Règle de base ne fonctionnant pas

ohyeah

Bonjour, je teste pfsense depuis trois jours je crois.

Pour ma maquette, j'ai installé pfsense sur une machine dédiée dont l'interface WAN est connectée sur un switch non-administrable où il y est également connecté une freebox.

L'interface LAN est connectée avec un ordinateur portable avec lequel j'accède à l'interface web de pfsense pour le configurer.

Après avoir configuré de base les interfaces, j'ai remarquais que par défaut, toute connexion venant du WAN était bloquées et toute connexion venant du LAN était acceptée.

En supposant qu'il ne faille pas avoir confiance en tous les logiciels installés sur le LAN, il me faut donc instaurer des règles sur celui-ci.

Pour commencer, il me semble bon de tout bloquer et d'accepter au fur et à mesure des besoins certains protocoles.

J'ai donc mis cette règle pour tout bloquer :

Proto   Source   Port   Destination   Port   Gateway   Schedule   Description

• *          *      *                  *      *

Puis apply changes

Seulement, j'arrive à accéder à internet depuis le LAN !?!
Étant donné ce souci, j'ose continuer ne comprenant pas ce qui se passe…

J'ai pu remarquer en revanche que le https et le ftp ne passait pas..., mais je ne compte pas essayer tous les protocoles pour savoir qui passe et qui ne passe pas...

Si quelqu'un pouvait m'éclaircir sur ce point ce serait magnifique !

Merci

PS : j'ai pas réussi à mettre une image, qu'est-ce que l'on doit mettre entre [ img][ /img] ???
un lien ne marche pas  :-\

jdh

Un petit effort de simplicité :

Je teste un pfSense installé sur une machine dédiée (avec 2 interfaces réseaux).
L'interface Wan est reliée à une Freebox (via un switch) :
=> elle est configurée en DHCP et obtient l'adresse 192.168.1.3, le masque 255.255.255.0, la gateway 192.168.1.1, le dns 192.168.1.1 (cf Status > Interfaces).
L'interface LAN est configurée avec adresse 192.168.2.1, masque 255.255.255.0.
J'ai un PC relié par câble croisé sur l'interface LAN avec adresse 192.168.2.10, masque 255.255.255.0, gateway 192.168.2.1, dns 192.168.2.1.

J'accède sans problème à l'interface web (en http).

L'accès au net au travers du pfSense est total.

Comment fais je pour bloquer cela ?

Dans Firewall > Rules, il y a D'ABORD un onglet PAR INTERFACE car le filtrage se fait par interface d'origine.
Donc il faut regarder l'onglet LAN dans lequel il y a une règle par défaut qui, en effet, autorise tout.
La petite flèche verte à gauche de la règle permet de l'inhiber temporairement (après le bouton Apply).

ohyeah

@jdh:

Dans Firewall > Rules, il y a D'ABORD un onglet PAR INTERFACE car le filtrage se fait par interface d'origine.
Donc il faut regarder l'onglet LAN dans lequel il y a une règle par défaut qui, en effet, autorise tout.
La petite flèche verte à gauche de la règle permet de l'inhiber temporairement (après le bouton Apply).

Pour être sûr de moi, je l'avais complètement supprimé cette règle par défaut dans l'onglet LAN. Et à la place j'avais mis la règle bloquant tout.

Et je l'ai bien fait dans l'onglet LAN.

C'est pourquoi je reste perplexe…

jdh

Des infos sur l'environnement ? Cela ne pourrait pas NOUS donner des idées, non ?

Si j'écris "un petit effort", c'est peut-être qu'il faudrait le faire !

Relisez le fil : franchement, y a-t-il des infos utiles ? De plus VOUS êtes devant la config … pas NOUS !

Moi, en tout cas, avec ce que je lis, je n'ai aucune idée ...

L'expression "je teste pfsense depuis trois jours je crois" est notable !

Par ailleurs, inutile de mettre quoi que ce soit, la policy par défaut est que tout est fermé.

ohyeah

Je viens de résoudre mon problème…

J'avais installé squid sans savoir m'en servir et avait coché "Transparent proxy"

Donc forcément...

Désolé pour le dérangement  ::)