Pfsense mode bridge et filtre ICMP dans le firewall
-
Bonjour,
J'ai configuré mon PfSense en mode bridge. Tout est ok.
Je mets des règles de filtrage sur mon interface bridge ==> tout est ok pour les flux TCP et UDPEn revanche, même si j'interdis le protocole ICMP, les ping fonctionnent.
Savez-vous pourquoi ?Merci par avance.
-
Il est très rare de mettre un firewall en mode bridge.
Il faut espérer que vous savez ce que vous faites ....Cependant, vous semblez ignorer que le protocole ICMP est utilisé comme 'canal de retour d'échec' pour certains (sous-) protocole de TCP ou UDP. Il me parait donc forcément assez scabreux de filtrer ICMP au petit bonheur ...
-
Oui dans ce cas là, je suis obligé de le mettre en mode bridge car je dois effectuer un filtrage avec des mêmes réseaux d'un coté et de l'autre.
J'ai lu que c'était donc possible grâce au mode bridge, mais du coup vous me faîtes peur et j'espère ne pas avoir "de surprises" avec cette configuration.Pour le protocole ICMP, c'était juste un test et je me demandais donc pourquoi cela ne fonctionnait pas, mais évidemment le protocole ICMP ne sera pas filtré...
-
https://www.netgate.com/docs/pfsense/interfaces/interface-bridges.html
Cela peut vous éclairer.
je suis obligé de le mettre en mode bridge car je dois effectuer un filtrage avec des mêmes réseaux > d'un coté et de l'autre.
Les motivationet raisons de ce fonctionnement seraient interagissantes à connaitre ...
-
Entendons nous bien : si j'écris 'rare', c'est que le besoin est 'rare' (voire très), le cas normal est le mode NAT avec tous les réseaux protégés de WAN (et des autres) derrière le firewall.
Je ne fais pas peur, j'explique certaines utilisations de certains protocoles, et cette utilisation est souvent méconnue ! Avec un bridge, par nature 'transparent', des choses incompréhensibles apparaissent, alors que les mêmes sont compréhensibles 'à cause du NAT'. Pour donner un exemple, je dirais NFS qui utilise Udp et signale avec Icmp.
Avec un firewall, sur la patte Wan, il y a lieu d'autoriser Icmp/8 = echo : ça répond au ping ne donne que peu d'informations.