Trafic sortant : HTTPS OK, mais HTTP bloqué ???
-
Bonsoir à tous,
Avant de faire un état long et détaillé de la config de ma pfSense, je voudrais vous exposer un pépin qui a "surgi" après que j'ai voulu faire un peu de ménage au niveau de mes règles de NAT et du DNS Resolver.
Les machines au sein de mon réseau peuvent désormais consulter que les sites via HTTPS. Si le protocole est HTTP, on tombe sur mon serveur Web local...
Quelqu'un aurait une idée de la bêtise que j'ai faite ??? Ça fait deux jours que je suis sur le problème, ça me rend fou ! ...et non, je n'ai pas de backup, évidemment...
Merci pour votre aide.
Cyril
-
Je préconise de bien lire A LIRE EN PREMIER, absolument nécessaire.
Règle de bon sens le plus élémentaire : pas d'infos = pas de réponses possibles !
-
@jdh said in Trafic sortant : HTTPS OK, mais HTTP bloqué ???:
Je préconise de bien lire A LIRE EN PREMIER, absolument nécessaire.
Règle de bon sens le plus élémentaire : pas d'infos = pas de réponses possibles !
Bonsoir jdh,
Je connais bien le forum, merci pour votre rappel. Mais je maintiens, si c'est simplement une case à cocher que j'ai loupé et que quelqu'un a déjà eu le problème, il n'est peut-être pas nécessaire de balancer les 5000 lignes de la config...
Merci quand même pour votre participation.
Cyril
-
Je ne pense pas qu'on puisse dire autre chose que des généralités à quelqu'un qui dit 'j'ai appuyé sur 500 boutons et maintenant ça fonctionne plus'.
Personne ne sait rien de votre config, parce que vous le voulez ainsi, personne ne pourra être autrement que général.
Un forum ne devrait pas être un lieu ou le lecteur pose, repose, et rerepose des questions parce que l'initiateur ne veut rien décrire.
Moi je lachêrai désormais tout ces fils où l'initiateur ne veut rien décrire : ah quoi bon !
-
Bonsoir,
jdh, je comprends bien tes propos. J'ai sans doute mal formulé ma question. J'aurais dû écrire est-ce que c'est déjà arrivé à quelqu'un ?
By the way...
Contexte : Perso. Firewall à jour (même trop : 2.5.0), j'utilise pfSense depuis 2012.
Besoin : Comprendre pourquoi suite à un rafraîchissement (virer les lignes obsolètes) des sections DNS Resolver et NAT, les accès LAN vers WAN via le protocole HTTP sont redirigés en local sur mon serveur web, et donc ne sortent plus (seules les requêtes en HTTPS passent correctement).
Schéma :
WAN : Livebox Pro 4 en bridge. Une seule IP publique. 192.168.1.0/24. Un seul port utilisé : la pfSense sur 192.168.1.10. WiFi désactivé.
LAN : 10.0.0.0/24. Pas de VLAN. IP de la pfSense : 10.0.0.250. DCHP assuré par la pfSense (plage "invités" de 231 à 249, plus de 120 clients paramétrés en statique (beaucoup de domotique à la maison...)). DNS assuré par la pfSense pour les deux/trois serveurs locaux, puis "forwardé" à Orange, puis Google. NTP fourni par la pfSense.
DMZ : Non
WiFi : 3 APs. IP : 241, 242 et 243. Aucun service sur ces matériels, tout est géré par la pfSense.
Autres interfaces : 6 switches manageables à vocation strictement statistiques (pas de services sur ces derniers).
Règles NAT : Forward pour l'accès depuis l'Internet à différents de mes services/serveurs/caméras/domotique. Une règle en OutBound (hybride) pour utiliser une XBox depuis l'Internet. Pas de 1:1, ni de NTp.
Règles Firewall :
Aliases : Bon, ben, rien à dire... Des aliases, quoi...
NAT : Voir plus haut.
Rules - Floating : Rien
Rules - WAN : A part les adresses "bogon" et les blocage en entrée d’indésirables, juste les autorisation pour les règles de NAT.
Rules - LAN : Idem que précédemment + les "règles de vie" pour la familles.
Schedule : Rien à dire...
Traffic Shaper : Nada.
Virtual IPs : Nada.
Packages ajoutés : Aucun package.Autres fonctions assignées au pfSense : NTPd (comme vu plus haut). Deux clients DynDNS vers OVH.
Question : Les accès LAN vers WAN via le protocole HTTP sont redirigés sur mon serveur web local, et donc ne sortent plus. Seules les requêtes en HTTPS passent correctement. Quel aspect de la sécurité ai-je pu modifier ?
Pistes imaginées : J'ai merdé un truc sur la sécurité entre les protocoles HTTP/HTTPS, mais je ne trouve pas...
Recherches : Règles différenciant le trafic du protocole HTTP du HTTPS sans jouer sur le port, et donc le dirigeant vers une interface ou une autre. Je ne trouve pas...
Logs et tests : Si le cœur vous en dit, je tiens à votre dispo tous les logs, mais je ne pense pas que ce soit pertinent de les poster ici.
En vous remerciant pour votre éventuelle aide.
Cyril
-
Bonsoir !
Ayé, j'ai trouvé !
Un énorme merci à jdh pour sa grande aide.
Bisous,
Cyril
-
Quelques remarques :
- bravo pour l'utilisation du formulaire : il y a des infos,
- je n'ai aucunement aidé,
- l'origine du pb n'est pas indiquée.
Si vous le voulez, merci de préciser l'origine : est ce un suppression sauvage ? est ce un rafraichissement dns ? est ce un test unique ?
Je considère qu'utiliser le package Squid est généralement une erreur. Ici faute d'infos je n'ai pas initié sur ce sujet, et bien que Squid peut traiter HTTP et HTTPS.
Toutefois, j'ai souvent écrit que, rédiger le formulaire prend un peu de temps et oblige à lister pas mal de choses ... et parfois ce temps met le doigt sur le problème ...