[Résolu] Précision sur une option du firewall



  • Bonjour,

    je cherche à comprendre quel est l'utilité de l'option : "Use this option to invert the sens of the match" qui apparait lors de la création d'une règle.

    Vous remerciant par avance pour vos réponse.



  • A priori c'est que vous n'en avez pas l'usage. C'est l'ajout d'un opérateur de négation.



  • Bonjour,

    Merci pour cette réponse, mais j'ai bel et bien besoin de cette option sous peine de quoi ma règle de redirection des paquets de mon interface optionnelle vers le LAN ne fonctionne pas et empêche l'accès à internet, par conséquent si vous pouviez me fournir de plus amples informations je vous en serai infiniment reconnaissant.

    Merci d'avance



  • Commencez par expliquer précisément de quoi vous avez besoin sur le plan fonctionnel en donnant les informations techniques de votre architecture. Nous vous dirons ensuite quoi faire. Si c'est ce que vous décrivez (très vaguement) vous n'en avez pas besoin.
    Je ne sais pas comment on peut déclarer avoir besoin de quelque chose dont on ne comprend pas l'utilité ?? Il y a comme une contradiction.



  • Bonsoir,

    En fait je ne cherche pas à savoir si je dois ou non l'activer (car pour l'avoir testé, je sais que je doit cocher cette option), je cherche juste à comprendre le fonctionnement intrinsèque de cette option, indépendamment d'une configuration quelconque. Car je l'ai recopié "bêtement" d'une autre configuration en parfait état de  marche si bien que ma configuration fonctionne parfaitement mais pour résumé : je ne sais pas pourquoi  :'(

    Merci par avance à celui qui éclairera ma lanterne…



  • Je me souviens d'un professeur d'informatique qui avait exigé les docs en anglais du mini-ordinateur équipant l'école
    pour que les élèves s'habituent à lire la doc originale en anglais !

    Le sens en anglais de la phrase est, ici, très clair et compréhensible (enfin pour moi).

    Toute chose peut être définie de façon positive ou négative.
    Mais cela n'est pas toujours précis en français alors que cela l'est en terme informatique.

    "Ce cheval est blanc" n'est pas tout à fait équivalent à "ce cheval n'est pas noir".
    Mais s'il n'y a que 2 couleurs, c'est exactement équivalent.

    On dit souvent "si tu ne sais pas à quoi sert une option, c'est que tu n'en as pas besoin".
    C'est exact pour ceux qui ont une expertise, cela l'est moins pour les débutants.

    Vous l'êtes, notamment parce que vous ne semblez pas comprendre le caractère absolument primordial de savoir ce qu'on veut avant de faire.
    Et cela passe par des mots : "ce qui conçoit bien s'énonce clairement … et les mots pour le dire viennent aisément" (Nicolas BOILEAU) !
    En refusant d'exposer votre problème, vous montrez que vous ne souhaiter pas vraiment avoir la réponse ...

    Une autre citation (que je répète souvent) : "il n'y a pas de vents favorables pour celui qui ne sait pas où il va" (Senèque) !



  • Merci pour cette magnifique réponse…

    J'ai comme l'impression que l'on ne se comprend pas ...
    Imaginons que j'expose mon problème et qu'on me répond : oui il faut que vous l’activiez. J'en serai fort aise pour ce cas.
    Imaginons encore que je rencontre cent cas vais-je devoir poser cent fois la question ?

    Je recherche tous simplement une réponse du genre : cette option produit tel effet sur telle chose si vous l'activez et/ou tel autre effet sur telle chose si vous ne l'activez pas

    Avec une réponse comme celle ci je pourrai quel que soit le cas me dire oui je dois l'activer non je ne dois pas l'activer.



  • Cette option est pourtant claire, nous semble t il. Elle ajoute un opérateur de négation dans la règle, pour les adresses sources, et, ou pour les adresses destinations. Ainsi la règle :
    TCP Source Lan * Destination ipadd 80
    qui autorise à n'importe quelle machine de Lan l'accès via TCP  à la machine ipadd port 80 (permet l'accès à internet en http) devient une règle qui autorise, si NOT est coché pour destination, l'accès vers any sauf ipadd.

    Pourtant :

    [ …] ma règle de redirection des paquets de mon interface optionnelle vers le LAN ne fonctionne pas et empêche l'accès à internet [ … ]

    cette affirmation me laisse fort dubitatif et pour tout dire me fait craindre une configuration tordue. Certes je n'ai pas tout vu et j'en apprend tous les jours, et justement je suis curieux. Nous aussi nous aimerions comprendre.



  • Bonjour,

    Et merci à CCNET pour cette précieuse réponse donc si j'ai bien compris :

    si NOT est coché, j'autorise l'accès à tout sauf à la ressource ou la case NOT est coché
    si NOT n'est pas coché, j'autorise l'accès qu'à la ressource

    puisque vous me la demandez, voici donc la configuration :

    j'ai installé un PfSense,  pour mettre en place un portail captif, comprenant trois interfaces :

    • une interface LAN  –> ne servira qu'à l'administration de PfSense via l'interface web (192.168.1.0/24)
    • une interface WAN --> derrière laquelle se trouve un modem-routeur donnant accès à internet (192.168.2.0/24)
    • une interface OPT1 --> sur laquelle s'appliquera le portail captif, relié à un switch sur lequel est branché une trentaine de PC en libre service (192.168.0.0/24)

    Pour que l'interface puisse accéder à internet après authentification, j'ai créé une règle dans le firewall :

    action : PASS
    interface : OPT1
    protocole : ANY
    source : OPT1 subnet
    destination : LAN subnet, NOT : coché
    passerelle : par défaut



  • Voyez que NOT est bien la signification de "Use this option to invert the sense of the match" !
    C'est pas si difficile l'anglais !

    Maintenant la question est

    Compte tenu que Block = Not Pass,

    la règle décrite est-elle équivalente à

    action : BLOCK
    interface : OPT1
    protocole : ANY
    source : OPT1 subnet
    destination : LAN subnet, NOT : décoché
    passerelle : par défaut

    Si vous répondez correctement à cette question, c'est que vous aurez réellement compris l'intérêt de cette option …
    (Bien sur, il s'agit de répondre OUI ou NON mais surtout en disant POURQUOI !)

    Question subsidiaire : est-il raisonnable de permettre ANY à des micros libre service ?



  • Bonjour,

    Voyons voir si j'ai bien compris :

    Réponse NON (c'est mon dernier mot Jean Pierre         bon OK -1 sur la note finale)

    BLOCK empêche tout paquet de passer

    NOT autorise ou interdit une direction aux paquets

    Autrement j'avais compris en traduction littéral le sens de la phrase. Je l'avais laissé en anglais pour que l'on voie exactement à quoi je faisait référence.

    quant à la question subsidiaire, les postes sont sur un réseau séparé et à chaque fermeture de session ou redémarrage, toute les modifications sont supprimées. Les personnes qui accèdent à ces postes sont des étudiants étrangers qui cherchent surtout à rentrer en contact avec les leurs ou à consulter leur profil facebook. Ceci dit il est vrai que cela ne nous met pas à l'abri d'un abruti qui voudrait s'adonner au hacking ou au téléchargement illégale massif… :'(



  • Concernant la réponse subsidiaire, il est clair que ANY est à proscrire quelque soit les bonnes dispositions internes mises en place.
    Il est ESSENTIEL de définir ce qui est autorisé.

    Concernant la réponse (de vérification de compréhension), je mets 0 car vous n'avez pas du tout compris !
    Enfin 0 parce qu'il n'y a pas l'explication qui devrait être là …

    "Pass + not LAN" n'est pas du tout équivalent  à "Block + LAN"
    La deuxième est une règle explicite de blocage : impossible d'accéder à LAN.
    La première est une règle d'autorisation : accès sauf à LAN. C'est à dire accès à tout sauf à LAN.
    En fait, pour avoir un équivalent à "Pass + not LAN", il faut 2 règles (et dans l'ordre) : "Block + LAN" puis "Pass + Any".
    La difficulté c'est de disposer de "LAN subnet", "OPT1 subnet" mais pas d'un "trafic vers WAN" (WAN subnet ?).
    "Any" couvrant tout, il faut soit utiliser "not" soit faire précéder la règle "Any" des "Block" nécessaires.

    Et encore c'est facile quand il n'y a que 2 interfaces !
    Mais quand il y a 3, 4, .. interfaces, c'est plus difficile.

    Question : faut-il préférer (pour le trafic à partir d'OPT1) :

    "Pass + not LAN" puis "Pass + not OPT2"
    à
    "Block + LAN" puis "Block + OPT2" puis "Pass + Any"

    (2 lignes serait-elles plus élégantes que 3 ?)



  • Bonsoir,

    Si

    Il est ESSENTIEL de définir ce qui est autorisé.

    Alors "Block + LAN" puis "Block + OPT2" puis "Pass + Any" est préférable à "Pass + not LAN" puis "Pass + not OPT2"

    Même si 2 lignes seraient plus élégantes que 3.

    Autrement 1 : j'ai moins bien compris cette phrase :

    La difficulté c'est de disposer de "LAN subnet", "OPT1 subnet" mais pas d'un "trafic vers WAN" (WAN subnet ?).

    Autrement 2 : j'ai modifié mes règles de pare feu comme suit :
      Initialement : action : PASS
                          interface : OPT1
                          protocole : ANY
                          source : OPT1 subnet
                          destination : LAN subnet, NOT : coché
                          passerelle : par défaut

    Actuellement : 1ère règle :  action : BLOCK
                                               interface : OPT1
                                               protocole : ANY
                                               source : OPT1 subnet
                                               destination : LAN subnet, NOT : décoché
                                               passerelle : par défaut

    2nd règle :   action : PASS
                                               interface : OPT1
                                               protocole : TCP/UDP
                                               source : OPT1 subnet
                                               destination : ANY, NOT : décoché
                                               passerelle : par défaut

    En tout cas merci pour ces explications, exercices et ce temps que vous me consacrez



  • Si j'ai posé cette question, c'est surtout parce que la méthode en 2 lignes NE FONCTIONNE PAS !

    En effet, avec une règle, pour OPT1, "Pass + not LAN", le trafic OPT1 -> OPT2 est déjà permis !
    Inutile d'essayer de l'interdire ensuite ("Pass + not OPT2") puisque la première règle l'a autorisé !

    Donc pour un trafic OPT1 vers any mais avec interdiction vers LAN et OPT2, il FAUT bien 3 règles :
    interdiction vers LAN, interdiction vers OPT2, puis autoriser vers any.

    Logique … mais il faut y penser !
    NB : j'ai une entreprise avec ce type de règles : un firewall à 6 interfaces dont une connecté à 2 AP : accès à Internet pour les clients de passage mais aucun accès au LAN, DMZ, ...



  • En effet, ne pas oublier que :

    1. lLes règles sont évalués de haut en bas.

    2. La première qui est vérifiée (que ce soir Pass ou Block) est appliquée et les suivantes ne sont pas évalués.

    3. Les règles de nat sont appliquées avant les règles de filtrage.



  • Bonsoir,

    Ok et merci pour tout ces conseils


Log in to reply