[Résolu] Précision sur une option du firewall

xb70walkyrie

Merci pour cette magnifique réponse…

J'ai comme l'impression que l'on ne se comprend pas ...
Imaginons que j'expose mon problème et qu'on me répond : oui il faut que vous l’activiez. J'en serai fort aise pour ce cas.
Imaginons encore que je rencontre cent cas vais-je devoir poser cent fois la question ?

Je recherche tous simplement une réponse du genre : cette option produit tel effet sur telle chose si vous l'activez et/ou tel autre effet sur telle chose si vous ne l'activez pas

Avec une réponse comme celle ci je pourrai quel que soit le cas me dire oui je dois l'activer non je ne dois pas l'activer.

ccnet

Cette option est pourtant claire, nous semble t il. Elle ajoute un opérateur de négation dans la règle, pour les adresses sources, et, ou pour les adresses destinations. Ainsi la règle :
TCP Source Lan * Destination ipadd 80
qui autorise à n'importe quelle machine de Lan l'accès via TCP  à la machine ipadd port 80 (permet l'accès à internet en http) devient une règle qui autorise, si NOT est coché pour destination, l'accès vers any sauf ipadd.

Pourtant :

[ …] ma règle de redirection des paquets de mon interface optionnelle vers le LAN ne fonctionne pas et empêche l'accès à internet [ … ]

cette affirmation me laisse fort dubitatif et pour tout dire me fait craindre une configuration tordue. Certes je n'ai pas tout vu et j'en apprend tous les jours, et justement je suis curieux. Nous aussi nous aimerions comprendre.

xb70walkyrie

Bonjour,

Et merci à CCNET pour cette précieuse réponse donc si j'ai bien compris :

si NOT est coché, j'autorise l'accès à tout sauf à la ressource ou la case NOT est coché
si NOT n'est pas coché, j'autorise l'accès qu'à la ressource

puisque vous me la demandez, voici donc la configuration :

j'ai installé un PfSense,  pour mettre en place un portail captif, comprenant trois interfaces :

• une interface LAN  –> ne servira qu'à l'administration de PfSense via l'interface web (192.168.1.0/24)
• une interface WAN --> derrière laquelle se trouve un modem-routeur donnant accès à internet (192.168.2.0/24)
• une interface OPT1 --> sur laquelle s'appliquera le portail captif, relié à un switch sur lequel est branché une trentaine de PC en libre service (192.168.0.0/24)

Pour que l'interface puisse accéder à internet après authentification, j'ai créé une règle dans le firewall :

action : PASS
interface : OPT1
protocole : ANY
source : OPT1 subnet
destination : LAN subnet, NOT : coché
passerelle : par défaut

jdh

Voyez que NOT est bien la signification de "Use this option to invert the sense of the match" !
C'est pas si difficile l'anglais !

Maintenant la question est

Compte tenu que Block = Not Pass,

la règle décrite est-elle équivalente à

action : BLOCK
interface : OPT1
protocole : ANY
source : OPT1 subnet
destination : LAN subnet, NOT : décoché
passerelle : par défaut

Si vous répondez correctement à cette question, c'est que vous aurez réellement compris l'intérêt de cette option …
(Bien sur, il s'agit de répondre OUI ou NON mais surtout en disant POURQUOI !)

Question subsidiaire : est-il raisonnable de permettre ANY à des micros libre service ?

xb70walkyrie

Bonjour,

Voyons voir si j'ai bien compris :

Réponse NON (c'est mon dernier mot Jean Pierre         bon OK -1 sur la note finale)

BLOCK empêche tout paquet de passer

NOT autorise ou interdit une direction aux paquets

Autrement j'avais compris en traduction littéral le sens de la phrase. Je l'avais laissé en anglais pour que l'on voie exactement à quoi je faisait référence.

quant à la question subsidiaire, les postes sont sur un réseau séparé et à chaque fermeture de session ou redémarrage, toute les modifications sont supprimées. Les personnes qui accèdent à ces postes sont des étudiants étrangers qui cherchent surtout à rentrer en contact avec les leurs ou à consulter leur profil facebook. Ceci dit il est vrai que cela ne nous met pas à l'abri d'un abruti qui voudrait s'adonner au hacking ou au téléchargement illégale massif… :'(

jdh

Concernant la réponse subsidiaire, il est clair que ANY est à proscrire quelque soit les bonnes dispositions internes mises en place.
Il est ESSENTIEL de définir ce qui est autorisé.

Concernant la réponse (de vérification de compréhension), je mets 0 car vous n'avez pas du tout compris !
Enfin 0 parce qu'il n'y a pas l'explication qui devrait être là …

"Pass + not LAN" n'est pas du tout équivalent  à "Block + LAN"
La deuxième est une règle explicite de blocage : impossible d'accéder à LAN.
La première est une règle d'autorisation : accès sauf à LAN. C'est à dire accès à tout sauf à LAN.
En fait, pour avoir un équivalent à "Pass + not LAN", il faut 2 règles (et dans l'ordre) : "Block + LAN" puis "Pass + Any".
La difficulté c'est de disposer de "LAN subnet", "OPT1 subnet" mais pas d'un "trafic vers WAN" (WAN subnet ?).
"Any" couvrant tout, il faut soit utiliser "not" soit faire précéder la règle "Any" des "Block" nécessaires.

Et encore c'est facile quand il n'y a que 2 interfaces !
Mais quand il y a 3, 4, .. interfaces, c'est plus difficile.

Question : faut-il préférer (pour le trafic à partir d'OPT1) :

"Pass + not LAN" puis "Pass + not OPT2"
à
"Block + LAN" puis "Block + OPT2" puis "Pass + Any"

(2 lignes serait-elles plus élégantes que 3 ?)

xb70walkyrie

Bonsoir,

Si

Il est ESSENTIEL de définir ce qui est autorisé.

Alors "Block + LAN" puis "Block + OPT2" puis "Pass + Any" est préférable à "Pass + not LAN" puis "Pass + not OPT2"

Même si 2 lignes seraient plus élégantes que 3.

Autrement 1 : j'ai moins bien compris cette phrase :

La difficulté c'est de disposer de "LAN subnet", "OPT1 subnet" mais pas d'un "trafic vers WAN" (WAN subnet ?).

Autrement 2 : j'ai modifié mes règles de pare feu comme suit :
  Initialement : action : PASS
                      interface : OPT1
                      protocole : ANY
                      source : OPT1 subnet
                      destination : LAN subnet, NOT : coché
                      passerelle : par défaut

Actuellement : 1ère règle :  action : BLOCK
                                           interface : OPT1
                                           protocole : ANY
                                           source : OPT1 subnet
                                           destination : LAN subnet, NOT : décoché
                                           passerelle : par défaut

2nd règle :   action : PASS
                                           interface : OPT1
                                           protocole : TCP/UDP
                                           source : OPT1 subnet
                                           destination : ANY, NOT : décoché
                                           passerelle : par défaut

En tout cas merci pour ces explications, exercices et ce temps que vous me consacrez

jdh

Si j'ai posé cette question, c'est surtout parce que la méthode en 2 lignes NE FONCTIONNE PAS !

En effet, avec une règle, pour OPT1, "Pass + not LAN", le trafic OPT1 -> OPT2 est déjà permis !
Inutile d'essayer de l'interdire ensuite ("Pass + not OPT2") puisque la première règle l'a autorisé !

Donc pour un trafic OPT1 vers any mais avec interdiction vers LAN et OPT2, il FAUT bien 3 règles :
interdiction vers LAN, interdiction vers OPT2, puis autoriser vers any.

Logique … mais il faut y penser !
NB : j'ai une entreprise avec ce type de règles : un firewall à 6 interfaces dont une connecté à 2 AP : accès à Internet pour les clients de passage mais aucun accès au LAN, DMZ, ...

ccnet

En effet, ne pas oublier que :

1. lLes règles sont évalués de haut en bas.

2. La première qui est vérifiée (que ce soir Pass ou Block) est appliquée et les suivantes ne sont pas évalués.

3. Les règles de nat sont appliquées avant les règles de filtrage.

xb70walkyrie

Bonsoir,

Ok et merci pour tout ces conseils