[RESOLU] Création d'une DMZ pose problème



  • Bonjour

    Je suis nouveau sur le forum, j'espère ne pas mettre trompé d'emplacement ;)

    Je suis étudiant en informatique (SENTR) et donc, je n'ai pas forcément une connaissance aussi poussé que la votre.

    J'ai pu découvrir pfsense et les services qu'il propose.

    j'aimerais mettre en place une dmz dans ma petite infrastructure :

    L'ennui c'est que je n'arrive pas à configurer pfsense pour que je puisse accéder depuis l'extérieur à ma dmz et vice versa (l'ordinateur dans la dmz ne peut pas se connecter sur internet).

    Le but final est d'installer un serveur sous freebsd avec un petit cms (joomla en locurence).

    Actuellement la machine qui me sertde test est une lachine sous windows xp.

    Je me suis inspiré de ce tutorial sur monowall pour effectuer ma configuration :

    http://doc.m0n0.ch/handbook/examples.html

    Je vous remercie par avance.



  • Le schéma n'est guère lisible !! (ne pas utiliser un trait noir pour indiquer l'adresse ip : on peut confondre avec un réseau !)
    Il y a-t-il une raison à avoir une interface WAN2 ou est ce par gout de tout compliquer ?
    WAN+LAN+DMZ est un schéma simple, mais s'il y a WAN+WAN2 c'est beaucoup moins aisé.
    Pour résoudre un problème, il est préférable de ne pas en cumuler 2 !

    Il y a lieu de regarder les règles pour chaque zone. Et "! LAN net" ne signifie pas du tout "any" !
    Attention par défaut une règle "tout autorisé" est créé pour LAN ce qui n'est pas le cas pour DMZ.
    De toute façon, il est préférable de ne pas utiliser de règles par défaut et au contraire décrire explicitement chaque besoin.

    Je conseille de d'abord écrire en français le besoin : c'est excellent car ensuite c'est aisé !



  • Comme la si bien dit jdh, la règle qui est créer sur la DMZ n'est pas 'Any' mais surtout elle n'a rien avoir avec l'extérieure.

    Sinon vu ta structure réseau: IP Public <-> Modem/Routeur <-IP Privée-> pfSense <-> DMZ, il y a donc beaucoup de chose à prendre en compte et il nous manque beaucoup d'info.

    Pour atteindre ton Serveur en DMZ il faut déjà que ton Modem/Routeur laisse passez (NAT) les ports que tu à besoin pour ton serveur,.
    Entre autre si tu n'à aucune utilité du Modem/Routeur en amont de pfSense je te conseille de le passer tout simplement en mode Modem uniquement (Bridge).

    Après il faut faire de même avec pfSense, il faut renvoyais (NAT) les ports que tu a besoin sur le serveur en DNZ et bien sur créer les règles (Rules) qui vont bien pour laisser passer tout ça.



  • Bonjour tout les deux.

    Merci beaucoup de vous occuper de mon problème.

    Désolé si je ne vous ait pas donné toutes les informations. j'ai encore un peu de mal à utiliser les bons termes.

    Alors, pour ce qui est du WAN2, on peut l'omettre pour le moment, il n'est pas nécessaire (en fait, c'est plutôt pour m'entrainer et mieux comprendre).

    Pour ce qui est du modem, il s'agit d'une bête livebox (version 2 (livebox carré sagem)). Elle est configurer pour renvoyer tout vers l'adresse 192.168.0.254 (donc pfsense). je suppose que c'est cela qui s'appelle le mode bridge :

    Donc jhd, on va simplifier comme tu dit, et supprimer wan2. Le problème avec la dmz me parraît plus important.

    Il y a lieu de regarder les règles pour chaque zone. Et "! LAN net" ne signifie pas du tout "any" !

    Pour ce qui est de pfsense sur la dmz, je voulais autorisé le port 80 à rentrer sur la dmz et je pensais que "! LAN net" signifiait d'interdire la dmz à rentrer sur mon réseau local. Le but de la dmz est de faire tourner un petit site web avec le cms joomla

    Comme la si bien dit jdh, la règle qui est créer sur la DMZ n'est pas 'Any' mais surtout elle n'a rien avoir avec l'extérieure.

    Comment je devrais la configurer alors ? Le tutorial que j'ai donné en lien serais erroné ?

    Donc ça c'est OK par rapport à la screen plus haut :

    il faut déjà que ton Modem/Routeur laisse passez (NAT) les ports que tu à besoin pour ton serveur,
    Entre autre si tu n'à aucune utilité du Modem/Routeur en amont de pfSense je te conseille de le passer tout simplement en mode Modem uniquement (Bridge).

    Le schéma n'est guère lisible !!

    Voulez-vous que je refasse un schema sous visio pour que cela soit plus visible ?



  • Pour ce qui est du schéma, j'écris souvent le nom du réseau au dessus du trait et n° de réseau + masque au dessous, puis près de chaque machine .N pour la partie d'adresse qui manque. (C'est plus difficile à décrire qu'à lire sur un schéma).

    Par exemple ici cela donnerait

    Réseau WAN : 192.168.0.X/24
      Livebox : .253
      pfSense (carte WAN) : .254

    On peut déclarer une DMZ sur une livebox. Cela ne correspond pas DU TOUT à un mode bridge, mais au moins tout le trafic udp, tcp, icmp est transféré automatiquement vers cette machine DMZ. Il est notable que certains protocoles IP (il n'y a pas que tcp et udp dans la vie !) ne sont pas transféré, d'où impossibilité de faire de l'Ipsec standard. Ceci pour info !

    La plupart des box ne peuvent pas fonctionner en bridge, ce qui serait pourtant plus simple, mais cette fonction "DMZ" compense.

    Une fois le trafic arrivé sur la carte Wan de pfSense, il faut regarder 2 points :

    • les rules utiles pour chaque carte réseau,
    • les NAT utiles pour accéder à un serveur en DMZ par exemple (créé automatiquement une rule correspondante).

    On peut par exemple

    • dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN

    et ainsi de suite : un besoin = une règle

    La ligne NAT suffit à créer la rules nécessaire MAIS si on modifie le NAT, la rule n'est pas modifiée.



  • @FLamme_2:

    Pour ce qui est de pfsense sur la dmz, je voulais autorisé le port 80 à rentrer sur la dmz et je pensais que "! LAN net" signifiait d'interdire la dmz à rentrer sur mon réseau local. Le but de la dmz est de faire tourner un petit site web avec le cms joomla

    Ta Rules actuellement autorise et donc n'interdis pas.



  • Pour ce qui est du schéma, j'écris souvent le nom du réseau au dessus du trait et n° de réseau + masque au dessous, puis près de chaque machine .N pour la partie d'adresse qui manque. (C'est plus difficile à décrire qu'à lire sur un schéma).

    Voilà un nouveau schéma, j'espère que c'est bien comme ça que tu voulais que je le fasse jdh, sinon dit le moi ;)

    On peut déclarer une DMZ sur une livebox. Cela ne correspond pas DU TOUT à un mode bridge, mais au moins tout le trafic udp, tcp, icmp est transféré automatiquement vers cette machine DMZ. Il est notable que certains protocoles IP (il n'y a pas que tcp et udp dans la vie !) ne sont pas transféré, d'où impossibilité de faire de l'Ipsec standard. Ceci pour info !

    Pour ce qui est de la livebox, elle à été configurer de la sorte :

    Sinon, je peut aussi la configurer manuellement :

    mais d'après ce qu'il y à décrit, configurer en faible elle ne filtre rien, donc logiquement rien ne devrait bloquer :

    Ta Rules actuellement autorise et donc n'interdis pas.
    

    Comment faire puisque dans la configuration de la rule, je croyais avoir coché comme quoi je n'autorise pas l'accès au lan ?

    La ligne NAT suffit à créer la rules nécessaire MAIS si on modifie le NAT, la rule n'est pas modifiée.

    Oui effectivement, j'ai cru remarquer que si je supprime une nat, elle reste quand même dans la rule.

    Une fois le trafic arrivé sur la carte Wan de pfSense, il faut regarder 2 points :
    - les rules utiles pour chaque carte réseau,
    - les NAT utiles pour accéder à un serveur en DMZ par exemple (créé automatiquement une rule correspondante).
    

    Mais il faut bien commencer par une rule pour la dmz et ouvrir les ports ensuite pas le nat ? C'est bien cela

    On peut par exemple

    • dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN

    Et comment faire pour autoriser la même chose que LAN ? Puis par la suite autorisé le traffics http, et les services que l'on désire ouvrir sur la dmz.
    En fait, moi je voyais cela comme ça : autorisé la même chose au lan, puis petit à petit ouvrir le port 80, s'il le faut le port 22 / 21 etc…

    D'arpès ce que je comprend sur une DMZ, il faut autorisé chaque service manuellement ?

    PS : Je suis bluffé par la rapidité de vos réponse vous deux !!
    PS2 : Merci beaucoup de m'aider.
    PS3 : pardonner mon ignorance, mais je désire fortement apprendre.



  • Question:
    @FLamme_2:

    mais d'après ce qu'il y à décrit, configurer en faible elle ne filtre rien, donc logiquement rien ne devrait bloquer :

    Réponse:

    Faible:
    Le pare-feu ne filtre rien. Attention, ce niveau est réservé aux utilisateur avancés pour lesquels la sécurité n'est pas une priorité. Veuillez noter aussi que même dans ce mode une connexion initiée depuis Internet sera rejetée si une règle NAT/PAT correspondante n'a pas été créée.

    Je ne connais pas la LiveBOX, mais pour ce que j'ai pu entendre, on peux créer une DMZ et y mettre pfSense dedans (je crois que je jdh en parle plus haut).

    @FLamme_2:

    Comment faire puisque dans la configuration de la rule, je croyais avoir coché comme quoi je n'autorise pas l'accès au lan ?

    Une Rules qui bloque à comme symbole une Croix Rouge et une Rules qui laisse passer à comme symbole une Flèche Verte

    @FLamme_2:

    Mais il faut bien commencer par une rule pour la dmz et ouvrir les ports ensuite pas le nat ? C'est bien cela

    • Pour que le serveur en DMZ sorte il n'y a que des Rules à créer.
    • Pour initiée depuis internet une connexion avec le serveur en DMZ, il faut d'abord créer les regles NATs, puis le Rules correspondantes.

    P'tit rappel:
    @jdh:

    les NAT utiles pour accéder à un serveur en DMZ par exemple (créé automatiquement une rule correspondante)

    @FLamme_2:

    D'arpès ce que je comprend sur une DMZ, il faut autorisé chaque service manuellement ?

    Non et Oui.

    • Non, car tu peux tout autoriser, comme la Rules qui est créer par défaut sur LAN,
    • Oui, car niveau sécurité il est inutile de laisser ouvert quelque chose qu'on à pas besoin, surtout dans une DMZ zone ouverte sur l'extérieure.


  • je ne comprend plus trop  :-\

    • Pour que le serveur en DMZ sorte il n'y a que des Rules à créer.

    Il y a lieu de regarder les règles pour chaque zone. Et "! LAN net" ne signifie pas du tout "any" !

    Une Rules qui bloque à comme symbole une Croix Rouge et une Rules qui laisse passer à comme symbole une Flèche Verte

    Donc, la rule que j'ai faite laisse passer, pourquoi cela ne fonctionne pas alors ?

    Cela à un rapport avec ceci ? :

    On peut par exemple

    • dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN

    Mais si j'ai mis any, tout devrais passer.

    Non et Oui.

    • Oui, car niveau sécurité il est inutile de laisser ouvert quelque chose qu'on à pas besoin, surtout dans une DMZ zone ouverte sur l'extérieure.
    • Non, car tu peux tout autoriser, comme la Rules qui est créer par défaut sur LAN,

    Peut on utiliser la deuxième solution pour le moment de manière à ce que cela fonctionne et voir par la suite pour mettre en place la première solution ?

    Attention par défaut une règle "tout autorisé" est créé pour LAN ce qui n'est pas le cas pour DMZ.

    Bah pourtant meme lorsque je fait ceci, je ne peut pas joindre l'exterieur depuis ma dmz :

    http://img297.imageshack.us/img297/8150/captureqt.png

    Bien entendu, le but est juste de tester voir si déjà cela fonctionne en autorisant tout, et ce n'est pas la cas, où peut-être mon erreur ?

    Es-ce normale que depuis le serveur DMZ, je ne puisse pas pinguer la passerelle ? Y a t-il un rapport avec ceci :

    On peut par exemple

    • dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN

    En revanche depuis le lan je peut pingué la machine dmz :

    flamme@MSI:~$ ping 192.168.2.254
    PING 192.168.2.254 (192.168.2.254) 56(84) bytes of data.
    64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=0.872 ms
    ^C
    --- 192.168.2.254 ping statistics ---
    1 packets transmitted, 1 received, 0% packet loss, time 0ms
    rtt min/avg/max/mdev = 0.872/0.872/0.872/0.000 ms
    flamme@MSI:~$ ping 192.168.2.253
    PING 192.168.2.253 (192.168.2.253) 56(84) bytes of data.
    64 bytes from 192.168.2.253: icmp_seq=1 ttl=127 time=1.85 ms
    ^C
    --- 192.168.2.253 ping statistics ---
    1 packets transmitted, 1 received, 0% packet loss, time 0ms
    rtt min/avg/max/mdev = 1.851/1.851/1.851/0.000 ms
    flamme@MSI:~$ ifconfig
    eth0      Link encap:Ethernet  HWaddr 00:e0:4c:77:bc:4c  
              inet adr:192.168.1.24  Bcast:192.168.1.255  Masque:255.255.255.0
              adr inet6: fe80::2e0:4cff:fe77:bc4c/64 Scope:Lien
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              Packets reçus:87465 erreurs:0 :0 overruns:0 frame:0
              TX packets:50054 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 lg file transmission:1000 
              Octets reçus:108492919 (108.4 MB) Octets transmis:5489250 (5.4 MB)
              Interruption:17 Adresse de base:0xac00
    


  • Je vient de comprendre un peu plus de chose en regardant ce post :

    http://forum.pfsense.org/index.php/topic,24613.0.html

    je n'avais pas vu l'histoire des protocoles, et je comprend mieux pourquoi tu m'as écrit ceci jdh :

    On peut par exemple

    • dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN

    je continue de chrecher et de comprendre ;)



  • Edit : Effectivement, j'ai mis any dans les protocoles, et cela fonctionne beaucoup mieux ;)

    Donc, maintenant, il reste à passer à ta première solutions, à savoir faire un filtrage personalisé. Je suppose que c'est toujours au niveau des rules que cela ce passe.

    Désolé d'avoir eu un déclic si tard  ;D



  • Une "rule" c'est

    • PASS (autant ne faire que des "rules" à PASS mais on peut aussi avoir besoin de "BLOCK" ou "REJECT")
    • protocole
    • source
    • destination

    Il est clair que l'on peut mettre le protocole à "any" MAIS c'est exactement ce qu'il ne faut pas faire car, évidemment, on ne contrôle plus rien !
    La source est évidemment liée à l'interface (l'onglet) de rules : elle ne doit pas être à "any" sauf pour WAN (forcément).

    Moi, je pose mes mains du clavier et prend un crayon pour tracer un tableau carré :

    • 4 lignes (de départ) : LAN, DMZ, WAN, fw
    • 4 colonnes (d'arrivée) : LAN, DMZ, WAN, fw.
      A l'intersection, j'écris chaque protocole dont on a besoin.

    Par exemple :
    de WAN vers fw : ping autorisé
    de WAN vers DMZ : http vers srv web
    de LAN vers WAN : http, https, ftp depuis tout pc du LAN

    ...

    Et puis on code cela, principalement dans "Rules".

    Mais on commence par POSER LES MAINS ! (Que de temps gagné !)



  • Et voilà justement ce que je n'avais pas vraiment cerné ;)

    Donc, moi avoir besoin de du TCP/UDP et de l'icmp pour la dmz si je comprend bien ?

    en fait je croix qu'il va falloir que je me renseigne sur les autres protocoles puisque je ne les connaît pas du tout.



  • Je vais placé le poste en résolu.. Grâce à vous j'ai mieux compris le fonctionnement des protocoles réseaux. Il ne me reste plus qu'a me documenter.

    Je vous remercie infiniment  ;)


Locked