Difficultés sur pfsense à 4 pattes



  • Bonjour,

    Ancien utilisateur IPCOP, je cherche un FW plus performant pour monter ultérieurement 2 FWS en Failover
    Loadbalancing ; j'ai découvert PFSENSE 1.2.2 et je pense qu'il répond très clairement à mes attentes ; J'ai
    monté une maquette à 5 pattes (WAN,LAN,DMZ,WIFI) avec un accès freebox v5 en mode routeur ; J'ai réussit l'installation ; à faire fonctionner la sortie du LAN vers le WAN ; mais impossible d'atteindre ma DMZ ; de dedans ou de l'extérieur. Après de multiples essais, je n'ai jamais réussit ; j'ai cherché des tutos et des
    discussions mais rien ne convient à ma config ; Je n'ai pas de repère et je pense que je ne perçois pas toutes les subtilités du produit ; Alors Que faut-il vraiment faire sous PFsense !

    Je sais que je demande peut-être encore et encore quelque chose qui a été certainement demandé mais je ne trouve pas chaussure à mon pied !

    Voici mon schéma pour vous aider !

    Voici ce que je pensais configurer !

    Tout est bloqué au départ (je suppose)
    J'autorise le LAN à sortir sur WAN
    J'autorise la DMZ à sortir sur WAN
    J'autorise la WIFI à sortir sur WAN
    J'autorise le LAN vers DMZ (port 80,22,21 peut-être seulement)
    J'autorise le WIFI vers DMZ (port 80,22,21 peut-être seulement)
    Je NAT les ports 80,21 de WAN vers le serveur WEB de ma DMZ.

    J'ai peut-être oublié quelque chose !!!
    Est-ce que quelqu'un peu m'aider en indiquant les étapes pas à pas !

    ENCORE…
    MERCI.

    myux



  • Tout est bloqué au départ (je suppose)

    Oui

    J'autorise le LAN à sortir sur WAN
    J'autorise la DMZ à sortir sur WAN
    J'autorise la WIFI à sortir sur WAN

    Pas tout j'espère ?

    Il y a deux points importants qu'il faut avoir en tête lorsque l'on va utiliser pfsense un peu déroutant au début, mais c'est une question d'habitude.

    1. Les règles de filtrage sont appliquées au trafic qui vient du segment auquel est connecté la carte vers la machine Pfsense. Exemple : si je veux stopper le trafic dns du lan vers la dmz je dois mettre la règle sur la carte Lan et pas ailleurs. Je ne peux mettre pas une règle sur la carte "dmz" en disant source = lan, et destination = dmz. Dans Pfsense il n'y a de règles que de l'extérieur de Pfsense vers Pfsense

    2. Il y a des règles de filtrage et des règles de nat. La règle de nat est toujours appliquée en premier puis la règle de filtrage.

    En pratique, surtout au début, vous avez intérêt à créer vos règles de nat d'abord, typiquement Firewall: NAT: Port Forward en acceptant la proposition de Pfsense de créer automatiquement la règle de filtrage qui va autoriser le trafic, en laissant cochée l'option "Auto-add a firewall rule to permit traffic through this NAT rule". Une règle de Nat seul ne suffit pas à autoriser le trafic.

    Par exemple ce portforward :

    WAN  TCP  389 (LDAP)  172.16.1.1
                                                         (ext.: any) 389 (LDAP)

    s'accompagne de cette règle :

    TCP  *  *  172.16.1.1  389 (LDAP)  *



  • Merci "ccnet" pour cette réponse inespérée !

    J'ai trouvé pour faire fonctionner mon FW et ma DMZ:
    Mais j'ai de gros doutes sur la config mise en place, il ya quelque chose qui m'échappe…
    Les temps de réponses me semblent longs !
    Pouvez-vous valider ?

    EN NAT:port forward

    If      Proto  Ext. port range  NAT IP  Int. port range  Description

    WAN     TCP 80 (HTTP) 172.10.0.20 80 (HTTP) -
    (ext.: any)  
    WAN TCP 21 (FTP) 172.10.0.20 21 (FTP) -
    (ext.: any)

    EN NAT:outbound

    Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)) = coché

    Interface  Source  Source Port  Destination  Destination Port  NAT Address  NAT Port  Static Port  Description
    WAN    192.168.1.0/24 *  *  *  *  *  NO Auto created rule for LAN 
    WAN   172.10.0.0/24 * * * * * NO
    WAN   192.168.2.0/24 * * * * * NO

    POUR LES RULES:

    LAN
    Proto  Source  Port  Destination  Port  Gateway  Schedule  Description

    PASS * LAN net * * * *   Default LAN -> any


    WAN
    Proto  Source  Port  Destination  Port  Gateway  Schedule  Description

    BLOCK *  Reserved/not *  *  *  *  *  Block bogon networks
    assigned
    by IANA   
    PASS TCP * * 172.10.0.20 80 (HTTP) *   NAT  
    PASS TCP * * 172.10.0.20 21 (FTP) *   NAT  
    PASS TCP * * any 21 (FTP) *   NAT


    DMZ
    Proto  Source  Port  Destination  Port  Gateway  Schedule  Description

    PASS TCP  *  *  ! LAN net  *  *      Passe pas sur le LAN  
    PASS TCP/UDP * * DMZ net 22 (SSH) *   port SSH autorisé 
    PASS TCP * * DMZ net 80 (HTTP) *   http ok 
    PASS TCP * * DMZ net 443 (HTTPS) *    
    PASS TCP/UDP * * DMZ net 53 (DNS) *


    WIFI
    Proto  Source  Port  Destination  Port  Gateway  Schedule  Description

    PASS * DMZ net * * * *   Default LAN -> any

    Est-ce OK ? J'attends vos optimisations !

    Merci !



  • En NAt et WAN c'est ok pour moi, je comprend que vous avez un serveur ftp et un serbeur http.

    En NAT Outbound je ne sais pas trop ce que vous avez, une plage d'ip publiques à gérer ?

    En LAN je pense que c'est trop laxiste. Wifi aussi je pense. J'utilise par exemple :

    UDP  LAN net  *  DnsServers  53 (DNS)  *         
    TCP LAN net * * PortsHttp *

    DnsServers est un alias qui groupe les ip pibliques des dns que j'utilise. Autoriser any pour UDP 53 présente un risque.
    PortsHttp  est un alias qui groupe les ports 80 et 443.

    C'est un extrait simplifié. J'ai aussi sur certaines configuration :

    UDP  *  1194 (OpenVPN)  ZerinaServers  1194 (OpenVPN)  *
    Zerina Servers est un alias qui groupe les ip publiques de serveurs accessibles en VPN.
    Et bien d'autres chose mais toujours bien ajusté source et destination.

    Pour DMZ cela me semble bien si ce n'est TCP/UDP pour dns. Réduisez à UDP, il y a une exploitation frauduleuse possible de TCP : 53 ouvert.



  • Merci beaucoup pour ces éclairages avisés !

    J'ai donc fait ceci sur la DMZ:
    –------------------------------------------------------------------------------------------------
    DMZ protocole source   port destination port gateway schedule description
    pass *           *       *      !LAN net       *       *   *
    pass *           *       *      !WIFI net       *       *   *
    pass TCP           DMZ net 80 WAN net 80 *     *
    pass TCP           DMZ net 21 WAN net 21 *     *
    pass UDP           DMZ net 53 WAN net 53 *     *

    Toutefois j'ai un soucis ; le site WEB que j'héberge ne répond pas de mon LAN, en utilisant le nom de domaine (qui sort et qui utilise mon IP fixe free) ; pas de réponse immédiate ! timeout !
    Je trouve aussi que l'acces SSH depuis mon LAN vers ma DMZ est extrement lent (entre login et mdp) !

    Dois-je rajouter une régle ; je séche !

    Par ailleurs, je compte supprimer le mode routeur de ma FREEBOX pour être en mode MODEM/BRIDGE !
    C'est trop chiant d'être obligé de veiller dans mes tests à rerouter sur le portail FREE.
    Y aura-t-il des choses à faire sur PFSENSE dans ce cas ?

    Merci.



  • Pour le premier problème il faut une règle sur lan similaire à celle ci :
    TCP      LAN net  *  DmzServers  80
    Vous remplacerez DmzServers par l'ip de votre server web.

    Ensuite il y a éventuellement un second problème : la résolution dns. La solution s'appelle split horizon. L'info est suffisante ou pas pour la partie dns ?

    Pour l'accès ssh je n'ai pas d'explication a priori. Le reste est normal sur les temps de réponses ?

    Y aura-t-il des choses à faire sur PFSENSE dans ce cas ?

    Cocher l'option "Block private networks" sur l'interface wan.



  • Bonsoir,

    PFSense est en fonction. Les temps de réponses sont enfin normaux ; voir même plutôt bons. Un bonheur.
    Bref, tout est en fonction ; SNORT et SQUID activés aussi.

    Ma problématique de base était le DMZ qui était carrément trop restrictive ; j'ai donc révisé ma politique et çà marche.

    Ensuite il y a éventuellement un second problème : la résolution dns. La solution s'appelle split horizon. L'info est suffisante ou pas pour la partie dns ?

    J'ai effectivement regardé ça ; DNS différents extérieurs/intérieurs en faisant du NAT ! Ok mais dans quels cas ? En fait le ralentissement se faisait exclusivement sur le domaine www ; pas en interrogeant l'IP public ! du moins c'est ce que j'ai constaté ; l'idée du DNS qui cloche coulait de source… j'ai donc décidé de partir de la DMZ toute ouverte, puis, pas à pas fermeture des portes pour arriver à ce que je voulais !

    Quelques questions encore: j'ai activé SNORT que sur l'interface WAN ! Me conseillez vous sur toutes les interfaces ? SQUID est actif que sur LAN et WIFI ! Nécessaire sur LAN car je veux faire plus tard du filtrage URL.

    Je vais attaquer la partie WIFI ; faut que je mette ma FREEBOX en modem !
    Mon schéma est d'ailleurs pas bon sur cette partie. Que fait exactement l'option "Block private networks" sur l'interface WAN ?

    Merci encore...
    je pense revenir vers vous demander validation de mon plan "RULES" que je peaufine.

    TB



  • j'ai activé SNORT que sur l'interface WAN ! Me conseillez vous sur toutes les interfaces ?

    Je ne suis pas favorable à l'utilisation de Snort sur le firewall. Sur le forum Ixus j'ai pas mal écris ce que je pensai de l'utilisation de Snort. Et ne pense qu'il y a peu de structures en mesure de l'utiliser raisonnablement et efficacement. La difficulté principale avec Snort c'est … les RH. Encore que techniquement ce ne soit pas simple non plus. Si vous venez d'ipcop vous connaissez ixus et je poste sous le même nom.
    Il peut être pertinent d'utiliser snort sur l'interface wan et l'interface lan, voire d'autres, mais les règles nécessaire ne seront pas les mêmes. On ne surveille pas les mêmes choses dehors et dedans.

    Je vais attaquer la partie WIFI ; faut que je mette ma FREEBOX en modem !

    Surtout pas ! n'utilisez pas le wifi de la freebox mais un AP connecté à une interface de Pfsense.

    Que fait exactement l'option "Block private networks" sur l'interface WAN ?

    Elle évite le spoofing utilisant des ip privées de la RFC 1918, puisqu'elle les rejette.



  • Hello,

    Je ne suis pas favorable à l'utilisation de Snort sur le firewall

    Ah ! c'est intéressant ; il est vrai que c'est assez lourd !

    En fait, je cherche à bloquer les attaques diverses de type "brute force" !
    Avant c'était mon pauvre serveur WEB (sous FREEBSD) qui bloquait ça avec "Packet Filter" et un PERL.
    Le PERL parsait via syslog la log authlog, repérait les messages d'erreur et insérer en black list l'IP détectée. Marchait très bien ! Increuvable durant 2 ans. Mais le serveur WEB faisait plus de la protection que de l'hébergement ! Et j'avais parfois des lenteurs…
    SNORT me semblait bien... pour l'avoir essayé avec la soluce CLARKconnect, nombre de Kéké ont été blacklistés... PfSense le proposait, j'ai donc naturellement installé !

    Que proposez-vous ? Faut-il dissocier le FW et filtrage attaque ? (je vais aller faire un tour sur vos posts IXUS...)

    Surtout pas ! n'utilisez pas le wifi de la freebox mais un AP connecté à une interface de Pfsense.

    Ah ! J'ai trouvé une soluce un peu "osée" pour utiliser le WIFI de FB…
    Vous pensez qu'il est mieux d'utiliser une carte WIFI dans mon FW ! Mais pourquoi pas le WIFI de la FB ?
    Et passer le FB en modem... c'est juste pour éviter le routage sur le portail FREE ! sinon je trouve ça pas mal.



  • re-hello ccnet,

    La difficulté principale avec Snort c'est … les RH. Encore que techniquement ce ne soit pas simple non plus. Si vous venez d'ipcop vous connaissez ixus et je poste sous le même nom.

    J'ai lu avec attention un POST sur IXUS (Posté le: 14 Nov 2008 17:21    Sujet du message: IPCop en IDS: alertes snort par e-mail ?) … Effectivement c'est plus clair ! Bon... je laisse SNORT sur PF mais l'idée d'un switch actif est intéressante.

    MERCI pour vos lumières.
    TB



  • Oui celui là et d'autres … Attention Snort consomme beaucoup de ressources. Le risque est non nul qu'il soit détecté et que vos soyez noyé sous les alertes, avec des problèmes de perf qui en découle.



  • Pour ma  part je n'utilise pas snort sur le firewall.
    Je l'utilise parfois en IDS sur une machine dédiée via un port répliqué (option du switch, option qui sera présente en 2.0 également).

    Pour la protection des sites web hébergés j'utilise des reverse proxy apache avec mod_security+mod_console.



  • Bonsoir,

    Pour la protection des sites web hébergés j'utilise des reverse proxy apache avec mod_security+mod_console.

    OK… mais cela impose de toute façons une machine en amont...
    La méthode est très intéressante dans tous les cas... faudrait que je trouve un petit serveur supplémentaire.
    D'ailleurs, je suppose que SNORT serait le plus gourmand en ressources !

    Merci.



  • Oui absolument. Lorsque j'ai besoin de plusieurs machines pour pour des tâches de ce type (proxy, reverse proxy, relais smtp, et autres quincailleries fort utiles) j'utilise facilement Vmware (ESXi 3.5, pas la version serveur) pour y créer une vm par tâche à exécuter. Eventuellement je cloisonne à l'intérieur de la dmz concernée avec des vlans privés. Les machines de la dmz n'ont le plus souvent pas besoin de se parler directement. Si elles le font se sera en passant par Pfsense (sur lequel je créé aussi les vlans). Vmware ESXi supporte aussi la création de vlans.



  • Bonjour, juste pour info, avec quel outils a tu fait des grazphiques ;)

    @myux:

    Bonjour,

    Ancien utilisateur IPCOP, je cherche un FW plus performant pour monter ultérieurement 2 FWS en Failover
    Loadbalancing ; j'ai découvert PFSENSE 1.2.2 et je pense qu'il répond très clairement à mes attentes ; J'ai
    monté une maquette à 5 pattes (WAN,LAN,DMZ,WIFI) avec un accès freebox v5 en mode routeur ; J'ai réussit l'installation ; à faire fonctionner la sortie du LAN vers le WAN ; mais impossible d'atteindre ma DMZ ; de dedans ou de l'extérieur. Après de multiples essais, je n'ai jamais réussit ; j'ai cherché des tutos et des
    discussions mais rien ne convient à ma config ; Je n'ai pas de repère et je pense que je ne perçois pas toutes les subtilités du produit ; Alors Que faut-il vraiment faire sous PFsense !

    Je sais que je demande peut-être encore et encore quelque chose qui a été certainement demandé mais je ne trouve pas chaussure à mon pied !

    Voici mon schéma pour vous aider !

    Voici ce que je pensais configurer !

    Tout est bloqué au départ (je suppose)
    J'autorise le LAN à sortir sur WAN
    J'autorise la DMZ à sortir sur WAN
    J'autorise la WIFI à sortir sur WAN
    J'autorise le LAN vers DMZ (port 80,22,21 peut-être seulement)
    J'autorise le WIFI vers DMZ (port 80,22,21 peut-être seulement)
    Je NAT les ports 80,21 de WAN vers le serveur WEB de ma DMZ.

    J'ai peut-être oublié quelque chose !!!
    Est-ce que quelqu'un peu m'aider en indiquant les étapes pas à pas !

    ENCORE…
    MERCI.

    myux


Locked