Besoin d'aide pour la conf du Firewall



  • Bonjour a tous

    J'utilise depuis maintenant presque 2 ans pfsense sur une VM de mon ESXi pour gérer un lab avec deux sous-réseau de test (LAN_LAB1 et LAN_LAB2) ainsi qu'une troisième patte vers mon lan bureautique qui se trouve être la sortie vers ma box internet.

    (Internet)–-[BOX-FAI]–-(LAN_BUREAUTIQUE en 192.x.x.x/24)---[WAN - pfSense - LAN]–--(LAN_LAB1 en 10.10.1.0/24)----[VM1 - Contrôleur de domaine 1)
                                                                                                                [pfSense - OPT1]–--(LAN_LAB2 en 10.10.2.0/24)----[VM2 - Contrôleur de domaine 2)

    Bon voila mon infra dans les grandes lignes, aujourd'hui il me semble avoir le firewall configuré avec beaucoup de largesse (enfin avec des *), j'aimerais pouvoir ajouter des régles plus fines pour ne laisser passer QUE se qui doit passer.

    J'ai réalisé quelques tests non convainquant, de plus, j'aurais aimé pouvoir utiliser les "Aliases" pour trier les ports a laisser passer.

    Aujourd'hui, je ne comprends toujours pas comment utiliser ce firewall et éventuellement l'utiliser avec ses aliases qui me faciliteraient la tâches car j'ai un ensemble de flux pour différents besoin (WSUS, AD Kerberos, web http(s), .....)

    Si quelqu'un pouvait m'aider a y voir plus clair



  • Salut salut

    Etant donné que c'est votre premier poste, un petit recadrage s'impose.

    Sans parler du non respect de formulaire d'entre aide qui nous aurait fait gagner beaucoup de temps.
    https://forum.pfsense.org/index.php?topic=79600.0 !!!!!!!! A suivre dans votre cas !!!!!

    Voila ce que je comprend de ce que vous avez tenté d'expliquer.

    Votre pf est virtualisé (pas toujours une bonne solution pour de la production, même pour du lab maison).
    Cela permet de découvrir une partie des possibilités que peut offrir un tel produit.
    Je m'en sers pour des cas très précis comme du maquettage avec un vswitch sur une carte supplémentaire par segment a contrôler sur laquelle je me branche pour respecter le principe du "je n'administre pas un réseau en direct depuis l'extérieur mais par un poste dedans".

    Mais vous ne nous dites pas comment est paramétré votre pf.

    Cela amène à beaucoup trop de questions comme :

    • blocage des accès wan + filtrage ?
    • la porte ouverte à tout le monde , simple routage de wan vers lan1/2 ?
    • quels sont les tests ?
    • comment les avez vous réaliser vos tests ?

    Ce que cela démontre :

    • une méconnaissance total et ou plus que parcellaire du produit Pf sans parler de la partie virtualisation non plus.
    • de grosses lacune sur les concepts réseaux et des services qui en font appel.
    • nous ne pouvons que supposer que votre niveau réel en informatique de manière général à la façon de l'exposition de la problématique.

    Cordialement.



  • Effectivement, je connais assez mal la solution pfSense, le fait que ma solution soit virtualisé est voulut et assumé, je ne cherche pas les performances car c'est une maquette que j’héberge derrière le pfSense.

    Donc j'ai effectivement 3 vswitch définis sur chacun des sous-réseaux, le but étant que la communication entre ces 3 sous-réseaux soient gérées par le pfSense.



  • ainsi qu'une troisième patte vers mon lan bureautique qui se trouve être la sortie vers ma box internet.

    On se demande à quoi sert Pfsense.
    D'une façon systématique, tous les réseaux de l'entreprise à protéger devrait se trouver, a minima, isolé d'internet par un firewall et donc se situer derrière celui-ci.

    j'aimerais pouvoir ajouter des régles plus fines pour ne laisser passer QUE se qui doit passer.

    Concept assez flou, pour autant que l'on puisse parler de concept. Les déterminants sont simples :
    1. Votre besoin de sécurité.
    2. Vos besoins fonctionnels.
    C'est le point de départ. Au delà il est très partiel de considérer que les besoins de sécurité seront couverts en ne laissant passer que ce qui doit passer.
    Il y a bien d'autres aspects que le firewalling qui doivent être considérés.
    La virtualisation du firewall contredit un des principes admis de "la défense en profondeur" qui prévoit notamment l'indépendance des différents mécanismes de protection. Principe ici contredit puisque le firewall est dépendant, par exemple, du bon fonctionnement de l'isolation des vm.
    Pour le reste (alias) la lecture de la documentation donne les réponses.



  • Salut salut

    On vous demande  https://forum.pfsense.org/index.php?topic=79600.0 !!!!!!!! A suivre dans votre cas !!!!!

    L'avez vous lu au moins ? preuve que non.

    L'appliquez vous  ? encore preuve que non.

    Manifestement vous partez sur de la virtualisation de pare-feu sans comprendre ni encore moins apprendre.

    • Quel sont vos recherches ?

    Non cordialement.