Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Isoler les lan tout en donnant accès à internet

    Scheduled Pinned Locked Moved Français
    5 Posts 2 Posters 548 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Z
      zerros
      last edited by zerros

      Salut tout le monde. Me revoilà encore une fois pour un problème. J'ai cherché une bonne partie de la nuit sans trouver de vraie solution.

      J'ai installé un pfsense chez ovh, sur un esxi. La carte em0 est l'interface WAN qui porte l'IP failover. J'ai Donc plusieurs vswitch. un vswitch physiquement connecté au réseau OVH (vswitch0), et j'ai créé 3 autres vswitch pour séparer les LAN.

      Je voudrai que mes LAN puissent accéder à internet. Donc j'ai mis une règle outbound pour chaque LAN. Sauf que cela ne suffisait pas alors j'ai voulu ajouter une règle dans chaque LAN pour sortir vers le WAN:

      - Action: **PASS**
      - Interface: **LANX**
      - Address family: **IPV4**
      - Protocol: **TCP**
      - Source: **LANX Net**
      - Destination : **WAN Net**
      - Destination port: **ANY**
      

      Sauf que ça ne marche pas. bligé de mettre une règle comme celle ci:

      - Action: **PASS**
      - Interface: **LANX**
      - Address family: **IPV4**
      - Protocol: **TCP**
      - Source: **LANX Net**
      - Destination : **ANY**
      - Destination port: **ANY**
      

      Mais cela ne m'intéresse pas car du coup tous les lan ont aussi accès à tous les lan en plus de l'accès internet.
      Quelle est la bonne approche à avoir pour réaliser ce que je veux :

      • Chaque LAN accède à internet
      • LAN 1 accède à tous les autres LAN
      • Tous les autres LAN entre eux ne se connectent (hormis certains ports spécifiques bien entendu)

      Merci à vous pour votre expertise.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Quand on écrit 'WAN Net' cela ne signifie pas 'Internet', forcément !

        La solution naturelle est d'utiliser 'Internet' = 'any' fait que l'on accède au autres LAN, forcément.

        Basiquement, on commence par refuser l'accès aux autres lan avant de tout interdire.

        Sur d'autre firewall (p.e. Stormshield), on a la possibilité d'utiliser des alias (prédéfinis) :

        • rfc1918 = 192.168.0.0/16 + 172.16.0.0/12 + 10.0.0.0/8
        • Internet = tout sauf rfc918

        Et là c'est plus facile ...
        Ce qui ne dispense pas d'écrire

        • règle 1 : Interdire rfc1918
        • règle 2 : Autoriser internet

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • Z
          zerros
          last edited by zerros

          oh ok. je vais essayer ça alors. Merci

          [EDIT] J'ai essayé cette approche et ça a l'air de fonctionner:

          PASS LAN2 Net --> LAN3 Serveur port 80
          BLOCK LAN2 Net --> 192.168.0.0/16
          PASS LAN2 Net --> Any

          Pas de problème, mon LAN2 accède bien au port 80 de mon serveur sur LAN3
          Accès à n'importe quel autre port vers tous les LAN fermé
          Accès à internet OK sur LAN3.

          Côté LAN3 j'ai testé un truc. J'ai voulu fermer l'accès au port 80 en entrée côté LAN3, juste pour tester. Même si je ferme le port 80 pour mon LAN2, le flux passe quand même. Je ne comprends pas pourquoi ??

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Vous n'auriez pas installé le package Squid (et oublié de le mentionner comme recommandé dans A LIRE EN PREMIER) ?

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • Z
              zerros
              last edited by

              Non pas de squid ici. Il n'y a aucun package complémentaire sur le pfsense hormis shellcmd (pour setter la gateway ovh) et open-vm-tools.

              Capture du 2020-04-01 15-09-18.png

              Je vais être encore plus explicite:
              WAN --> interface internet
              TOOLS --> lan pour l'industrialisation
              DMZ --> lan pour front dmz
              MIDDLE --> lan pour serveurs applicatifs --> 192.168.3.0/24
              BACK --> lan pour les bases de données --> 192.168.4.0/24
              MONITORING --> lan pour la supervision

              Là j'essaie de ne permettre la communication entre MIDDLE et BACK uniquement sur le port 5432 (postgresql).

              Sur MIDDLE:
              Capture du 2020-04-01 15-03-01.png

              Sur BACK:
              Capture du 2020-04-01 15-05-22.png

              Donc comme il est indiqué sur les captures, MIDDLE a droit de sortir vers 5432, mais ne devrait pas pouvoir rentrer sur BACK. Or là ça passe. Est-ce que l'ouverture est implicite pour pfsense et ne prend pas en compte la rule sur BACK ?

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.