[RESOLU] Création d'une DMZ pose problème
-
Pour ce qui est du schéma, j'écris souvent le nom du réseau au dessus du trait et n° de réseau + masque au dessous, puis près de chaque machine .N pour la partie d'adresse qui manque. (C'est plus difficile à décrire qu'à lire sur un schéma).
Par exemple ici cela donnerait
Réseau WAN : 192.168.0.X/24
Livebox : .253
pfSense (carte WAN) : .254On peut déclarer une DMZ sur une livebox. Cela ne correspond pas DU TOUT à un mode bridge, mais au moins tout le trafic udp, tcp, icmp est transféré automatiquement vers cette machine DMZ. Il est notable que certains protocoles IP (il n'y a pas que tcp et udp dans la vie !) ne sont pas transféré, d'où impossibilité de faire de l'Ipsec standard. Ceci pour info !
La plupart des box ne peuvent pas fonctionner en bridge, ce qui serait pourtant plus simple, mais cette fonction "DMZ" compense.
Une fois le trafic arrivé sur la carte Wan de pfSense, il faut regarder 2 points :
- les rules utiles pour chaque carte réseau,
- les NAT utiles pour accéder à un serveur en DMZ par exemple (créé automatiquement une rule correspondante).
On peut par exemple
- dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN
et ainsi de suite : un besoin = une règle
La ligne NAT suffit à créer la rules nécessaire MAIS si on modifie le NAT, la rule n'est pas modifiée.
-
Pour ce qui est de pfsense sur la dmz, je voulais autorisé le port 80 à rentrer sur la dmz et je pensais que "! LAN net" signifiait d'interdire la dmz à rentrer sur mon réseau local. Le but de la dmz est de faire tourner un petit site web avec le cms joomla
Ta Rules actuellement autorise et donc n'interdis pas.
-
Pour ce qui est du schéma, j'écris souvent le nom du réseau au dessus du trait et n° de réseau + masque au dessous, puis près de chaque machine .N pour la partie d'adresse qui manque. (C'est plus difficile à décrire qu'à lire sur un schéma).
Voilà un nouveau schéma, j'espère que c'est bien comme ça que tu voulais que je le fasse jdh, sinon dit le moi ;)
On peut déclarer une DMZ sur une livebox. Cela ne correspond pas DU TOUT à un mode bridge, mais au moins tout le trafic udp, tcp, icmp est transféré automatiquement vers cette machine DMZ. Il est notable que certains protocoles IP (il n'y a pas que tcp et udp dans la vie !) ne sont pas transféré, d'où impossibilité de faire de l'Ipsec standard. Ceci pour info !
Pour ce qui est de la livebox, elle à été configurer de la sorte :
Sinon, je peut aussi la configurer manuellement :
mais d'après ce qu'il y à décrit, configurer en faible elle ne filtre rien, donc logiquement rien ne devrait bloquer :
Ta Rules actuellement autorise et donc n'interdis pas.Comment faire puisque dans la configuration de la rule, je croyais avoir coché comme quoi je n'autorise pas l'accès au lan ?
La ligne NAT suffit à créer la rules nécessaire MAIS si on modifie le NAT, la rule n'est pas modifiée.
Oui effectivement, j'ai cru remarquer que si je supprime une nat, elle reste quand même dans la rule.
Une fois le trafic arrivé sur la carte Wan de pfSense, il faut regarder 2 points : - les rules utiles pour chaque carte réseau, - les NAT utiles pour accéder à un serveur en DMZ par exemple (créé automatiquement une rule correspondante).Mais il faut bien commencer par une rule pour la dmz et ouvrir les ports ensuite pas le nat ? C'est bien cela
On peut par exemple
- dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN
Et comment faire pour autoriser la même chose que LAN ? Puis par la suite autorisé le traffics http, et les services que l'on désire ouvrir sur la dmz.
En fait, moi je voyais cela comme ça : autorisé la même chose au lan, puis petit à petit ouvrir le port 80, s'il le faut le port 22 / 21 etc…D'arpès ce que je comprend sur une DMZ, il faut autorisé chaque service manuellement ?
PS : Je suis bluffé par la rapidité de vos réponse vous deux !!
PS2 : Merci beaucoup de m'aider.
PS3 : pardonner mon ignorance, mais je désire fortement apprendre. -
Question:
@FLamme_2:mais d'après ce qu'il y à décrit, configurer en faible elle ne filtre rien, donc logiquement rien ne devrait bloquer :
Réponse:
Faible:
Le pare-feu ne filtre rien. Attention, ce niveau est réservé aux utilisateur avancés pour lesquels la sécurité n'est pas une priorité. Veuillez noter aussi que même dans ce mode une connexion initiée depuis Internet sera rejetée si une règle NAT/PAT correspondante n'a pas été créée.Je ne connais pas la LiveBOX, mais pour ce que j'ai pu entendre, on peux créer une DMZ et y mettre pfSense dedans (je crois que je jdh en parle plus haut).
Comment faire puisque dans la configuration de la rule, je croyais avoir coché comme quoi je n'autorise pas l'accès au lan ?
Une Rules qui bloque à comme symbole une Croix Rouge et une Rules qui laisse passer à comme symbole une Flèche Verte
Mais il faut bien commencer par une rule pour la dmz et ouvrir les ports ensuite pas le nat ? C'est bien cela
- Pour que le serveur en DMZ sorte il n'y a que des Rules à créer.
- Pour initiée depuis internet une connexion avec le serveur en DMZ, il faut d'abord créer les regles NATs, puis le Rules correspondantes.
P'tit rappel:
@jdh:les NAT utiles pour accéder à un serveur en DMZ par exemple (créé automatiquement une rule correspondante)
D'arpès ce que je comprend sur une DMZ, il faut autorisé chaque service manuellement ?
Non et Oui.
- Non, car tu peux tout autoriser, comme la Rules qui est créer par défaut sur LAN,
- Oui, car niveau sécurité il est inutile de laisser ouvert quelque chose qu'on à pas besoin, surtout dans une DMZ zone ouverte sur l'extérieure.
-
je ne comprend plus trop :-\
- Pour que le serveur en DMZ sorte il n'y a que des Rules à créer.
Il y a lieu de regarder les règles pour chaque zone. Et "! LAN net" ne signifie pas du tout "any" !
Une Rules qui bloque à comme symbole une Croix Rouge et une Rules qui laisse passer à comme symbole une Flèche Verte
Donc, la rule que j'ai faite laisse passer, pourquoi cela ne fonctionne pas alors ?
Cela à un rapport avec ceci ? :
On peut par exemple
- dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN
Mais si j'ai mis any, tout devrais passer.
Non et Oui.
- Oui, car niveau sécurité il est inutile de laisser ouvert quelque chose qu'on à pas besoin, surtout dans une DMZ zone ouverte sur l'extérieure.
- Non, car tu peux tout autoriser, comme la Rules qui est créer par défaut sur LAN,
Peut on utiliser la deuxième solution pour le moment de manière à ce que cela fonctionne et voir par la suite pour mettre en place la première solution ?
Attention par défaut une règle "tout autorisé" est créé pour LAN ce qui n'est pas le cas pour DMZ.
Bah pourtant meme lorsque je fait ceci, je ne peut pas joindre l'exterieur depuis ma dmz :
http://img297.imageshack.us/img297/8150/captureqt.png
Bien entendu, le but est juste de tester voir si déjà cela fonctionne en autorisant tout, et ce n'est pas la cas, où peut-être mon erreur ?
Es-ce normale que depuis le serveur DMZ, je ne puisse pas pinguer la passerelle ? Y a t-il un rapport avec ceci :
On peut par exemple
- dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN
En revanche depuis le lan je peut pingué la machine dmz :
flamme@MSI:~$ ping 192.168.2.254 PING 192.168.2.254 (192.168.2.254) 56(84) bytes of data. 64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=0.872 ms ^C --- 192.168.2.254 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.872/0.872/0.872/0.000 ms flamme@MSI:~$ ping 192.168.2.253 PING 192.168.2.253 (192.168.2.253) 56(84) bytes of data. 64 bytes from 192.168.2.253: icmp_seq=1 ttl=127 time=1.85 ms ^C --- 192.168.2.253 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 1.851/1.851/1.851/0.000 ms flamme@MSI:~$ ifconfig eth0 Link encap:Ethernet HWaddr 00:e0:4c:77:bc:4c inet adr:192.168.1.24 Bcast:192.168.1.255 Masque:255.255.255.0 adr inet6: fe80::2e0:4cff:fe77:bc4c/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Packets reçus:87465 erreurs:0 :0 overruns:0 frame:0 TX packets:50054 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 Octets reçus:108492919 (108.4 MB) Octets transmis:5489250 (5.4 MB) Interruption:17 Adresse de base:0xac00 -
Je vient de comprendre un peu plus de chose en regardant ce post :
http://forum.pfsense.org/index.php/topic,24613.0.html
je n'avais pas vu l'histoire des protocoles, et je comprend mieux pourquoi tu m'as écrit ceci jdh :
On peut par exemple
- dans Rules / WAN, accepter sur WAN Address le trafic icmp/echo : cela autorise de pinger depuis Internet le WAN
je continue de chrecher et de comprendre ;)
-
Edit : Effectivement, j'ai mis any dans les protocoles, et cela fonctionne beaucoup mieux ;)
Donc, maintenant, il reste à passer à ta première solutions, à savoir faire un filtrage personalisé. Je suppose que c'est toujours au niveau des rules que cela ce passe.
Désolé d'avoir eu un déclic si tard ;D
-
Une "rule" c'est
- PASS (autant ne faire que des "rules" à PASS mais on peut aussi avoir besoin de "BLOCK" ou "REJECT")
- protocole
- source
- destination
Il est clair que l'on peut mettre le protocole à "any" MAIS c'est exactement ce qu'il ne faut pas faire car, évidemment, on ne contrôle plus rien !
La source est évidemment liée à l'interface (l'onglet) de rules : elle ne doit pas être à "any" sauf pour WAN (forcément).Moi, je pose mes mains du clavier et prend un crayon pour tracer un tableau carré :
- 4 lignes (de départ) : LAN, DMZ, WAN, fw
- 4 colonnes (d'arrivée) : LAN, DMZ, WAN, fw.
A l'intersection, j'écris chaque protocole dont on a besoin.
Par exemple :
de WAN vers fw : ping autorisé
de WAN vers DMZ : http vers srv web
de LAN vers WAN : http, https, ftp depuis tout pc du LAN
…
...Et puis on code cela, principalement dans "Rules".
Mais on commence par POSER LES MAINS ! (Que de temps gagné !)
-
Et voilà justement ce que je n'avais pas vraiment cerné ;)
Donc, moi avoir besoin de du TCP/UDP et de l'icmp pour la dmz si je comprend bien ?
en fait je croix qu'il va falloir que je me renseigne sur les autres protocoles puisque je ne les connaît pas du tout.
-
Je vais placé le poste en résolu.. Grâce à vous j'ai mieux compris le fonctionnement des protocoles réseaux. Il ne me reste plus qu'a me documenter.
Je vous remercie infiniment ;)