Forcer le traffic à passer via le firewall dans le LAN
-
Bonjour,
N'étant pas très expérimenter dans le réseau, je recherche comment effectuer l'action suivante avec Pfsense.Je possède donc un routeur Pfsense(Virtualisé sous ESX), qui à actuellement une interface WAN et LAN Physique. (Le WAN arrive de la box vers une des interfaces de l'ESX et le LAN sort d'une autre interface vers un switch où sont brancher d'autre équipements)
Je cherche à forcer le passage vers le firewall dans le LAN, je m'explique.
Dans ce LAN j'ai plusieurs serveurs et postes clients, et je cherche à obliger les paquets transitant sur ce LAN à passer via le firewall, pour en premier lieu de bloquer par exemple les machines de ce LAN en 192.168.1.0/24 vers l'ip 192.168.1.6 sur le port 8443.
J'ai donc crée un règle dans le firewall LAN, mais mon traceroute m'indique que je ne passe pas via le firewall en 192.168.1.1.
Une solution et une explication pour mon sujet ?Cordialement.
-
@adminsec Tes serveurs doivent être sur un autre plan d'adressage que le LAN.
Un Vlan pour les serveurs par exemple avec un switch manageable, ça le fait ... -
(Il faut lire A LIRE EN PREMIER et utiliser le formulaire général de présentation de problème ...)
'N'étant pas très expérimenté' : la prudence encouragerait à ne pas multiplier la difficulté en faisant firewall pfSense + virtualisation !
Néanmoins, au moins vous avez opté pour une config correcte :
Internet <-> box <-> (int 1) hôte ESXi (int 2) <-> switch (toujours disposer d'au moins 2 interfaces ethernet physiques sur un hôte !)
Sur ce schéma physique, se plaque le schéma logique et l'adressage :
box <-> réseau WAN <-> fw <-> réseau LAN
où chaque réseau WAN/LAN a un adressage bien DISTINCT (de grâce éviter les 192.168.0.x et 192.168.1.x au moins pour le LAN !).
Chaque machine doit avoir/recevoir adresse ip, masque, passerelle, serveur dns.
- le WAN de pfSense devrait avoir un adressage en fonction de la box (passerelle de ce réseau),
- le LAN de pfSense devra être la passerelle de toutes les machines du LAN (virtuelle ou physique)
- l'ESXi aura une adresse dans le LAN (bien évidemment)
Enfin la box ne devra pas fournir de Wifi puisqu'il ne sera pas protégé par le firewall.
En fait, ce que vous avez décrit étant correct, je ne vois pas vraiment pourquoi vous posez cette question car si vous suiviez votre propre schéma, c'est normalement très clair.
Le basique, c'est de bien comprendre le schéma réseau de la virtualisation. Avec VMware, c'est assez simple : on créé un vswitch pour chaque interface physique, et on connecte les VM au bon vswitch pour la bonne interface.
Commencez par faire simple, ensuite, avec un switch administrable, vous pourrez suivre avec des VLAN comme suggéré par Mister-Magoo. Mais vous pourrez aussi facilement créer un vswitch non raccordé à une interface physique pour les VM d'une DMZ, voire un vswitch non raccordé pour vos VM serveur. A chaque fois, SEUL le firewall aura une interface dans chaque vswitch !!
La remarque de Mister-Magoo est destinée à la connexion d'un point d'accès Wifi bien séparé du LAN. Ne vous y lancez pas trop vite, au moins commencez par les vswitchs DMZ et Serveur !
-
@jdh Bonjour, merci de votre temps et pour votre réponse.
Actuellement j'ai déjà des VLANS en place et un switch managable, mon réseau est découpé de cette manièreMa box contient ce que j’ appel le ClearLAN, j'ai une VLAN à partir du switch LAN et de L'esx int2 ,
Par ailleurs j'ai du mettre le LAN du pfsense sans VLAN car cella ne fonctionnais pas, à priori du au fait qu'il est sur l'esx qui a déjà une vlan sur son groupe de sécurité. j'ai donc une VLAN (Path Prod) pour les postes et services des serveurs (AD,DNS) puis un path de Management dans un autre sous-réseau et VLAN me permettant d'effectuer les tâche d'administration (RDP,WEB,ETC).
La plupart des serveurs ont donc 2 Path, les postes client 1.
Pour le wifi celui de la box est désactivé, j'ai donc deux VLAN et pour le wifi (IOTs & LAN) en 2.4 & 5 ghz.
Cependant comme dis plus haut , je recherchais à faire transité obligatoirement le flux , je sais qu'au travaille c'est ce qu'il font mais utilise des stormshield, ce qui permet de gérer une matrice de flux et donc de centraliser la configurations, afin d'éviter de devoir passer sur chaque serveurs et de configurer le pare-feu, ce qui permet en autres de pouvoir gerer les flux depuis un points unique.
est-ce possible avec pfsense ?
Cordialement -
En quoi pfSense serait différent de Stormshield ? En rien ! (j'ai pratiqué les 2).
Configurer des règles sur un firewall, c'est toujours une matrice Source x Destination, et à chaque intersection, quel protocole !Plusieurs VLAN à la maison ? Des double path ? Vous n'êtes pas débutant !
Votre plan n'est pas probablement clair pour que vous ne trouviez pas la mise en oeuvre : enlevez vos mains du clavier, prenez un (grande) feuille et des crayons de couleurs, faites un dessin jusqu'à la clarté maximale, et vous trouverez la solution ...
-
@jdh Pour la feuille je l'ai fait (mais certainement mal car je n'ai pas trouvé la solution)! je penser qu'il fallait rajouter une route par défaut sur le lan obligeant a passer via le firewall , mais pfsense me dit qu'il y a un conflit d’adresse avec le LAN (normal j'essaye de router tout les flux du 192.168.1.0/24 vers le 192.168.1.1) je n'ai toujours pas trouvé la solution !