Pfsense + Serveur Web derrière un Firewall
-
Quel est le rôle de pfSense dans ce schéma ?
Autrement posé, qu'apporte pfSense de plus qu'un autre firewall comme Pix ?Le besoin est ici d'avoir une DMZ.
pfSense (et Pix) sont tout à fait capable de gérer une DMZ (à partir du moment où ils sont en direct face à Internet).
Il est notable qu'une seule adresse ip publique est tout à fait suffisante (c'est d'ailleurs plus simple). -
en faite je voudrais renforcer pix (525) hors maintenance avec PfSense
le problème est comment accéder au serveur web puisqu'il est déja naté avec le pix
-
Pix et pfSense sont 2 firewalls mais ils ne sont pas vraiment en concurrence …
Un des intérêts de pfSense est de pouvoir faire du CARP (cluster ou redondance ou fail-over) très aisément et pour "pas cher".
Bref je remplacerai un pix par 2
barils depfSense en cluster : si l'un tombe en carafe, l'autre prend le relais (avec presque tous les réglages !)NB : presque = par exemple la config OpenVPN (en 1.2.2) !
NB : par hasard, j'ai un jour débranché un de mes pfsense; 3 heures plus tard, un collègue ne pouvait plus se connecter en VPN : je ne m'étais pas même aperçu de la bascule tant c'est automatique ! -
puisque le firewall pix existe déjà je n'ai pas voulu le perdre,
est il possible que je pourrais accéder à mon serveur web déja naté par le pix avec cette configuration est ce que je dois ajouter une règle ou un nat dans la partie pfsense ?
Merci -
en faite je voudrais renforcer pix (525) hors maintenance avec PfSense
Aussi illusoire qu'inutile voire dangereux.
Le pix convient on le garde.
Le pix ne convient plus on le change. Et il n'y a pas photo entre un 525 et Pfsense. -
le pix 525 qui date de plus de 5 ans ( sont out of sale out of life) donc on ne peut pas mettre ces os à jour. d'ou le besoin de le renforcer avec pfSense.
le problème est ce possible que pfsense permet d’accéder au serveur web déja naté par le pix ?
-
Cette idée de "renforcement" est une illusion, une vue de l'esprit. En terme technique on dit que c'est naze !
Donc on change le PIX puisqu'il ne convient plus. -
et pix c'est tout !!!
OK je sors.
;D
-
:D
-
Pour répondre à la question de départ (puis-je accéder à mon serveur WEB en passant au travers de mon pfSense puis de mon PIX): vous pouvez le faire…
Vous devez:
- configurer une règle de NAT 1:1 de l'IP publique utilisée pour votre serveur WEB vers un IP virtuelle du réseau entre le PIX et le pfSense.
- configurer une règle de NAT 1:1 de l'ip virtuelle vers l'IP LAN de votre serveur WEB.
- Autoriser le trafic sur les ports 80 & 443 dans les 2 firewalls.
Par contre, même s'il est plus sécuritaire (et non pas inutile ni dangereux) d'avoir 2 firewalls de marques différentes en série, je vous conseille pour vous simplifier la vie de:
- supprimer le PIX: ce produit étant abandonné, comme vous l'avez dit, il n'y a plus de mises à jour.
- ajouter une interface réseau sur votre pfSense pour créer une DMZ et connecter votre serveur WEB dedans.
Hope this helps.