sans modifier l'architecture (çàd, sans aller à DMZ ou VLAN) mais les faire fonctionnner sous PFsense

    Internet Connection –- Pfsense (Routeur +firewall) ---- 48 ports switch --- 192.168.1.0 /24 (y compris les serveurs)

    Le contrôle Proxy Squid est activé, ainsi que le protocole SSL.
    Nous avons déjà mis l'adresse IP de ces  4 serveurs dans le whitelist

    Comment est qu'on fait pour permettre ce bypass  des serveurs ?

    J'ai essayé de paramétrer les règles du firewall (rules) comme suit mais je ne suis pas sur de choisir entre

    • floatting
    • wan
    • lan
      sachant que ce que je veux c'est que les connexions entrant et sortant de ces 4 adresses IP de serveurs ne passent pas par le Firewall

    PS : est ce que pass (vert) veut dire que la règle firewall s'applique ou non ?
    idem pour block (croix rouge), cela veut-il dire que la règle soit applicable ou non ?

    Merci



  • Je pense qu'il y a un problème dans ta manière d'exprimer la problématique et l'objectif, ce qui du coup, si ma supposition est correcte, t'empêche de réfléchir à la solution.
    Je suppose que ton objectif, c'est de permettre aus serveurs de faire un bypass non pas de pfSense mais du proxy.

    Si tu veux faire un by-pass du pfSense (en tant que FW, il faut organiser ton réseau différemment mais je n'en vois pas l'intérêt.

    Si l'objectif est de faire un by-pass du proxy, il faut savoir si tu est en mode proxy transparent ou pas.

    En mode explicite (c'est à dire non-transparent) c'est très facile, il suffit de mettre une règle sur l'interface LAN pour autoriser l'alias (que tu vas créer et qui contient les IP des tes serveurs) à traverser vers internet.

    En mode proxy transparent (que je ne te conseille pas du tout), je crois qu'il est possible de gérer dans les version récentes de Squid des listes de by-pass mais je me demande si ce n'est pas uniquement pour SSL-bump.

    Si tu ne trouves rien au niveau proxy, il faut faire des règles de redirect personnalisées pour ne pas rediriger les IP sources correspondant à l'alias ci-dessus.

    Mais le proxy en mode transparent… c'est nul  :P



  • Bonjour,

    Je déduit que votre proxy est transparent mais n'en suis pas sur ; la demande n'étant pas très claire je vais vous donner 2 réponses.

    1/ Bypass proxy :
    Vous avez ce champ : ''Bypass Proxy for These Source IPs'' dans les config de squid sur pf.

    2/ Bypass fw : (je ne voie pas l'intérer mais bon^^)
    Vous créer une règle tout en haut de la liste comme suis :
    Type : pass, proto: any, source: alias des 4 ip, ports: any, destination : any

    Cdt



  • Merci pour votre réponse rapide.

    Effectivement, je voudrais contourner le firewall (dont squid) car comme je l'ai expliqué, le schéma est le suivant :

    Connexion internet FAI – PFsense (sert de routeur + firewall) --- swithc 48 ports (manageable mais on ne fait pas de VLAN) --- tous les postes + tous les serveurs.

    Et je suis en mode proxy transparent + activation SSL. et ensuite les clients utilisent un certificat pour pouvoir accéder à internet.
    Ce choix pour l'activation du SSL vient du fait que si on la désactive, les utilisateurs mettent juste https à la place de http pour accéder aux sites interdits.

    Quant au mode proxy transparent (proxy squid), j'avoue ne pas connaître son utilité, et votre lumière me sera d'une grande aide.

    Dans le paramètre de Squid Proxy (cf image), j'ai effectivement mis une adresse IP à bypasser, mais je ne suis pas sûr de l'efficacité du "contournement" du firewall.

    Je suis prêt à virer le mode transparent si je comprends mieux son utilité ou inutilité.

    D'avance merci




  • Quel est l'objectif de "contournement du firewall" ???

    Le fait que le proxy HTTP soit installé sur le firewall ne change rien au fait que ce sont 2 composants différents qui net traitent pas la même chose.

    Par ailleurs, la possibilité de contourner le proxy en mettant HTTPS à la place de HTTPs vient de ce que votre proxy est configuré en mode transparent.
    C'est pour une autre plate-forme mais j'y explique (en anglais) la différence entre proxy explicite et transparent.

    Avec un proxy explicite, on peut tout à fait interdire un site en HTTPS sans devoir activer SSL-Bump (man in the middle)



  • Avez-vous créer la règle de fw comme indiquer ?

    Quand au mode explicite du proxy, ce sont plutôt les ''contraintes'' lier à ce mode qu'il faut appréhender ^^



  • @baalserv:

    Quand au mode explicite du proxy, ce sont plutôt les ''contraintes'' lier à ce mode qu'il faut appréhender ^^

    La vraie contrainte du mode explicite, c'est qu'il faut dire au client (le plus souvent un navigateur mas c'est également valable pour les OS, java etc.) qu'il faut utiliser un proxy à une adresse et un port donné.
    Une des réponse à cette question passe par la mise en œuvre de WPAD, point discuté brièvement ici, largement dans la section "anglaise" de ce forum et également dans le lien que j'ai fourni un peu plus haut.

    Mais il y a souvent une méprise entre WPAD et le proxy:
    le proxy en mode explicite n'a pas obligatoirement besoin de WPAD.

    Il y a 3 étapes successives:

    • proxy en mode explicite
    • proxy.pac
    • WPAD

    proxy.pac va permettre d'adapter la manière le navigateur accède ou pas au proxy (en décrivant d'ailleurs l'IP et le port)
    wpad va automatiser la découverte de proxy.pac (et non pas du proxy contrairement à ce que l'acronyme semble dire)



  • Merci bien pour vos conseils.

    Je ne sais pas si on bien fait mais voilà ce qu'on a fait :

    • L'adresse du poste client est attribué soit par dhcp de win2008 soit par adresse réservé dans AD.
    • C'est ce serveur AD là qui sert de DNS ….
    • Dans la config Pfsense, l'adresse du serveur AD (ci dessus) est déclaré comme DNS
      => A mon avis nous n'avions pas besoin de déclarer l'adresse du proxy étant donné que Pfsense est devenu à la fois proxy et DNS.
      =>Je crois qu'on ne devrait avoir accès à internet tant qu'on n'est pas dans le domaine.

    Même le WAN est configuré dans PFsense (on a laissé tombé le routeur physique).

    Le besoin de contourner le Firewall c'est surtout pour les deux serveurs d'application où il y a énormément de traffic. Et le fait de passer par FW PFsense risque de ralentir (alors que nous ne voulons pas encore faire de VLAN pour aujourd'hui).

    Petit à petit on va modifier notre façon de faire pour ne pas risquer de bloquer le parc, en essayant.



  • Pas de soucis pour utiliser AD comme serveur DNS et serveur DHCP pour les autres machines du LAN.
    Il faut par contre que soit pfSense soit déclaré comme serveur pfSense de AD soit que le FW laisse passer les requêtes DNS de AD

    Par contre :

    • tu ne sembles pas le comprendre mais tu ne peux PAS faire un by-pass du firewall sans une configuration réseau différente : comme tu continues à mélanger firewall et proxy, tu ne vas jamais avancer dans ta réflexion.
    • tu n'as pas besoin de déclarer "où trouver le proxy" si celui-ci fonctionne en mode transparent puisque c'est le but d'un tel design.
    • pfSense (selon ton hardware bien sûr) dans sa fonction pare-feu, ne va pas ralentir les requêtes des serveurs.

    Point important : ta remarque visant à ne pas autoriser les accès internet pour les utilisateurs qui n'appartiennent pas au domaine signifie authentification et donc impose un proxy explicite car il ne peut PAS avoir d’authentification avec un proxy transparent



  • Merci pour ton explication,

    La liaison LDAP est déjà fait avec AD.
    Et c'est peut-être pour éviter d'avoir à configurer l'adresse proxy 192.XXXXXX port 3128 que mes prédécesseurs ont choisi le mode transparent.

    Et si je désactive le mode transparent, je devrais donc renseigner cette partie dans l'image ? (onglet miscallenous)

    Oublions l'histoire de by-passer le FW …



  • Tu mélanges un peu tout.
    Ce que tu montres, c'est que AD est configuré en tant que back-end LDAP pour pfSense mais cela n'a rien à voir avec la configuration du proxy.
    Par ailleurs, ta deuxième copie d'écran montre les paramètres de configuration d'un proxy… lorsque pfSense est lui même derrière un proxy. Ce qui n'a rien à voir avec le fait de mettre un proxy à disposition des utilisateurs du LAN



  • Ceci veut dire que je dois mettre l'adresse du proxy dans cet onglet miscellaneous ? et faire utiliser ce paramètre dans les navigateurs ?



  • @chris4916:

    Par ailleurs, ta deuxième copie d'écran montre les paramètres de configuration d'un proxy… lorsque pfSense est lui même derrière un proxy. Ce qui n'a rien à voir avec le fait de mettre un proxy à disposition des utilisateurs du LAN

    Donc non !
    Les navigateurs des utilisateurs ne récupèrent pas ces paramètres. Comme Chris l' a écrit : lorsque pfSense est lui même derrière un proxy. Ce paramètre ne concerne que Pfsense pour sa propre connectivité à internet en tant que client http.
    Je confirme, vous mélangez tout.
    Par ailleurs AD ou pas, rien n’empêche un utilisateur de configurer manuellement une ip sur une machine (windows ou non) et ce n'est pas l'appartenance ou non au domaine qui contrôlera son accès à internet avec un proxy transparent (mauvaise idée).
    Si vous souhaitez ce type de contrôle (bonne idée) il faut :
    Un proxy authentifiant qui s’appuie sur AD comme source d'authentification.
    Un filtrage adapté sur Pfsense.
    La présence des serveurs d'applications (web ?) dans le lan est une mauvaise idée.

    ce que je veux c'est que les connexions entrant et sortant de ces 4 adresses IP de serveurs ne passent pas par le Firewall

    Mauvaise idée et gros risques.



  • Merci les gars, il faut vraiment que je refasse pas mal de choses,  … :-[


Log in to reply