Accès LAN à DMZ



  • bonjour,
    j'ai installé pfsense comme firewall sur un reseau comprend:
    LAN: 10.200.1.0/24
    DMZ: 10.200.2.0/24
    WAN: x.y.z.0/26

    L'adressage sur pfsense est:
    interface LAN: 10.200.1.249/24
    interface DMZ: 10.200.2.249
    interface WAN: 212.y.z.2/26 (adresse IP publique)

    Dans la DMZ j'ai deux serveurs: mail (mail+web) et dns:
    mail: adresse IP 10.200.2.3
    dns: adresse IP 10.200.2.4

    Problèmes:

    • du LAN j'arrive à aller sur Internet;
    • du LAN je n'accède pas à mes serveurs situé dans la DMZ
    • d'Internet mes serveurs sont inaccessibles

    Mes règles sont:
    Aliases

    virtual IP

    Nat port forward

    Nat outbound

    Règles LAN

    Règles WAN

    Règles DMZ



  • Sont ?

    A tout hasard il faut aussi des régles de nat pour accéder depuis internet à vos serveurs.

    Pour le reste attendons la fin de votre message.



  • beh euh ? mes règles sont … absentes !

    Au fait, à quoi sert un serveur dns en dmz ? Pour moi, à rien, mais ...

    NB : accéder de l'extérieur à des serveurs en dmz demande une règle (rules) ET un ligne NAT



  • Bonjour,
    les règles sont à présent disponibles



  • Je crois qu'il y a de sérieux problèmes de compréhension :

    • un serveur dns (en DMZ) est ABSOLUMENT inutile : il serait TRES TRES étonnant que vous soyez hébergeur de dns public

    • héberger un serveur de mail + un serveur web (+ …) ne nécessite ABSOLUMENT pas de multiples adresses ip public : une seule suffit ! Et donc il n'y a pas plus besoin d'adresses ip virtuelles

    • les règles DMZ sont inutiles (et la dernière dangereuse !)

    • la dernière règle de WAN est inutile : pas de service DNS vers Internet

    • dans les règles, il FAUT utiliser les alias (et pas à moitié)

    • NAT outbound est inutile en utilisant une seule ip publique (et ça simplifie bien !)

    • Pour les alias, utiliser une règle de dénomination genre srvxxxx pour les serveurs, portxxx pour les ports, ...



  • Merci pour vos réponses.
    1- J'ai mis le serveur DNS dans la DMZ car j'ai des sous domaines que je gère (genre subdomain.mondomain.bf)
    2- le mail et le web sont sur la même machine: donc ils utilisent la même adresse IP

    Si les règles DMZ sont inutiles comment accéder au serveur (mail) qui est dans la DMZ à aprtir du LAN et d'Internet?

    J'ai activé le DNS forwarder avec l'adresse IP privée de mon serveur de mail: 10.200.2.3



  • Comme il est mentionné, les onglets de la page "Rules" correspondent à l'interface d'arrivée du paquet (initial) de la session.

    Exemple avec la ligne 1 : (le serveur DNS est en DMZ)
    la règle 1, en DMZ, d'un flux dont la source est le LAN vers ce serveur DMZ n'a aucun sens ! (n'est pas dans le bon sens : elle devrait se situer dans l'onglet LAN !)

    Dans l'onglet DMZ, il est logique que l'origine des flux décrits soit soit le DMZ subnet soit un serveur de cette DMZ, mais certainement pas un autre réseau !

    La ligne 2 décrit un flux ne passant même pas par pfSense !

    Avant de continuer, le NAT outbound est-il supprimé ? Il est essentiel que les flux LAN vers DMZ ne soient pas nattés !
    Le NAT n'a ici d'intérêt que vers le WAN : l'outbound standard sera parfaitement suffisant.

    LAN : PC + serveur dns interne
    DMZ : serveur Web + serveur Mail

    Flux venant de LAN :
    1. LAN subnet -> any : icmp/8 : ping
    2. LAN subnet -> any : tcp/80+tcp/443 : http et https vers WAN et DMZ
    3. LAN subnet -> srvWeb : tcp/80+tcp/443 : http + https vers le serveur Web
    4. LAN subnet -> srvMail : tcp/25+tcp/143 : smtp et imap vers le serveur Mail (ou pop)
    5. srvDns -> any : tcp+udp/53 : accès dns depuis le serveur Dns

    Flux venant de DMZ :
    1. DMZ subnet -> any : icmp/8 : ping
    2. DMZ subnet -> srvDns : tcp+udp/53 : accès au serveur Dns interne
    2. SrvMail -> any : tcp/25 : envoi sortant de mail à partir du serveur Mail

    Flux venant de WAN :
    1. any -> Wan Address : icmp/8 : accepter de répondre au ping
    2. any -> srvWeb : tcp/80+tcp/443 : hébergement par le serveur Web
    3. any -> srvMail : tcp/25 : réception des mails par le serveur Mail

    NAT :
    1. Wan address -> srvWeb : tcp/80+tcp/443
    2. Wan address -> srvMail : tcp/25

    Pourquoi plus de règles ?



  • Bonjour,
    j'ai appliqué les règles que vous avez decrites et supprimé le outbound. Mes nouvelles règles sont:

    virtual

    aliases

    NAT: Port Forward

    NAT: Outbound

    règles LAN

    règles DMZ:

    règle WAN

    Les règles sur le outbound ont été supprimées.
    J'ai mis les règles concernant le NAT dans les règles du WAN, je sais pas si c'est le lieu indiqué.

    J'arrive à aller sur Internet, j'accède au serveur web à travers un navigateur mais je n'arrive pas à récupérer le courrier avec un client de messagerie en pop.
    J'ai mis le serveur DNS dans le LAN.
    Merci une fois de plus



  • Je vous suggère, l'espace d'un instant, de mettre sur lan, en premier, une règle autorisant tout de lan vers any pour protocole any afin de voir si vous pouvez relever, dans ces conditions, le courrier via pop3.
    Si oui désactiver la règle "passe tout" et vérifiez vos règles sur l'interface lan, activer les logs sur l'ensemble des règles de l'interface Lan pour identifier la raison du rejet.
    Si non, vous avez un problème autre et là aussi les logs de Pfsense pourraient vous aider. Des captures de paquets pourraient s'avérer utiles si vous ne voyez rien.



  • (Il serait TRES utile de compresser les images avec un outil type RIOT parce le temps de chargement des images est horrible !!)

    Nicolas BOILEAU : "Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément."

    Prendre le temps de bien posez les problèmes, qu'est ce qui est nécessaire, que veut-on, …



  • bonsoir,
    j'ai mis la règle autorisant tout de lan vers any pour protocole any mais je n'arrive toujours pas en pop à recuperer le courrier.
    Parcontre la recuperation du courrier en pop march quand je mets l'adresse IP du serveur de mail dans la configuration du client de messagerie



  • Vous avez donc un problème de résolution de nom et Pfsense n'y est pour rien. Avez vous mis à jour correctement votre dns. Pour test vous pouvez aussi utiliser, sur le client, un fichier hosts.



  • bonjour,
    En parlant de résolution de nom, j'ai d'autres sous domaines qui marchent correctement (webmail.domain.tld, mysql.domain.tld, etc…). J'arrive à envoyer et recevoir à partir du webmail mais impossible à partir d'un client de messagerie d'envoyer et de recevoir.

    Remarque: je suis plutôt familier à IPCOP (tout marche sur IPCOP) mais j'aimerais utiliser PFSENSE



  • (Les images ont elles changé de taille ? Cela reste horrible !)

    Outbound NAT : évidemment c'est par défaut, mais il serait quand même souhaitable qu'il y une règle Outbound NAT pour CHAQUE réseau (Lan ou Dmz)

    Si cela fonctionne avec Ipcop, il n'y a pas de raison que cela ne fonctionne pas avec pfSense.
    Sauf que c'est très facile avec pfSense … si on commence par écrire ce que l'on veut et les conséquences de ce qu'on décide.

    Je ne suis pas partisan d'ajouter une règle "tout permis" ou alors en dernière position et avec le log de façon à suivre les paquets passant par là.
    En analysant ces paquets, on doit pouvoir en déduire qu'une règle n'est pas là ou est incorrecte.

    J'aimerais comprendre pourquoi vous pensez qu'une règle WAN comme la ligne 4 peut fonctionner (alors qu'à moi, il me saute au yeux que cela ne peut pas fonctionner !) :

    (Je n'ai pas la patience d'attendre l'affichage complet .... remplacer vos images si vous voulez être aidé !)



  • bonsoir,
    j'ai reduit la taille des images.
    J'ai egalement ajouté une regle Outbound nat pour les réseau LAN et DMZ
    Wan  10.200.1.0/24  * * * * *    (10.200.1.0/24 est le LAN)
    Wan  10.200.2.0/24  * * * * *    (10.200.2.0/24 est la DMZ)



  • bonjour,
    j'ai toujours du mal avec pfsense, quelle est la signication de "interface" dans les règles? La règle porte sur ce qui entre ou sort par l'interface?

    Ceci mes règles qui fonctionnent sur ipcop:
    IPCOP: transfert de port

    Merci pour l'aide



  • J'ai déjà répondu sur la question de l'interface (et c'est une différence capitale avec iptables !).
    (D'ailleurs iptables ou pf ont chacun des défauts, c'est pour cela que les alias sont essentiels pour assurer la lisibilité des règles).

    Il FAUT arrêter de penser en iptables ! (C'est comme en anglais : on arrête de traduire mot à mot sinon on ne comprend plus rien …)

    Attention à ne pas confondre NAT et Rules :
    une ligne NAT permet de générer une rule quand on créé, MAIS il faut modifier la rule si on modifie la ligne NAT !

    Là l'image est illisible !
    => pour qu'une image soit lisible, il faut qu'elle ait ET des dimensions correctes ET une taille fichier raisonnable :
    p.e. wanRule.gif : 510 pixels x 274 pixels et 7 Ko c'est OK, mais des règles ipcop en 106 pixels x 50 pixels c'est pas possible !
    Encore une chose confuse pour vous !



  • bonjour,
    toutes mes excuses pour la qualité de l'image. L'image a été corrigée



  • bonjour
    pas de suite?



  • Je ne suis à ta place.

    L'outil le plus utile : le crayon : pour décrire les objectifs, pour lister les étapes, pour cocher la progression.

    La démarche : itérative ! "step by step" : le ping, la résolutions dns, le dhcp, l'accès à Internet, la réception de mail, l'envoi de mail, …



  • bonsoir,
    je reformule mes objectifs:
    j'ai pfsense installé avec 3 interfaces reséau (LAN/DMZ/WAN):

    • le LAN est sur 10.200.1.0/24 avec 10.200.1.249/24 comme adresse IP de l'interface LAN du firewall
    • la DMZ est sur 10.200.2.0/24 avec 10.200.2.249/24 comme adresse IP de l'interface DMZ du firewall
    • Pour le WAN, j'ai une ligne spécialisée (LS) avec 62 adresses IP utilisables (xxx.yyy.zzz.0/26). Jai mis xxx.yyy.zzz.2 comme adresse IP à l'interface WAN du firewall
    • la passerelle pour le WAN est xxx.yyy.zzz.1

    Dans la DMZ j'ai:

    • un serveur qui fait office de serveur web et mail à la fois
    • un serveur DNS: j'ai mis le serveur DNS dans la DMZ car j'ai des sous domaines qui sont visibles du Net. Je gère mes propres sous domaines (subdomain.domain.tld)

    Questions:

    • est ce une bonne option en mettant le serveur DNS dans la DMZ?
    • mon serveur mail a une adresse IP privée (10.200.2.3), je voudrais qu'il soit accessible de l'exterieur sur l'adresse IP publique xxx.yyy.zzz.3. Pour cela j'ai utilisé du virtual IP avec du port forward. mais cela semble ne pas marché pour moi
    • Comment rendre le serveur DNS accessible par les machines du LAN et d'Internet?
    • Comment rendre accessible l'envoi et la reception de mail à partir du LAN et d'Internet?

    Remarque: je tente de migrer d'ipcop à pfsense
    Merci



  • les regles actuelles sont:

    aliases

    port forward

    outbound manuel

    règles LAN

    règles DMZ:

    règles WAN:

    Avec ces règles, les machines du LAN peuvent aller sur Internet mais je peux recupérer ni envoyer du mail, mes sites web sont inaccessibles egalement.
    Je sais que j'ai un problème de résolution DNS mais je n'arrive pas à trouver les bonnes règles pour permettre la resolution de nom.
    Merci



  • J'ai déjà écrit des règles qui devraient fonctionner !

    • il y a donc une règle NAT de trop,
    • les 2 dernières règles LAN ne seront JAMAIS exécutées,
    • 3 règles DMZ n'ont aucun sens (puisque la source DOIT être au plus la DMZ)
    • les 2 règles NAT outbound n'ont pas d'utilité (en fait et contrairement à ce que j'ai écrit) puisque le NAT outbond auto est suffisant pour traiter le cas,
    • il y a 2 règles de trop dans WAN (et il en manque une : icmp/8 sur WAN address).

    Cela fait pas mal …

    Je me suis donné la peine d'écrire pas mal de choses, il faudrait peut-être les lire, voire s'en inspirer ...



  • Dans la DMZ j'ai:

    • un serveur qui fait office de serveur web et mail à la fois
    • un serveur DNS: j'ai mis le serveur DNS dans la DMZ car j'ai des sous domaines qui sont visibles du Net. Je gère mes propres sous domaines (subdomain.domain.tld)

    Questions:

    • est ce une bonne option en mettant le serveur DNS dans la DMZ?
    • mon serveur mail a une adresse IP privée (10.200.2.3), je voudrais qu'il soit accessible de l'exterieur sur l'adresse IP publique xxx.yyy.zzz.3. Pour cela j'ai utilisé du virtual IP avec du port forward. mais cela semble ne pas marché pour moi
    • Comment rendre le serveur DNS accessible par les machines du LAN et d'Internet?
    • Comment rendre accessible l'envoi et la reception de mail à partir du LAN et d'Internet?

    Remarque: je tente de migrer d'ipcop à pfsense
    Merci

    J'interviens sans avoir regardé le détail de ta configuration… mais en tant qu'expert des DNS.
    Si tu veux avoir un DNS qui fonctionne aussi bien sur ton LAN (IP privée) que sur le WAN (IP publique) il faut que tu utilise le système des vues (view dans BIND). D'après ce que j'ai compris tes DNS sont autoritaires pour tes sous domaines ?

    Je ne sais pas quel serveur DNS tu utilises, mais sans les vues tu auras toujours un problème de réponse du serveur DNS.
    Il faut que ton serveur DNS réponde à tes clients du LAN avec l'adresse IP LAN (10.200.xx.yy) et aux clients du Web avec l'IP publique de ton FW. Sinon cela NE FONCTIONNERA PAS.

    Il faut donc que dans ta configuration tu aies des vues différentes pour : mon.sousdomaine.public et mon.sousdomaine.privee
    avec par exemple :

    www.mon.sousdomaine.public IN A 212.52.148.3

    et

    www.sousdomaine.privee IN A 10.200.xx.yy

    Tu peux regarder Google "bind view example"

    P.S. Configurer les vues dans BIND nécessite déjà un certain niveau… et une bonne compréhension de ce que tu fais.



  • AMHA nul besoin de "split view" ici !

    Je pense qu'il y a une confusion d'utilisation : une "split view" n'a d'intérêt que d'être interrogé depuis 2 zones bien distinctes (dont l'une est généralement internet).

    Là, il s'agit de fournir localement des valeurs peut-être différentes des valeurs internet :

    • le serveur mail interne peut porter le même nom que celui externe (smtp.xxx.xxx) MAIS a, localement, une valeur différente de la valeur internet !

    C'est très utilisé et fréquent (mais ce n'est pas du "splt-view") : il suffit de vouloir utiliser en interne le même nom que sur internet.

    someferdi, qui s'est endormi, a déjà mélangé les choses en pensant ouvrir l'accès à son serveur dns interne ce qui est … totalement improbable !


Locked