Regles Firewall



  • Bonjour,

    je suis newbie dans le domaine des firewall/proxy. Depuis ce matin, je lis de la documentation sur NAT, PAT, 1:1, Firewall, Bridge.

    J'ai 2questions (pour l'instant).

    Pourquoi dans la configuration Interface LAN, j'ai une liste pour pour Bridge (WAN ou none). A quoi sert cette liste. Que je mette une valeur ou l'autre je sors sur internet.

    Enfin ou puis-je trouver de la doc sur la confguration des rules dans le firewall. Je sais que je veux autoriser les ports 53, 83, 443. Ne rien laisser entrer sauf le 3389 vers un serveur. Comment je dois m'y prendre?

    Est que je crée une stratégie qui bloque TOUT est ensuite j'ajoute des rules qui ouvrent petit à petit?

    Les onglets LAN et WAN dans Firewall je ne suis pas sur de comprendre comment cela fonctionne. Pour moi j'ai en quelque sorte 2 firewalls:

    LAN –--- FIREWALL LAN ------ PFSENSE ------ FIREWALL WAN ------ WAN

    Est ce comme ca qu'il faut le comprendre?

    Pour info, ma config est:
    Modem ----  Routeur ------ PFSense ------ LAN

    Par avance, merci.

    Alex



  • Ha et pour info, j'ai lu la doc monowall, (sauf VPN) et PAR CHANCE la partie qui m'interesse (la 5) ne contient rien. Donc pas d'infos sur les rules.



  • Tout cela est très brouillon. Partons du début. Quels sont vos besoins ?
    Donnez votre plan d'adressage. Lisez les sujets concernant les règles qui ont déjà été abordées maintes fois ici.



  • Aie.

    Alors, voici mon plan:

    Internet –- Modem --- Routeur(10.0.0.2) ----- (10.0.0.1) PFsense (192.168.0.1) ------ LAN (192.168.0.x/24).

    Voila, mais y-a-t-il moyen de répondre à cette question avant le reste?:
    Pourquoi dans la configuration Interface LAN, j'ai une liste pour pour Bridge (WAN ou none). A quoi sert cette liste. Que je mette une valeur ou l'autre je sors sur internet.



  • répondre à cette question avant le reste?:

    Par défaut Pfsense fonctionne comme un routeur nat. L'option bridge permet de mettre une interface en pont avec une autre.

    Internet –- Modem --- Routeur(10.0.0.2) ----- (10.0.0.1) PFsense (192.168.0.1) ------ LAN (192.168.0.x/24).

    Le routeur ne sert à rien, il complique inutilement les choses. Mettez votre modem directement derrière Wan pour avoir l'ip publique sur la carte Wan.

    Que je mette une valeur ou l'autre je sors sur internet.

    La bonne valeur est "None". Comment tout cela est il physiquement connecté ?



  • Par défaut Pfsense fonctionne comme un routeur nat. L'option bridge permet de mettre une interface en pont avec une autre.

    Je ne vois pas bien la difference. Pourquoi les 2 choix fonctionnent de la meme facon chez moi?

    Le routeur ne sert à rien, il complique inutilement les choses. Mettez votre modem directement derrière Wan pour avoir l'ip publique sur la carte Wan.

    Je suis tout a fait d'accord mais c'est une demande faite par le reponsable info. A priori, c'est en cas de probleme sur pfsense, il suffit de restaurer une sauvegarde de la configuration du routeur pour que ce dernier prenne le relais et protege le LAN avec son firewall integre.

    Comment tout cela est il physiquement connecté ?

    C'est connecté comme je l'ai indiqué dans mon précédent message. Mon modem est connecté à la prise "Modem" de mon routeur. Mon routeur a l'adresse 10.0.0.2. La carte WAN de PFSense est connectée au routeur et a l'adresse 10.0.0.1. La carte LAN de PFsense est connecté à un switch et a l'adresse 192.168.0.1.



  • Si vous ne voyez pas la différence entre un pont et un routeur, c'est ennuyeux. C'est quand même assez fondamental.

    Je suis tout a fait d'accord mais c'est une demande faite par le reponsable info. A priori, c'est en cas de probleme sur pfsense, il suffit de restaurer une sauvegarde de la configuration du routeur pour que ce dernier prenne le relais et protege le LAN avec son firewall integre.

    C'est une mauvaise solution à un problème réel. Dans ce cas prévoyez un cluster Pfsense pour gérer proprement la redondance.

    Vérifiez bien votre connectique je ne serai pas surpris d'une boucle (pas de hub ou switch commun, pas d'installation en vm avec une seule interface physique ou je ne sais quelle bêtise de ce genre, …). J'utilise assez Pfsense pour répondre de sa fiabilité. Il y a une erreur quelque part dans votre configuration. Faites des traces route, des captures de paquets, activez les logs sur toutes vos règles, observez les logs générés.


Log in to reply