[RESOLU] Isoler les vlans
-
Bonjour,
Je suis en train de mettre en place Pfsense 1.2.3RC pour un réseau composé de plusieurs entreprises.
Il s'agit de partager l'accès internet (+ firewall bien sûr) à l'aide de pfsense et d'isoler les réseaux des entreprises afin de préserver la confidentialité des données de chacune.
Je dispose d'une machine sous Pfsense, équipée de 3 cartes réseaux :- une pour le WAN
- une pour le LAN (qui ne servira qu'à moi)
- une pour les VLANs (OPT1)
Je dispose également d'un smartswitch dlink supportant les vlans.
Après avoir fait des recherches le forum, j'ai fait la mise en place suivante :
Sur le switch :
- pfsense est raccordé au port1 via l'interface dédiée aux vlans (OPT1)
- le port1 correspond au Vlan1
- j'ai créé x vlans par port, les ports sont untaggued
- le port1 est taggued sur tous les vlans
Sur Pfsense :
- la carte réseau dédiée aux vlans est désactivée et n'est pas utilisée "physiquement"
- j'ai créé x vlans dont le support physique est la carte OPT1
- j'ai créé les interfaces correspondantes aux x vlans
- j'ai activé un dhcp sur chaque interface disposant chacune d'une plage d'IP distinctes
- j'ai créé une régle basique (calquée sur la régle par défaut de l'interface LAN) pour chaque vlan, exemple :
Pass –> (protocole)* (source)VLAN2 net (port)* (destination)* (port)* (gateway)*
A priori, ça fonctionne bien :Pfsense distribue bien les IP comme je le souhaite, l'accès internet est Ok sur tous les vlans, chaque vlan dispose de sa propre plage d'IP
En revanche, si je suis sur le vlan5 avec une Ip en 192.168.5.x, je peux parfaitement accéder aux partages réseaux (windows) disponible sur un autre vlan (par exemple en 192.168.10.x).C'est normal ?
Dois-je mettre en place une règle sur chaque vlan pour l'isoler des autres ?
Comment se fait-il que le trafic passe d'une interface à l'autre alors que les rules mise en place indique comme source un subnet bien spécifié et non pas "any" ?
Il doit y avoir un truc qui m'échappe, alors si vous avez une piste pour moi ce serait très sympa ! ;)Bonne journée
PS : si c'est pas du tout clair, n'hésitez pas à me le dire.
-
Avec cette règle :
- j'ai créé une régle basique (calquée sur la régle par défaut de l'interface LAN) pour chaque vlan, exemple :
Pass –> (protocole)* (source)VLAN2 net (port)* (destination)* (port)* (gateway)*
C'est normal ?
Oui.
Dois-je mettre en place une règle sur chaque vlan pour l'isoler des autres ?
Comment se fait-il que le trafic passe d'une interface à l'autre alors que les rules mise en place indique comme source un subnet bien spécifié et non pas "any" ?
Il doit y avoir un truc qui m'échappe, alors si vous avez une piste pour moi ce serait très sympa !1. Fonctionnement de Pfsense.
Dans Pfsense les règles s'appliquent dans un ordre bien précis. Les règles de nat d'abord puis les règles de filtrage. Ces règles s'appliquent au trafic qui se présente sur l'interface concernée et allant vers Pfsense.2. Votre règle ouvre tout le trafic depuis le Vlan connecté vers n'importe quelle direction puisque destination (ip et ports) sont "Any".
3.D'une façon générale il est absolument critique pour votre sécurité de restreindre au strict minimum nécessaire le trafic sortant autorisé. Pour la navigation la seule destination directe autorisée devrait être un proxy situé en dmz interne.
- j'ai créé une régle basique (calquée sur la régle par défaut de l'interface LAN) pour chaque vlan, exemple :
-
1. Fonctionnement de Pfsense.
Dans Pfsense les règles s'appliquent dans un ordre bien précis. Les règles de nat d'abord puis les règles de filtrage. Ces règles s'appliquent au trafic qui se présente sur l'interface concernée et allant vers Pfsense.2. Votre règle ouvre tout le trafic depuis le Vlan connecté vers n'importe quelle direction puisque destination (ip et ports) sont "Any".
3.D'une façon générale il est absolument critique pour votre sécurité de restreindre au strict minimum nécessaire le trafic sortant autorisé. Pour la navigation la seule destination directe autorisée devrait être un proxy situé en dmz interne.
Bonjour,
Ok, je crois que je comprends mieux, je comptais restreindre au strict minimum un peu plus tard mais je constate qu'il est nécessaire de bien partir dès le départ.
Pour le proxy, je comptais plutôt utiliser les packages squid/squidguard directement sur Pfsense, c'est une mauvaise idée pour ce type de configuration ?Merci bcp pour votre aide, bonne suite de journée. :)
-
Pour le proxy, je comptais plutôt utiliser les packages squid/squidguard directement sur Pfsense, c'est une mauvaise idée pour ce type de configuration ?
Je n'en suis pas partisan du tout. Cela ne peut que diminuer la sécurité. A moins que ce soit une petite structure qui peut transiger sur la sécurité.
-
Pour le proxy, je comptais plutôt utiliser les packages squid/squidguard directement sur Pfsense, c'est une mauvaise idée pour ce type de configuration ?
Je n'en suis pas partisan du tout. Cela ne peut que diminuer la sécurité. A moins que ce soit une petite structure qui peut transiger sur la sécurité.
Bonsoir,
Merci bcp pour vos conseils, je vais voir si je peux "libérer" une UC pour assurer la fonction de proxy.
Bonne soirée. ;)