[résolu] - impossible de sortir de la zone DMZ (OPT1) + erreur "bad hdr length"

Zazou345

Bonjour à tous et à toutes.

J'ai un problème. Voilà la note est donnée ^^.
Je me présente, je suis un étudiant en Réseaux et Télécommunications et actuellement en stage pour 3 mois ( 29 mars au 18

juin). Le but de mon stage est de remplacer le firewall actuel de l'entreprise qui est TELMATWAB par un pare feu pfSense.
Je ne connaissais pas du tout pfSense avant le 29 mars 2010 donc j'ai du apprendre à le connaitre.

Il me fournisse un ordinateur équipé de 4 quatres réseaux mais uniquement 3 d'entres elles sont utilisées (Une pour la zone

LAN, une autrep pour la zone WAN, et la dernière pour la DMZ).

donc voici pour résumé la maquette du réseau que j'ai en test avant de mettre en place dans le réseau de l'entreprise :

–-------           ---------              ---------
|    |           |       |      |          |
|  LAN    |---------------|    PF    |---------------|   WAN  |
|    |           |       |      |          |
---------           ---------              ---------
               |
           ---------
           |          |
                   |  DMZ |
           |          |
                   ---------

@IP du lan : 10.89.0.0/16 interface vr0
@IP de DMZ : 192.168.89.0/24 interface vr1
@IP du WAN : xxx.xxx.Xxx.xxx/27 interface ed0

La simulation du LAN est assuré par un Poste sous windows XP Pro avec un serveur HTTP en service.
Un autre serveur HTTP est en service sur la DMZ installé sous un windows XP Pro
Dans le lan, un seul poste.

J'ai installé pfSense et laissé la configuration initiale par défaut, c'est à dire :

• Onglet LAN

Proto Source Port Destination Port Gateway Schedule Description

• Lan net * * * * * Default LAN->any

• Onglet WAN

Proto Source Port Destination Port Gateway Schedule Description

• RFC 1918 * * * * * Block private networks
  networks

• Reserved/not * * * * * Block bogon networks
  assigned
  by IANA

• Onglet DMZ

aucune règle

Question 1 : Donc si j'ai bien compris la politique de ce firewall, en désactivant la règle par défaut dans l'onglet LAN, tout

est bloqué sauf ce qui est explicitement indiqué ?

Avec ces règles par défaut, j'ai pu faire différents tests :

*PING :
pf vers DMZ = ping ok
pf vers LAN = ping ok
pf vers WAN = ping ok

LAN vers DMZ = ping ok
LAN vers LAN = ping ok
LAN vers WAN = ping ok
LAN vers pf  = ping ok

DMZ vers DMZ = ping ok
DMZ vers LAN = ping échoué : délai d'attente de la demande dépassé
DMZ vers WAN = ping échoué : délai d'attente de la demande dépassé
DMZ vers pf  = ping ok

NB : quand je regarde le filter log par le biais d'une connection ssh depuis le lan vers le pfSense, lorsque je ping le LAN ou

le WAN depuis la DMZ, j'ai ce message :
"16. 217456 rule 56/0(match): pass in on ed0: 192.168.89.15 > 10.89.2.1: ICMP echo request, id 512, seq 5376, length 40"

Question 2 : Pourquoi le ping échoue alors que dans le filter log, il indique que cela passe ?

WAN vers DMZ = ping échoué : délai d'attente de la demande dépassé
WAN vers LAN = ping échoué : délai d'attente de la demande dépassé
WAN vers WAN = ping ok
WAN vers pf  = ping échoué : délai d'attente de la demande dépassé

Ici, dans le filter log, je comprend bien que le délait d'attente de la demande dépassé car le message est :
"000000 rule 65/0(match): block in on vr1: xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx : ICMP echo request, id 512, seq 1280, length 40"

Aucune règle n'est définie pour autoriser le ping donc il est bloqué.

*Serveur Web :

Un serveur Web est installé sur le pc dans le WAN et un autre serveur dans la DMZ.

Depuis le LAN, j'accede au deux site web.
mais depuis la DMZ, impossible d'accèder au site web du WAN.

Voila la deuxième partie de mon sujet-problème, un message d'erreur que je ne comprend pas :

Je lance internet explorer sur la machine dans la DMZ, j'indique en URL xxx.xxx.xxx.xxx puis je valide.
Je regarde dans le Filter log et ce message apparait :
"000000 rule 56/0(match): pass in on ed0: 192.168.89.15:4568 > xxx.xxx.xxx.xxx:80 tcp 28 [bad hdr length 0 - too short, <20]"

Dans la fenetre de I.E: "Internet Explorer ne peut pas afficher cette page web".

Après avoir écumé, des dizaines de forum, des sites webs etc… je ne comprend toujours pas ce message d'erreur surtout le hdr.

Question3 : Que signigie [bad hdr length 0 - too short, <20] ?

Ce pare-feu est pourtant très simple d'utilisation une fois que nous avons compris que les règles s'appliquent au trafic qui

vient du segment auquel est connecté la carte vers la machine pfSense.

J'espère que quelqu'un va pouvoir m'aider, à débloqué ce problème pour que je suis puisse avancer.

Je vous remercie vivement par avance pour l'aide que vous m'apporterez,

cordialement,

Zazou

titofe

@Zazou345:

Question 1 : Donc si j'ai bien compris la politique de ce firewall, en désactivant la règle par défaut dans l'onglet LAN, tout est bloqué sauf ce qui est explicitement indiqué ?

Oui, si aucune règle est établi rien ne passe.

@Zazou345:

Question 2 : Pourquoi le ping échoue alors que dans le filter log, il indique que cela passe ?

La question 1 répond à ce problème.

@Zazou345:

Question3 : Que signigie [bad hdr length 0 - too short, <20] ?

Idem, la question 1 répond à ce problème.

Cdt,

Juve

Y a-t-il une règle sur l'onget DMZ au final car dans votre post on comprend que non, et si il n'y a pas de règle vous n'aurez aucune communication possible.

Le filter log affiche par défaut (votre cas) ce qui est bloqué ! (si vous parlez de tcpdump -ttt -n -i pflog0), donc vous voyez bien que c'est bloqué!

De même, de DMZ vers Internet, y-a-t-il une règle de NAT en Outbound qui source NAT le segment 192.168.89.0/24 avec une IP publique. Par défaut, en mode automatique, pfsense ne source NAT que le segement associé à la carte LAN.

Bonne chance.

Zazou345

@Juve:

Y a-t-il une règle sur l'onget DMZ au final car dans votre post on comprend que non, et si il n'y a pas de règle vous n'aurez aucune communication possible.

Alors je viens de rajouter une règle dans l'onglet DMZ

Proto  Source      Port  Destination  Port  Gateway  Schedule  Description
*  DMZ net      *  *      *  *  *

Pour réellement tout autoriser comme pour le lan, mais j'ai toujours le meme problème, le ping ne passe que dans un seul sens. C'est a dire du LAN vers la DMZ et non de la DMZ vers le LAN.

@Juve:

De même, de DMZ vers Internet, y-a-t-il une règle de NAT en Outbound qui source NAT le segment 192.168.89.0/24 avec une IP publique. Par défaut, en mode automatique, pfsense ne source NAT que le segement associé à la carte LAN.

Il n'y a aucune règle de outbound dans le NAT.

J'ai refait un test mais a partir de l'interface graphique.
Lorsque je ping mon adresse IP d'un poste dans le LAN (10.89.2.1) depuis l'interface DMZ, le ping échoue.
Lorsque je ping mon adresse IP d'un poste dans la DMZ (192.168.89.15) depuis l'interface LAN, le ping est ok.

ce qui revient a l'identique que précédemment quand je ping depuis le poste en DMZ vers le poste en LAN ou inversement.

Cordialement,

Zazou345

Problème de résolu !

J'aurais du y penser bien avant au lieu de chercher une erreur sur pfSense !!!

J'ai interverti mes deux postes WAN et LAN. Initialement, mon poste LAN était sous Windows VISTA, je l'ai donc passé en poste sous Windows XP, et grâce à la puissance de la technologie de Microsoft . . . le problème c'est résolu tout seul !

J'ai enfin pu pinguer mon LAN vers ma DMZ mais également ma DMZ vers mon LAN !

en tout cas merci, pour les réponses qui m'ont été apportée. Si j'ai encore besoin, je reviendrai poster sur le forum !