Impossible d'accéder à la DMZ depuis le second WAN



  • Bonjour à tous,

    Contexte : pro, serveur hébergeant pfSense depuis ~3ans

    J'ai mis en place il y a quelques semaines sur notre pfSense un second WAN utilisé par un réseau "visiteurs".
    Tout fonctionne correctement sur ce réseau à part l'accès à la DMZ sur ce même pare-feu.

    Voici un petit schéma qui je l'espère me rendra plus clair : schéma

    Je peux actuellement accéder à la DMZ depuis le LAN PRINCIPAL en "accès direct" (je ne passe pas par le WAN).
    La DMZ a accès à internet mais pas au LAN PRINCIPAL ni au LAN VISITEUR.
    Le LAN VISITEURS devrait pouvoir accéder à internet et à la DMZ mais par le WAN VISITEURS.
    Je ne souhaite pas que le LAN VISITEURS accède directement à la DMZ comme le fait le LAN PRINCIPAL car je souhaite que les règles du pare-feu pour la DMZ (qui sont en place sur l'interface WAN) soient respectées.
    Actuellement lorsque que j'essaye d'accéder à la DMZ depuis le LAN VISITEURS je n'accède à rien.

    Voici les règles qui sont actuellement en place :

    • LAN PRINCIPAL
      • Allow from * to * by Default (WAN PRINCIPAL)
    • DMZ
      • Block from DMZ to (LAN PRINCIPAL / LAN VISITEURS)
      • Allow from * to * by Default (WAN PRINCIPAL)
    • LAN VISITEURS
      • Block from * to LAN PRINCIPAL
      • Allow from LAN VISITEURS to * by WAN VISITEURS
    • WAN
      • Allow from * to UNE_ADRESSE_DMZ on PORT_80
    • WAN VISITEURS
      • Aucune règle (bloque tout par défaut)

    Les règles NAT sont les suivantes :

    • Le réseau LAN PRINCIPAL sort vers internet avec l'adresse du WAN PRINCIPAL
    • Le réseau LAN PRINCIPAL n'est pas natté en sortie vers la DMZ
    • Le réseau LAN VISITEURS sort vers internet avec l'adresse du WAN VISITEURS
    • Le réseau DMZ n'a pas de NAT en sortie (adresses IP publiques)

    Lorsqu'un poste connecté sur le réseau LAN VISITEURS essaye d'accéder à un serveur en DMZ voici ce que j'obtient dans les logs du pare-feu :

    PASS	Jul 10 15:34:49	DMZ              IP_WAN_VISITEURS:24981	IP_DMZ:443	TCP:SEC
    PASS	Jul 10 15:34:49	WAN_PRINCIPAL    IP_WAN_VISITEURS:24981	IP_DMZ:443	TCP:SEC
    PASS	Jul 10 15:34:49	WAN_VISITEURS    IP_WAN_VISITEURS:24981	IP_DMZ:443	TCP:SEC
    PASS	Jul 10 15:34:49	LAN_VISITEURS    192.168.5.177:55388	IP_DMZ:443	TCP:SEC
    

    Tout semble passer correctement mais je n'accède pas au serveur.
    Il n'y a aucun pare-feu activé sur le serveur en DMZ.

    Voyez-vous quelque chose qui pourrait m’empêcher d'accéder à la DMZ depuis le LAN VISITEURS ?

    Merci d'avance
    Titouan



  • Une formulation plus précise est proposé dans A LIRE EN PREMIER : pensez à l'utiliser ...

    Il y a des approximations et des erreurs conceptuelles :

    • toutes zones internes, y compris une DMZ doivent utiliser des adresses ip privées !
    • une DMZ ne devraient pas avoir accès à Internet : si un serveur en DMZ est compromis, l'attaquant aura tout loisir de télécharger les outils dont il a besoin !
    • le filtrage de pfSense est réalisé par onglet selon l'interface d'arrivée : ajouter plus de règles

    Exemple d'approximations :
    LAN PRINCIPAL :

    • Allow from LANPRINCnet to DMZNET
    • Block from LANPRINCnet to LANGUESTnet
    • Allow from LANPRINCnet to any (règle par défaut à remplacer par des règles plus restrictives !)

    => Toujours préciser la source = le réseau correspondant à l'interface, mieux que * !
    => Décomposer * par le détail des réseaux accédés

    Vous ne précisez rien concernant le DNS : un LAN 'invité' ne devrait pas avoir accès aux DNS du réseau interne !

    Règles pour WAN : en général, on autorise, à minima, un icmp/8 sur la WAN address, les ports d'écoute de OpenVpn si en place, ...
    Les règles NAT > port Forward créent les règles utiles de façon automatique !

    Comme début ...



  • toutes zones internes, y compris une DMZ doivent utiliser des adresses ip privées !

    Je dispose d'un sous réseau d'adresses publiques routées vers mon pare-feu par mon fournisseur d'accès -> je les utilises

    une DMZ ne devraient pas avoir accès à Internet : si un serveur en DMZ est compromis, l'attaquant aura tout loisir de télécharger les outils dont il a besoin !

    En effet c'est une bonne remarque je regarderais à l'avenir pour restreindre cet accès.

    le filtrage de pfSense est réalisé par onglet selon l'interface d'arrivée : ajouter plus de règles

    Bien entendu j'ai beaucoup plus de règles sur mon interface d'arrivée WAN principale je ne les ai pas toutes mises. Elles sont toutes semblables à celle que j'ai citée. J'ouvre les ports nécessaires au bon fonctionnement des mes services hébergés en DMZ.

    Concernant le DNS utilisé par le réseau visiteur c'est pfSense qui relaie les demandes aux serveurs suivants : 8.8.8.8 et 8.8.4.4

    Sur les deux WAN la réponse au ping est autorisée.



  • Une copie d'écran de vos règles sur l'interface lan visiteur serait plus utile pour comprendre .
    La congif des interfaces et le routage en place aussi.

    Un site full https est hautement souhaitable aujourd'hui. Surtout lorsque l'on affiche les prétentions professionnelles qui sont les vôtres.
    Pour le formulaire de contact il y a un truc qui s'appelle RGPD aussi ...



  • Voici les captures d'écran des règles :
    Règles interface LAN VISITEURS : https://imgur.com/a/zikDPMw
    Règle sur l'interface WAN PRINCIPALE (accès sur le port 443 du serveur utilisé pour les tests) : https://imgur.com/a/TFLN56T

    Voici des captures d'écran des logs que j’obtiens :

    Logs d'accès depuis un téléphone portable en 4G : https://imgur.com/a/v0RAspQ
    Logs d'accès depuis un poste connecté sur le lan VISITEURS : https://imgur.com/a/uAauPqR

    Je n'ai aucune route statique de configurée.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy