[SOLVED] Règles avec plusieurs LAN



  • Bonjour,

    J'ai un Pfsense (à jour) avec un WAN et 3 LAN :
    Lan administratif 10.0.0.0/24
    Lan technique 10.0.1.0/24
    Lan servers 10.0.2.0/24

    J'aimerai que mes LANs administratif et technique ne puissent pas communiquer entre eux, mais qu'ils puissent communiquer avec certaines adresses/port du LAN server.

    Or par exemple pour accéder à internet, j'ai mis dans le LAN administratif "AdminLan To ANY Allow 80/443/53"
    Et du coup le LAN administratif peut accéder sans rien ajouter de plus aux services web du LAN Server ainsi que du LAN Technique !

    Il me semblait que ce qui n'était pas explicitement autorisé était alors interdit…. ??? Or il n'y a pas de règles dans le LAN Technique ou Server qui autorise du web en entrée....

    Désolé pour cette question de "débutant" mais je tourne en boucle ....

    Merci beaucoup. Bonne journée.

    ToTo



  • @totolours:

    Or par exemple pour accéder à internet, j'ai mis dans le LAN administratif "AdminLan To ANY Allow 80/443/53"
    Et du coup le LAN administratif peut accéder sans rien ajouter de plus aux services web du LAN Server ainsi que du LAN Technique !

    C'est bien ce que dit ta règle.
    Il faut bien comprendre que le FW filtre les packets "qui entrent" (inbound) via l'interface à laquelle est associée la règle.
    donc si tu autorises sur l'interface AdminLAN en direciton de any les ports 90, 443 et 53, tu peux depuis AdminLAN aller partout.

    Si tu veux empêcher d'atteindre les LAN "technique" et "serveurs", il faut mettre une règle qui dit:
    "ce qui vient de AdminLAN en direction du LAN technique est interdit"
    et une règle
    "ce qui vient de AdminLAN en direction du LAN serveur est interdit"

    et bien mettre ces 2 règles avant la règle qui autorise tout puisque les règles sont évaluées dans l'ordre.
    Et donc si tu veux quand même autoriser l'accès à quelques équipements sur des 2 LAN, il faut une autre règle, en amont, qui le précise.

    Par ailleurs, l'accès sur le port 53, ce n'est pas génial: ton serveur pfSense peut relayer les requêtes DNS (forwarder ou resolver) donc il n'est pas utile que les clients accèdent eux-mêmes à des DNS publiques. Bien sûr, cela signifie que ton serveur DHCP décrive que le serveur DNS, c'est pfSense.



  • Désolé pour cette question de "débutant" mais je tourne en boucle ….

    Lire la documentation et la comprendre vous permettrait de résoudre très vite vos problèmes.



  • Bonjour,

    Merci chris4916 ! C'est beaucoup plus clair maintenant. Et merci aussi pour le conseil sur le DNS. J'avais mis pfsense comme forwarder mais je pensais qu'il fallait au moins autoriser les machines à faire des requêtes sur le port du pfsense.
    Encore merci.

    @ccnet : Oui et j'avais bien lu la doc et fais des recherches sur le net, mais j'avais rien trouvé de clair. On explique beaucoup de chose quand on a 1 LAN 1 WAN et éventuellement une DMZ, mais rien quand on a plusieurs LANs.

    Bonne journée.

    Thomas