[RESOLU]Ouverture port et transfert



  • Bonjour à tous,

    Voila je reprend un site site lequel est installé PFsense comme firewall/routeur.
    Je me trouve confronté à un problème lors des l'ouverture d'un port et de sa redirection vers un pc du domaine.
    Le port en question est le 6129 (pour la connaisseur il s'agit de DameWare)

    J'ai vu en première page du forum que pour des raison de lisibilité il fallait remplir ce formulaire, donc le voici.

    Contexte : milieu pro/asso/perso, niveau expertise de l'administrateur, age de la solution firewall (est ce nouveau ou pour test ou pour évolution)

    Besoin : qu'est ce qui faut faire (en français) ou qu'est ce qu'on veut faire : section qui ne doit pas être réduite à un mot, une phrase ! Section essentielle !

    Schéma :

    WAN (modem/routeur/box) :
    2 wan comme suit

    BOX1<–---------->WAN(pfsense) <----------------------->Admin
    BOX2(fibre)<------------>WAN2(pfsense)<----------------------->Edu

    LAN: 2 lan en, ou chaucn dispose de sa connexion
    DMZ : pas de DMZ

    WIFI : Wifi en interne que pour quelques personnes

    Autres rôles Pfsense : dhcp (sur réseau Edu) pas de dns local, ...

    Onglet NAT :
    If WAN; proto: tcp/udp ;src addr : any; src. port. : any; dest addr :  any ; Dest port : 6129 ; Nat ip : ip du postes que je veux contacter;Nat ports : 6129
    Onglet Outbound:
    forward et c'est là que j'ai un problème,  Outbound manuel et static port à Yes partout

    Règles Firewall :
    Onglet floating : Aucune
    Onglet Wan (celui qui m'intéresse) :
    ipv4 tcp/udp source any port any destination Réseau ADM
    ipv4 tcp/udp source any port any destination ip du poste que je veux contacer port 6129 (connexion loggée)
    Onglet ADM:
    Proto : any ; Source :  Reserved/not assigned by IANA; Port : any;  Dest : any;  port : any ; Gateway : / ; Queue : / ; Schedule : /;  Block bogon networks
    Proto: tcp/udp; source : admin net ; port : any ; dest. wan ; port : any ; gateway : any ; Queue : None ; Schedule  /
    Proto : IPv4 TCP/UDP ; Source : ADMIN net ; port : * ; Destin.: PEDA net ; Port : * Gateway: *; none

    Packages ajoutés : Squid Squiguard

    Autres fonctions assignées au pfSense : proxy et ctrl parental

    Question : Et bien voila lorsque que depuis l'extérieur je tente de me connecter sur mon pc à l'intérieur du domaine, je n'y arrive pas, je me suis donc mis a chercher d'où cela pouvait provenir.
    Dans un premier temps j'ai regarder si l'outbound n'était pas dynamique, il l'était et j'ai tout mis en statique, ensuite j'ais testé avec du pure NAT, et du proxy/Nat mais rien n'y faisait.
    J'ai donc décidé de logger tous mes connexions.
    Autre point visiblement dameware arrive a atteindre sa destination le logiciel me répond  "en attente d'authentification"

    Voici ce que les logs me disent:
    Pour la connexion entrante voila ce que j'ai :
    pass | date | if WAN | Ip du poste distant tentant en l’occurrence 80.214.xxx.xxx:44404 | 192.168.0.xx:6129 TCP:S

    Donc j'en déduis que la connexion se fait bien, le problème c'est que je n'ai aucun retours, rien de rien.

    Pistes imaginées

    Oui dézinguer pfsense pour mettre une soluce maison à base d'iptables/iproute et opendns

    Merci de votre aide.



  • Merci d'avoir pris le temps de décrire votre configuration.

    1. Dans votre cas la mise en œuvre est simple. Il vous suffit de créer une règle de nat et pfsense ajoutera automatiquement la règle de filtrage nécessaire sut l'inyterface wan concernée.

    pass | date | if WAN | Ip du poste distant tentant en l’occurrence 80.214.xxx.xxx:44404 | 192.168.0.xx:6129  TCP:S

    2. Avez vous validé que la machine à atteindre n'est pas "firewallisée" ?  Si c'est un windows il fort probable qu'il n'accepte aucune connexion entrante venant d'internet.



  • @ccnet:

    Merci d'avoir pris le temps de décrire votre configuration.

    1. Dans votre cas la mise en œuvre est simple. Il vous suffit de créer une règle de nat et pfsense ajoutera automatiquement la règle de filtrage nécessaire sut l'inyterface wan concernée.

    pass | date | if WAN | Ip du poste distant tentant en l’occurrence 80.214.xxx.xxx:44404 | 192.168.0.xx:6129  TCP:S

    2. Avez vous validé que la machine à atteindre n'est pas "firewallisée" ?  Si c'est un windows il fort probable qu'il n'accepte aucune connexion entrante venant d'internet.

    Merci pour la réponse, il y a une GPO sur le domaine qui ouvre le port en question ,Problème apres un gprepport je m'aperçoit qu'elle n'est pas appliqué.

    Merci de votre réactivité c'est très agréable.

    Sujet Clos