Demande aide pour la configuration des rules
-
Bonjour à tous,
Je suis nouveau sur le forum et je découvre pfsense depuis 2h !!!
Contexte : milieu pro, je dois installer un firewall pour la société dans laquelle je travaille, mais je bloque.
J'ai installé pfsense dernière version 2.4.0 sur un serveur physique.Schéma :
1/ J'ai un routeur Cisco 7204 vxr avec un range d'ip de 62.71.100.114 -> 62.71.100.124
Il faut que le trafic sorte par la 114 et les connexions entrante par mon range.2/ J'ai mon pfsense avec:
-WAN 62.71.100.114/28
-DMZ LAN 192.168.1.2/24
-TRUSTED OPT1 192.168.0.2/24Voici mon problème:
J'ai besoin que la TRUSTED ai accès à toute la DMZ (tous les ports) et internet donc pas de restriction.
Et j'ai besoin que la DMZ par exemple: si je veux joindre l'ip externe 62.71.100.119 répondre en HTTP (80) sur le serveur interne 192.168.1.119
Je ne comprend pas bien ce que je dois faire dans le NAT et RULES …
Après votre aide, je pourrais ajouter d'autres rules.A tous et d'avance, je vous en remercie.
Cordialement,
Philippe
-
Probablement que juste 2H de découverte, ce n'est pas suffisant.
Mais si tu comprends comment fonctionnent, dans le principe, firewall et DMZ, ça ne pose pas de problème particulier.A quelques détails près cependant… comment peux-tu avoir pfsense et le routeur Cisco en même temps sur le segment 62.71.100.114/28 ?
tu peux bien sûr avoir les 2 connectés sur je ne sais pas quel équipement, ou alors, plus probable, ton routeur Cisco connecté à ton ISP (en Finlande ;) ) et on pfSense derrière, avec un WAN dans un plan d'adressage privé (RFC1918)
Ou encore, pas de routeur Cisco, et pfSense qui écoute surtoutes les adresse du range.bref, il faut décider de ton design mais celui que tu décris, je ne le comprends pas :(
-
Effectivement …
Enfait mon routeur Cisco est en 62.71.100.113 avec le routage suivant:
ALKAID_7204#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static routeGateway of last resort is 0.0.0.0 to network 0.0.0.0
212.35.99.0/30 is subnetted, 1 subnets
C 212.35.99.140 is directly connected, Serial2/0
62.0.0.0/8 is variably subnetted, 11 subnets, 2 masks
S 62.71.100.115/32 [1/0] via 62.71.100.114
C 62.71.100.112/28 is directly connected, FastEthernet0/0
S 62.71.100.119/32 [1/0] via 62.71.100.114
S 62.71.100.118/32 [1/0] via 62.71.100.114
S 62.71.100.117/32 [1/0] via 62.71.100.114
S 62.71.100.116/32 [1/0] via 62.71.100.114
S 62.71.100.123/32 [1/0] via 62.71.100.114
S 62.71.100.122/32 [1/0] via 62.71.100.114
S 62.71.100.121/32 [1/0] via 62.71.100.114
S 62.71.100.120/32 [1/0] via 62.71.100.114
S 62.71.100.124/32 [1/0] via 62.71.100.114
S* 0.0.0.0/0 is directly connected, Serial2/0Donc tous le trafic sort par la 62.71.100.114 (c'est mon but) et sur les autres accessible en entrée via leur ip publique.
Merci à vous
-
Et comment ton routeur Cisco est-il connecté à pfSense ???
62.71.100.112/28 est ton interface "publique" (coté internet / WAN)
l'IP utilisée est 62.71.100.114, les autres sont des routes statiques.Donc tout ça, c'est coté Cisco… mais qui de pfSense ?
Un petit schéma de l’implémentation physique peut-être ? ;)