Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Interface externe, Nat et multi IPs

    Français
    2
    5
    2.8k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Y
      yro
      last edited by

      Nous avons plusieurs adresses ip fixes fournies par notre FAI sur un même block de type xx.xxx.xx.48/29, dans notre cas la passerelle est xx.xxx.xx.49 (router cisco fourni par le FAI) et nous avons attribué l'adresse xx.xxx.xx.50 à l'inerface Wan du Pfsense. Il reste donc 4 Ips disponible, xx.xxx.xx.[51-54].

      J'aimerai déterminer ces Ips en tant qu'interfaces externes possédant leur propre règles NAT et Firewall afin de permettre à des machines distantes de pouvoir accéder à des services hébergés en interne au sein de différents Vlans.

      Pour ce faire j'utilise les Ips Virtuelles mais comment peut-on déterminer des interfaces physiques en se basant sur ces Ips virtuelles?

      Nous avons procédé de la façon suivante afin de pouvoir utiliser pleinement les Ips fixes du block.
      J'ai d'abord déclaré ces Ips dans la section 'Virtual Ips' en Mode CARP sans utiliser les options de synchronisation. A noté que je n'ai pas eu besoin d'ajouter celle de l'interface WAN de Pfsense.

      Puis j'ai associé les Ips virtuelles utilisées aux Ips des machines internes concernées dans la la section 1:1

      En suite j'ai déterminé du Port Forwarding sur les protocoles utiliser par les différents services.

      Pour terminer, des règles de firewall sur l'interface Wan ont été établies pour assurer le passage des paquets.

      Cela fonctionne, mais via le bouquin et d'autres publications nous n'avons pas trouver d'autres façons de procéder, y en a-t-il seulement et dans le notre cas, sommes-nous face à une mauvaise méthode?

      Merci à tous.

      1 Reply Last reply Reply Quote 0
      • J
        Juve
        last edited by

        mauvaise configuration. Deux solutions :

        1. appeler le FAI et demander de passer la patte LAN du routeur cisco en disons 192.168.1.254, configurez votre firewall en 192.168.1.1 et demandez au FAI de router votre /29 publique vers 192.168.1.1, vous pourrez alors avoir une DMZ publique routée. Des lors vous pourrez soit attribuer les IP publiques a des machines physiques, soit réalisre du NAT In ou Out via des IP virutelles de type "IP".

        2. déclarer des IP virtuelles de type "proxy-arp", effecuter les règles de NAT sur ces IP.

        Ne pas utiliser les interfaces CARP dans votre cas, CARP est utilisé pour la redondance (cluster de firewall). Deplus, plusieurs interfaces CARP, dans le meme subnet, sur la meme interface cela peut poser problème.

        Enfin, n'oubliez pas que lorsque l'on créé des règles de pare-feu pour un flux "naté", la règle doit pointer sur la machine cible finale et non l'IP publique car le moteur de NAT fait son travail avant que les paquets n'entrent dans le filtre de paquets.

        1 Reply Last reply Reply Quote 0
        • Y
          yro
          last edited by

          Bonjour,
          Merci pour cette réponse, Juve!

          @Juve:

          1. appeler le FAI et demander de passer la patte LAN du routeur cisco en disons 192.168.1.254, configurez votre firewall en 192.168.1.1 et demandez au FAI de router votre /29 publique vers 192.168.1.1, vous pourrez alors avoir une DMZ publique routée. Des lors vous pourrez soit attribuer les IP publiques a des machines physiques, soit réalisre du NAT In ou Out via des IP virutelles de type "IP".

          C'est déjà notre cas mais avec l'adressage IP que j'ai donnée en début de post, à savoir que tout le /29 est redirigé vers l'adresse xxx.xxx.xx.50

          Dois-je comprendre que pour y arriver selon vos explications, je conserve les enregistrements des VIP's mais je les passe en mode Proxy ARP.
          En suite j'oublie la fonction 1:1 et je n'y détermine plus aucune liaison.
          Dans le Port Forward je conserve des enregistrements qui gèrent les transferts de port depuis les adresses virtuelles vers les adresses internes Vlans (à noté que tous nos Vlans commencent par 192.168.x.x, l'adresse 192.168.25.50 faisant partie du Vlan 25!)
          Enfin j'établis mes règles de Firewall sur L'interface WAN à destination des adresses internes Vlans?

          En gros, j'utilise ce que j'ai déjà fait, mais je passe en Proxy ARP, je supprime la liste des liaisons 1:1 et je ne change rien au reste ?

          1 Reply Last reply Reply Quote 0
          • J
            Juve
            last edited by

            Si le réseau est routé vers votre patte WAN alors je pense que meme des IP virtuelles de type IP (un simple alias de configuration en réalité) devrait suffir. Le routeur va router les paquets vers votre patte WAN, dès lors si le moteur de NAT sait quoi en faire il "nattera".

            Oubliez le 1:1.

            1 Reply Last reply Reply Quote 0
            • Y
              yro
              last edited by

              oki, merci :)

              Donc voici comment cela fonctionne finalement:
              Nous avons déclaré les IP's vituelles en Proxy ARP étant donné que nous n'utilisons pas d'option de Forwarding vers ces IPs.
              En suite nous établissons des règles de port forwarding depuis ces IPs vituelles vers une IP locale.
              Mise en place des règles de firewall autorisant le trafic depuis Any vers le adresse IP locales sur les ports désignés dans le NAT.

              Constatation:
              Si nous voulons que les réponses portent la même source que l'interface par laquelle ils sont entrés il faut quand même utiliser la fonction 1:1 et associer les IPs vituelles aux IPs locales concernées.

              Avez-vous fait cette même constatation?

              Néanmoins, je trouve dommage de devoir passer par cette technique car enfin ce serait plus prorpre à mon sens de pourvoir déclarer ces IPs en tant qu'interface et gérer les règle de NAT et de Firewall exactement de la même manière que l'interface WAN par défaut.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.