VPN IPSec et règle par défaut



  • Bonsoir,

    Il s'agit d'une installation toute simple, à savoir :

    Site A : pfSense / 2.4.4-RELEASE-p2 (amd64)
    Site B: Zyxel USG40

    Un VPN site à site est monté et tout fonctionne bien, mais je souhaiterais maîtriser les règles du VPN IPSec dans les deux sens.
    En effet, actuellement, je peux filtrer uniquement ce qui vient depuis le site B.

    De A vers B tout est accepté par défaut. Comme le confirme la capture d'écran ci-dessous, il n'y a pourtant aucune règle pour le moment.

    alt text

    ... Mais le trafic est quand même accepté, j'imagine qu'il s'agit d'une règle par défaut...?
    Qui n'existait pas dans les anciennes versions, où puis-je la désactiver ? Afin de maîtriser ce qui passe dans le tunnel.

    alt text

    alt text

    Merci



  • @kalistyan said in VPN IPSec et règle par défaut:

    Bonjour
    Par défaut , Pfsense crée 2 règles cachées pour l'interface IPSEC .
    1 . block in inet all tracker 1000000103 label "Default deny rule IPv4"
    Cette règle bloque par défaut tout le nouveau trafic entrant (sur toutes les interfaces) du pare-feu (y compris sur l'interface IPSEC B->A)
    2 . pass out on $IPsec all tracker 1000008311 keep state label "IPsec internal host to host"
    Cette règle autorise tout le trafic sortant de A->B
    Vous voyez cette règle dans l'image ( seulement numéro de règle est différent , mais ce n'est pas important)
    Cela signifie que,par défaut, vous pouvez ping hôte 192.168.116.254 (a - >B) à travers le tunnel
    Et vous ne pouvez pas ping hôte 192.168.100.8 (B->A) à travers le tunnel
    Ces règles ne peuvent pas être désactivées

    Règles sur les interfaces (WAN, Lan, IPSEC,...) ne fonctionnent QUE pour le trafic entrant

    Pour filtrer le trafic sortant pour l'interface ipsec (A->B), il suffit d'organiser le filtrage sur l'interface Lan.
    Pour filtrer le trafic entrant pour l'interface ipsec (B->A), il suffit d'organiser le filtrage sur l'interface IPSEC.
    https://www.netgate.com/docs/pfsense/book/firewall/index.html