Classe C public vers Serveur
-
Bonjour,
Je suis un peu nouveau dans le monde de pfsense.
Voici ce que je désire faire.
J'ai une classe C publique complète la 205.237.xxx.0. Cette Classe C a une route statique vers mon pfsense sur l'adresse 204.19.10.YYY.
Je veux que certains de mes serveurs soient visibles de l'extérieur. J'ai exemple 3 serveurs web, SVN, mail etc…
Je voudrais savoir si je peux trouver de la documentation (anglais ou français) sur le sujet. Ou si quelqu'un ici peut m'aider ?
Dumarjo
-
1. http://doc.pfsense.org/index.php/Main_Page
2. Lisez la documentation de Monowall dont Pfsense est issu. http://m0n0.ch/wall/documentation.php
Cela ne réglera pas les questions d'architecture, mais vous saurez où cliquer.
-
MErci
J'ai trouvé ceci http://doc.m0n0.ch/handbook/examples.html#id11641322
Sa explique bien ce que je veux faire.
Il reste a tester le tou maintenant.
Dumarjo
-
C'est exactement votre besoin, il n'y plus qu'à suivre la doc pour la suite.
N'oubliez pas un point : dans Pfsense le nat est d'abord appliqué puis les règles. Les règles s'appliquent à des paquets dont les adresses sont déjà translatées. Et non l'inverse comme dans certains autres firewall. -
JE veux juste être certain que sa va fonctionner.
J'ai parler avec mon ISP et il m'as dis (avec mon ancien system basé sur iptable (showrewall)) que j'avais un problème de NAT parce qu'il voyait des machine dans le 205 (ma classe C) dans ces table ARP. Je trouve sa étrange. Il m'a dis que c'était une mauvaise configuration de mon router/firewall. Et ceci semblait ne pas le satisfaire.
J'espère ne pas avoir le même problème avec pfsense et cette configuration.
Dumarjo
-
Le problème n'est pas Pfsense, mais la façon dont vous allez l'utiliser. Vous n'êtes pas obligé, c'est le moins que l'on puisse dire, de laisser sortir de la dmz toutes les requêtes icmp.
-
Bonjour,
Si je comprend bien, il ne faudrais laisser passer les commande ARP ? pfsense reprodui-til le arp des ordinateur qui sont situer a l'intérieur vers l'extérieur ?
Dumarjo
-
Bonjour,
Si je comprend bien, il ne faudrais laisser passer les commande ARP ? pfsense reprodui-til le arp des ordinateur qui sont situer a l'intérieur vers l'extérieur ?
Dumarjo
En gros, oui. Vous devez utiliser des IP virtuelles (si je ne me trompe) qui simuleront une entrée ARP sur l'interface out (si je ne me trompe). Donc lorsque quelqu'un essaiera de joindre une de ces IP, votre pfSense répondra aux requêtes.
Vous devrez ensuite configurer le NAT "lier" les IP LAN de vos serveurs à leurs IP virtuelles respectives. Pour finir, vous devrez créer des règles ne permettant qu'un accès minimal à vos serveurs depuis l'extérieur (ex: port 80 & 443 pour un serveur WEB).
Comme signalé plus haut, le NAT est appliqué avant les règles de filtrages. Donc, ces dernières concerneront vos IP LAN.
Hope this helps.
-
Pourquoi ne pas simplement mettre en place un routage statique pour cette plage publique en accord avec votre ISP ?
-
Pourquoi ne pas simplement mettre en place un routage statique pour cette plage publique en accord avec votre ISP ?
C'est à dire?
-
Configurer cette plage publique en DMZ, puis demander a votre ISP de mettre une route statique vers cette plage en direction de votre firewall pfsense.
Coté WAN trois solutions s'offre à vous:
1- obtenir un petit /29 pour la partie WAN (le réseau entre votre firewall et votre ISP)
2 - découper votre /24 pour en sortir deux plages afin d'en avoir une pour le WAN et une en DMZ
3- WAN dans une plage privé (RFC1918) si votre ISP accepte de configurer son routeur en privé (celà économise de l'IP publique).