Accès LAN à DMZ
-
bonjour,
j'ai toujours du mal avec pfsense, quelle est la signication de "interface" dans les règles? La règle porte sur ce qui entre ou sort par l'interface?Ceci mes règles qui fonctionnent sur ipcop:
IPCOP: transfert de port
Merci pour l'aide
-
J'ai déjà répondu sur la question de l'interface (et c'est une différence capitale avec iptables !).
(D'ailleurs iptables ou pf ont chacun des défauts, c'est pour cela que les alias sont essentiels pour assurer la lisibilité des règles).Il FAUT arrêter de penser en iptables ! (C'est comme en anglais : on arrête de traduire mot à mot sinon on ne comprend plus rien …)
Attention à ne pas confondre NAT et Rules :
une ligne NAT permet de générer une rule quand on créé, MAIS il faut modifier la rule si on modifie la ligne NAT !Là l'image est illisible !
=> pour qu'une image soit lisible, il faut qu'elle ait ET des dimensions correctes ET une taille fichier raisonnable :
p.e. wanRule.gif : 510 pixels x 274 pixels et 7 Ko c'est OK, mais des règles ipcop en 106 pixels x 50 pixels c'est pas possible !
Encore une chose confuse pour vous ! -
bonjour,
toutes mes excuses pour la qualité de l'image. L'image a été corrigée -
bonjour
pas de suite? -
Je ne suis à ta place.
L'outil le plus utile : le crayon : pour décrire les objectifs, pour lister les étapes, pour cocher la progression.
La démarche : itérative ! "step by step" : le ping, la résolutions dns, le dhcp, l'accès à Internet, la réception de mail, l'envoi de mail, …
-
bonsoir,
je reformule mes objectifs:
j'ai pfsense installé avec 3 interfaces reséau (LAN/DMZ/WAN):- le LAN est sur 10.200.1.0/24 avec 10.200.1.249/24 comme adresse IP de l'interface LAN du firewall
- la DMZ est sur 10.200.2.0/24 avec 10.200.2.249/24 comme adresse IP de l'interface DMZ du firewall
- Pour le WAN, j'ai une ligne spécialisée (LS) avec 62 adresses IP utilisables (xxx.yyy.zzz.0/26). Jai mis xxx.yyy.zzz.2 comme adresse IP à l'interface WAN du firewall
- la passerelle pour le WAN est xxx.yyy.zzz.1
Dans la DMZ j'ai:
- un serveur qui fait office de serveur web et mail à la fois
- un serveur DNS: j'ai mis le serveur DNS dans la DMZ car j'ai des sous domaines qui sont visibles du Net. Je gère mes propres sous domaines (subdomain.domain.tld)
Questions:
- est ce une bonne option en mettant le serveur DNS dans la DMZ?
- mon serveur mail a une adresse IP privée (10.200.2.3), je voudrais qu'il soit accessible de l'exterieur sur l'adresse IP publique xxx.yyy.zzz.3. Pour cela j'ai utilisé du virtual IP avec du port forward. mais cela semble ne pas marché pour moi
- Comment rendre le serveur DNS accessible par les machines du LAN et d'Internet?
- Comment rendre accessible l'envoi et la reception de mail à partir du LAN et d'Internet?
Remarque: je tente de migrer d'ipcop à pfsense
Merci -
les regles actuelles sont:
aliases
port forward
outbound manuel
règles LAN
règles DMZ:
règles WAN:
Avec ces règles, les machines du LAN peuvent aller sur Internet mais je peux recupérer ni envoyer du mail, mes sites web sont inaccessibles egalement.
Je sais que j'ai un problème de résolution DNS mais je n'arrive pas à trouver les bonnes règles pour permettre la resolution de nom.
Merci -
J'ai déjà écrit des règles qui devraient fonctionner !
- il y a donc une règle NAT de trop,
- les 2 dernières règles LAN ne seront JAMAIS exécutées,
- 3 règles DMZ n'ont aucun sens (puisque la source DOIT être au plus la DMZ)
- les 2 règles NAT outbound n'ont pas d'utilité (en fait et contrairement à ce que j'ai écrit) puisque le NAT outbond auto est suffisant pour traiter le cas,
- il y a 2 règles de trop dans WAN (et il en manque une : icmp/8 sur WAN address).
Cela fait pas mal …
Je me suis donné la peine d'écrire pas mal de choses, il faudrait peut-être les lire, voire s'en inspirer ...
-
Dans la DMZ j'ai:
- un serveur qui fait office de serveur web et mail à la fois
- un serveur DNS: j'ai mis le serveur DNS dans la DMZ car j'ai des sous domaines qui sont visibles du Net. Je gère mes propres sous domaines (subdomain.domain.tld)
Questions:
- est ce une bonne option en mettant le serveur DNS dans la DMZ?
- mon serveur mail a une adresse IP privée (10.200.2.3), je voudrais qu'il soit accessible de l'exterieur sur l'adresse IP publique xxx.yyy.zzz.3. Pour cela j'ai utilisé du virtual IP avec du port forward. mais cela semble ne pas marché pour moi
- Comment rendre le serveur DNS accessible par les machines du LAN et d'Internet?
- Comment rendre accessible l'envoi et la reception de mail à partir du LAN et d'Internet?
Remarque: je tente de migrer d'ipcop à pfsense
MerciJ'interviens sans avoir regardé le détail de ta configuration… mais en tant qu'expert des DNS.
Si tu veux avoir un DNS qui fonctionne aussi bien sur ton LAN (IP privée) que sur le WAN (IP publique) il faut que tu utilise le système des vues (view dans BIND). D'après ce que j'ai compris tes DNS sont autoritaires pour tes sous domaines ?Je ne sais pas quel serveur DNS tu utilises, mais sans les vues tu auras toujours un problème de réponse du serveur DNS.
Il faut que ton serveur DNS réponde à tes clients du LAN avec l'adresse IP LAN (10.200.xx.yy) et aux clients du Web avec l'IP publique de ton FW. Sinon cela NE FONCTIONNERA PAS.Il faut donc que dans ta configuration tu aies des vues différentes pour : mon.sousdomaine.public et mon.sousdomaine.privee
avec par exemple :www.mon.sousdomaine.public IN A 212.52.148.3
et
www.sousdomaine.privee IN A 10.200.xx.yy
Tu peux regarder Google "bind view example"
P.S. Configurer les vues dans BIND nécessite déjà un certain niveau… et une bonne compréhension de ce que tu fais.
-
AMHA nul besoin de "split view" ici !
Je pense qu'il y a une confusion d'utilisation : une "split view" n'a d'intérêt que d'être interrogé depuis 2 zones bien distinctes (dont l'une est généralement internet).
Là, il s'agit de fournir localement des valeurs peut-être différentes des valeurs internet :
- le serveur mail interne peut porter le même nom que celui externe (smtp.xxx.xxx) MAIS a, localement, une valeur différente de la valeur internet !
C'est très utilisé et fréquent (mais ce n'est pas du "splt-view") : il suffit de vouloir utiliser en interne le même nom que sur internet.
someferdi, qui s'est endormi, a déjà mélangé les choses en pensant ouvrir l'accès à son serveur dns interne ce qui est … totalement improbable !
