Impossible d'accéder à la DMZ depuis le second WAN
-
This post is deleted! -
Une formulation plus précise est proposé dans A LIRE EN PREMIER : pensez à l'utiliser ...
Il y a des approximations et des erreurs conceptuelles :
- toutes zones internes, y compris une DMZ doivent utiliser des adresses ip privées !
- une DMZ ne devraient pas avoir accès à Internet : si un serveur en DMZ est compromis, l'attaquant aura tout loisir de télécharger les outils dont il a besoin !
- le filtrage de pfSense est réalisé par onglet selon l'interface d'arrivée : ajouter plus de règles
Exemple d'approximations :
LAN PRINCIPAL :- Allow from LANPRINCnet to DMZNET
- Block from LANPRINCnet to LANGUESTnet
- Allow from LANPRINCnet to any (règle par défaut à remplacer par des règles plus restrictives !)
=> Toujours préciser la source = le réseau correspondant à l'interface, mieux que * !
=> Décomposer * par le détail des réseaux accédésVous ne précisez rien concernant le DNS : un LAN 'invité' ne devrait pas avoir accès aux DNS du réseau interne !
Règles pour WAN : en général, on autorise, à minima, un icmp/8 sur la WAN address, les ports d'écoute de OpenVpn si en place, ...
Les règles NAT > port Forward créent les règles utiles de façon automatique !Comme début ...
-
This post is deleted! -
Une copie d'écran de vos règles sur l'interface lan visiteur serait plus utile pour comprendre .
La congif des interfaces et le routage en place aussi.Un site full https est hautement souhaitable aujourd'hui. Surtout lorsque l'on affiche les prétentions professionnelles qui sont les vôtres.
Pour le formulaire de contact il y a un truc qui s'appelle RGPD aussi ... -
This post is deleted!