*net /*address/ ce pare feux/tout ?????
-
bonjour, j'ai fait plusieurs recherches mais je n'ai pas trouvé mon bonheur...
je souhaiterai savoir la différence entre:
*net
*address
ce pare feux
toutje parle au niveau pratique:
j'ai un réseau avec 9 Vlan dont 1 qui est composé d'appareils connectés du genre "Free playeur" et aspirateur connecté (ROOMBA) et je voudrai qu'il n'ai accès qu'a internet (wan) et à rien d'autre.
donc la première règle sert à utiliser mon serveur NTP et mon resolveur DNS. (et à parement sa fonctionne)
pour la 2eme j'avais mis: en source "*net" et en destination "Wan net" (et sa marche pas)
Squid proxy serveur n'est pas actif sur ce Vlan.
ma freebox est en bridge.mon but est de comprendre comment sa fonctionne...
merci pour votre aide et vos explications.
-
Penser simple !
Le titre de votre fil ne veut rien dire : ce devrai être un court texte qui évoque le problème.
Quelle idée de mettre un firewall en français ! La traduction risque de compliquer la compréhension.
La base avec pfSense (ou d'autres) est d'utiliser les alias : cela facilite la lecture des règles. Au lieu de lire 'INTERFACE address', il est bien préférable de lire 'fw' (ou au pire 'fw_int'). Le fait de nommer aussi longuement vos interfaces montre que vous vous compliquez les choses.
INTERFACE address = adresse définie du firewall sur l'interface
INTERFACE net = adresse du réseau défini pour l'interface
any = n'importe quelle adresseNB : ne pas confondre 'any' et 'WAN net' qui ne sont pas du tout équivalents. On utilise 'any' pour spécifier une règle d'accès à Internet (ATTENTION cela autorise aussi l'accès à n'importe quelle interface, donc faire précéder de règle d'interdiction !). Il faudrait disposer de 2 alias : 'rfc1918' et 'Internet' qui pourrait être défini par 'non-rfc1918', ce qui faciliterait.
Je ne vois pas ce qu'il y a à expliquer à ces définitions très basiques ! Vous vous compliquez certainement beaucoup les choses !
-
bonjour JDH
Le titre de votre fil ne veut rien dire : ce devrai être un court texte qui évoque le problème.
le titre de mon fil n'est pas un problème mais une question sur la fonction de 4 mots si je puis dire.Quelle idée de mettre un firewall en français ! La traduction risque de compliquer la compréhension.
c'est pas tres gentil pour les personnes qui se sont cassé le **** pour traduire l'interface en français pour des petits utilisateurs comme moi.La base avec pfSense (ou d'autresà est d'utiliser les alias : cela facilite la lecture des règles. Au lieu de lire 'INTERFACE address', il est bien préférable de lire 'fw' (ou au pire 'fw_int'). Le fait de nommer aussi longuement vos interfaces montre que vous vous compliquez les choses.
en ce qui concerne le nom de mes réseaux il y a 9 Vlan donc un petit nom par Vlan c'est pas plus malJe ne vois pas ce qu'il y a à expliquer à ces définitions très basiques ! Vous vous compliquez certainement beaucoup les choses !
c 'est pas de la complication, si je ne voulais pas savoir, ma box en DHCP et un Switch basique avec un réseau a plat serait suffisant, si les gents veulent bien que leur aspirateur ou leur box ou tout autre choses connectées (telephone portable, appareil de cuisson..) se connectent je suis sur, sans faire exprès, lol, à leur NAS, leur camera, leur imprimante réseau, leur ordinateur c'est bien, pas moi. les 3/4 des menaces viennent souvent de l'intérieur du réseau et pas de l'extérieur.en ce qui concerne donc votre réponse si je comprend bien:
un ordinateur '172.16.1.2' qui serait sur lan1 si:
SOURCE =172.16.1.2 et DESTINATION=lan1 net (il ne peut communiquer qu'avec le réseau lan 1)vrai??
SOURCE=172.16.1.2 et DESTINATION=lan address (il ne peut communiquer qu'avec son réseau lan1 et pfsense sans pouvoir sortir ou via pfsense)vrai??
SOURCE=172.16.1.2 et DESTINATION=wan address (il ne peut communiquer qu'avec "internet" directement)vrai???
SOURCE=172.16.1.2 et DESTINATION=wan net (la je sais pas???)
SOURCE=172.16.1.2 et DESTINATION=* (c'est open bar)vrai???
merci pour votre aide
cordialement -
@philippe34 said in *net /*address/ ce pare feux/tout ?????:
SOURCE =172.16.1.2 et DESTINATION=lan1 net (il ne peut communiquer qu'avec le réseau lan 1)vrai??
La règle que je reprends ici est elle vraiment utile ?
Evidemment non, et pourtant vous l'écrivez comme si vous la considériez !Le titre aurait du être : difficulté à écrire correctement les règles firewall.
Je ne comprends pas vraiment vos raisonnements ...
D'un côté vous semblez connaitre des choses (gérer 9 VLAN à la maison), et de l'autre vous semblez très débutant en firewall et paramétrage.Par exemple, je préconise (comme tout le monde) des alias et vous écrivez des règles avec l'ip d'une machine. Ca va avec les noms courts d'interfaces : IOT serait simple.
Autre exemple, vous ne relevez pas la différence entre 'any' et 'WAN net' qui est une difficulté typique du débutant, et qui vous pose pourtant question.Dans un contexte entreprise, une part importante des risques vient de l'intérieur, c'est à dire des salariés auxquels ils ne faut pas faire une totale confiance (exemple non admin de leur poste). Dans un contexte maison, on devrait s'interroger sur les accès à Internet de tous matériels mais ils seraient plutôt destinés à remonter de la télémétrie. L'utilisation d'un proxy explicite (et non transparent) est un bon début d'analyse et de réduction.
NB : pour la traduction, j'ai écrit 'risque de compliquer' et rien d'autres. La doc d'origine est en anglais : avec pfSense en anglais, vous pouvez sélectionner la bonne commande de suite. Pas comme dans Windows où un article anglais donne une option avec un nom anglais que vous n'avez pas dans votre windows français.
-
en effet je suis débutant mais faut bien commencer...VLAN, switch, routage, proxy, dns, ... petit a petit l'oiseau fait son nid (un gros oiseau alors lol)
SOURCE =172.16.1.2 et DESTINATION=lan1 net (il ne peut communiquer qu'avec le réseau lan 1)vrai??
La règle que je reprends ici est elle vraiment utile ?
je vous l'accorde non mais c'est pour comprendre
ma question est que ce passe t il si je met WAN net, WAN address?
en ce qui concerne les alias sa viendra apres...
et oui en effet je m'interroge sur les acces à internet de mes équipements réseau, un aspirateur qui communique quant il veux avec un serveur distant et qui peut éventuellement envoyer du broadcast sur mon réseau et envoyer les résultats a un tiers ressemble fort a une porte ouverte vers l'extérieur.
merci
cordialement -
@philippe34 said in *net /*address/ ce pare feux/tout ?????:
SOURCE =172.16.1.2 et DESTINATION=lan1 net (il ne peut communiquer qu'avec le réseau lan 1)vrai??
Non : plus simple : le flux ne passe pas par le firewall !!
Il faut commencer par de bonnes pratiques : noms courts et simples des interfaces, alias systématique avec normage des noms (ext_xxx pour les ip externes, lan_xxx pour les réseaux, srv_xxx pour les serveurs accédés, ....).
J'ai écrit au moins les bonnes questions à se poser, je vous laisse réfléchir. Exemple : pourquoi n'utilise-ton jamais 'WAN net' ?
Pierre DAC : rien ne sert de penser, il faut réfléchir avant.