Question facile concernant les ACL


  • Bonjour,

    Je souhaite résoudre un problème assez simple à comprendre.

    J'effectue un grand nombre de requêtes depuis internet vers mon pfSense sur le port 80 "HTTP".
    Tout fonctionne bien grâce à l'ACL qui va bien pour autoriser ce trafic.

    Mais au bout de X requêtes pfSense bloque tout le trafic vers mon IP sur ce port.

    Dans les logs, je vois bien que c'est l'ACL "Default deny IPV4" qui prend la relève.

    Est-ce que pfSense possède un système d'auto-défense contre le flooding?

    Merci pour votre aide :) !


  • Simple ? Moi je ne comprends pas !

    Est des ACL dans le package Squid ? Si oui, il y a contradiction avec le sens du trafic !

    Bref, revoyez la présentation de votre problème ...

  • Rebel Alliance

    Hello @yazur ,

    Déja, désolé pour le message de @jdh. Je ne sais pas pourquoi l'ambiance est souvent détestable sur la partie francaise du forum... (Oui, j'ai bien compris que par ACL tu voulait dire règle firewall)

    Il y a bien des protections contre le flooding (le traffic shaper, par exemple. Ou bien, les règles firewall elles-mêmes pour se protéger d'un DDOS SYN ) mais je ne crois pas que ces protections soient une explication à ton problème....


  • Ce serait la première fois qu'on utiliserait 'ACL' pour 'Rules' ! Alors même que les règles c'est Firewall > Rules, et ce depuis le début de pfSense.

    Pour lire à l'occasion les forum en anglais et en espagnol, les français sont indécrottables : il y a très peu d'effort dans la présentation, et si les lecteurs ne compressent pas c'est bien évidemment de leur faute et non celle de celui qui a exposé la question (contre toute évidence). De plus il y a un certain mépris pour ceux qui ne répondent pas comme attendu (forcément) De facto le forum français est déserté ...

    (NB : je n'ai pas choisi par hasard ma signature ...)


  • @jdh @free4 Bonjour,

    Dans un premier temps, merci pour les réponses apportées.

    En ce qui concerne le terme ACL "access list", c'est bien un synonyme de 'rules / règles'.
    Pour avoir fait des études dans le domaine réseau chacun de mes professeurs utilisaient ce terme pour représenter les règles d'autorisations ou d'interdictions sur les différents routeurs/pare-feu que nous utilisions dont pfSense.

    Je vais ré-expliquer mon problème de la façon la plus simple possible pour permettre à un maximum de personne de comprendre le problème et essayer de me donner des pistes pour le résoudre.

    Nous utilisons un pfSense redondé avec le package haproxy.
    Celui-ci permet d'utiliser un frontend HTTP/HTTPS qui renvoie vers un backend composé de 3 serveurs WEB.

    Nous sommes actuellement en phase de test pour connaître le SPOF "single point of failure" c'est-à-dire jusqu'à combien de requêtes d'accès à une page web, arrivent à gérer chaque serveur.

    Lorsque nous passons en direct sans passer par haproxy nous arrivons à obtenir un ratio requête/seconde bien plus grand que par l'intermédiaire de haproxy.

    Nous avons donc remarqué qu'au bout d'un certain nombre de requêtes, des logs apparaissent dans pfsense nous indiquant que certaines de nos requêtes étaient bloquées.

    Nous aurions donc aimé savoir si pfSense avait un mécanisme d'auto défense par défaut contre le spamming sur un port/adresse IP.

    Merci pour votre aide, si vous avez besoin de captures d'écrans, de plus d'informations, n'hésitez pas.


  • @yazur Peur être que d'utiliser Haproxy sur une machine indépendante du firewall serait une idée plus interessante ??
    En plus, c'est beaucoup plus simple à gérer (une p'tite VM Debian et tout roule).
    Du coup, ça supporte beaucoup plus de trafic que d'avoir Haproxy sur le firewall (j'ai ça en production sur de l’hébergement et aucun souci)


  • Concernant les ACL, non pour un firewall on utilise le mot 'règles' ou 'Rules'. Pour un switch, on peut utiliser ACL mais il n'y a pas de suivi de connexion comme dans un firewall !

    Vous avez 3 serveurs web = vous avez besoin d'un reverse proxy, lequel va analyser le flux HTTP/HTTPS et le dispatchez selon le nom dns vers le bon serveur web.

    Il n'y a pas que HAProxy : nativement les serveurs web (Apache, Nginx ou IIS) savent forcément le faire (y compris renvoyer vers un autre serveur !). Squid sait aussi le faire, et d'autres (Vulture p.e.)

    Une bonne logique est de confier une tâche donnée à une machine (même virtuelle). C'est d'ailleurs bien suggéré par MisterMagoo (et qui l'utilisent lui-même) : les packages de pfSense sont pratiques mais il faut les utiliser de la façon prévue ... qui n'est pas forcément votre besoin !