Probleme regle tout simple ….. (résolu)



  • Bonjour à tous.

    Je suis en train de mettre en place un pfsense et j'ai juste une question toute simple sur les règle.

    J'ai trois zones LAN WAN et WIFI

    Je désire autoriser le ping que du LAN vers WAN. J'ai donc crée ma régle

    ICMP  source LAN Net mais je met quoi en destination ?????

    Si je mets * alors je peux pinguer ma zone WIFI. J'ai pas trouver de WAN Net dans la liste de la destination ???

    Vous voyez c'est tout simple mais j'arrive pas à trouver ….

    D'avance merci pour l'aide



  • -créer un alias de type network de ton Wifi,
    -creer un rule interdisant ICMP sur cette alias,
    -creer un rule autorisant ICMP sur Any.

    Les rules doive être lu par pfSense dans l'ordre donner.



  • Merci pour la réponse mais je suis un peu étonné.

    Je travaillais avant avec d'autre firewall (shorewall, iptable) et les règles se faisaient simplement (LAN vers WAN) pas besoin de créer de règle de block.

    Il n'existe pas d'autre moyen que de passer par une règle de block ?????



  • C'est qu'il n'y a pas de choix !

    Autant il est facile de définir LAN, OPT1, OPTn, ou WIFI, autant il n'existe que "any" pour désigner tout … mais cela couvre aussi le reste.

    Donc, on exclut, d'abord, les zones que l'on ne veut pas, puis, on autorise, ensuite, vers any.

    Cela reste très simple grâce aux alias et à leur puissance !
    Je préconise de créer un alias "TOUT" qui regroupe toutes les zones (de LAN à DMZ en passant par WIFI).
    Le fait d'interdire de LAN vers ce "TOUT" ne pose aucun problème puisque de LAN à LAN ... le flux ne passe pas dans le firewall.



  • Il faut donc que pour chaque règle d'ouverture à destination d'une zone précise je commence par bloquer puis par ouvrir à tous ???

    Pour mon ping par exemple :

    1. Je bloque le ping du LAN vers la zone WIFI
    2. J'autorise le ping du LAN vers any

    En fait je me sers du sens de lecture de Pfsense et de la première règle qui match.

    C'est pas un poil bizarre ???



  • Soit vous n'avez pas bien lu ce que nous écrivons Titofe et moi, soit vous n'en comprenez pas le sens !

    Pourtant ce que nous écrivons est simple, c'est un "poil bizarre" !

    Any <> WAN, c'est clair parce que Any=WAN+LAN+WIFI+DMZ+…
    Donc WAN=-(LAN+WIFI+DMZ+...)+Any

    Pour autoriser le ping vers WAN et pas ailleurs, c'est :

    • interdit pour LAN+WIFI+DMZ+...,
    • autorisé pour Any.

    Soit : - (LAN+WIFI+DMZ+...) + Any = WAN



  • C'est bien ce que je disais.

    Pour autoriser le ping que vers le WAN

    1. Je bloque le ping vers mes autres zones
    2. J'ouvre le ping vers any.

    Je trouvais simplement un poil bizarre que la zone WAN ne soit pas gérée comme les autres.

    Je suis donc obligé d'utiliser une règle de block puis ensuite une règle autoriser vers tout (pour la zone WAN bien sur).

    C'est cette démarche la que je trouve un poil bizarre toujours mais merci quand même de votre précision…



  • Puisque WAN<>Any, on est bien obligé de faire 2 règles : la première pour interdire LAN, DMZ, WIFI, …, la deuxième pour autoriser Any

    Ce n'est pas compliqué, mais c'est la logique qu'il faut comprendre.

    Dans le cas, l'exemple n'est pas probant ... parce que le ping devrait être autorisé vers toutes les interfaces : la sécurité par l'obscurité n'est pas une bonne sécurité !



  • parce que le ping devrait être autorisé vers toutes les interfaces : la sécurité par l'obscurité n'est pas une bonne sécurité !

    Désolé mais je ne demandais pas un avis sur mes règles ….

    Merci pour les réponses et pour m'avoir permis de comprendre la logique de pfsense.



  • @strategaire:

    parce que le ping devrait être autorisé vers toutes les interfaces : la sécurité par l'obscurité n'est pas une bonne sécurité !

    Désolé mais je ne demandais pas un avis sur mes règles ….

    Pourquoi le prendre comme tel!

    jdh en plus de vous avoir répondu vous à donnez son avis, cela ne vous coûte rien qu'il vous plaise ou non, de plus votre intervention à ce sujet n'apporte rien, sachez que vous n'êtes pas le seul à lire ce post et qu'il peux par la suite apporté beaucoup à d'autre membres ou simple lecteur de ce forum.



  • Mais c'est pour cela que j'ai remercier pour les explications et la démarche dans pfsense.

    Maintenant, et ceci en faisant du hors sujet, je continue de trouver bizarre le comportement de pfsense quand il s'agit d'ouvrir une règle d'une zone que vers le LAN. Les commentaires et avis sur mes règles qui ne sont la qu'à titre d'exemple (j'ai choisi le ping car c'est le plus commun mais j'aurais pu dire un autre port) ne m'intéresse pas et je doute qu'elles puissent intéresser quelqu'un ici. De plus avoir un avis aussi trancher sans connaitre le pourquoi du comment, l'historique ou les demandes est un poil bizarre.

    Je répète mes remerciements pour la réponse à ma question. Je laisse le droit de répondre pour ma part je clos ici le débat.

    Merci



  • @strategaire:

    Mais c'est pour cela que j'ai remercier pour les explications et la démarche dans pfsense.

    Maintenant, et ceci en faisant du hors sujet, je continue de trouver bizarre le comportement de pfsense quand il s'agit d'ouvrir une règle d'une zone que vers le LAN. Les commentaires et avis sur mes règles qui ne sont la qu'à titre d'exemple (j'ai choisi le ping car c'est le plus commun mais j'aurais pu dire un autre port) ne m'intéresse pas et je doute qu'elles puissent intéresser quelqu'un ici. De plus avoir un avis aussi trancher sans connaitre le pourquoi du comment, l'historique ou les demandes est un poil bizarre.

    Je répète mes remerciements pour la réponse à ma question. Je laisse le droit de répondre pour ma part je clos ici le débat.

    Merci

    Ce comportement (ou plutôt politique) que vous trouvez bizarre se retrouve dans beaucoup de firewall. Alors, il est possible que ce comportement vous "choque" mais c'est comme ça. Par contre, vous pouvez aussi utiliser le "not" dans les règles de filtrage pour indiquer que vous permettez le ping vers "pas le réseau WIFI" (en d'autres mots, vers tout sauf le range WIFI).

    Quant au débat "hors sujet", je pense que le but d'un forum est d'échanger les expériences de chacun. Or donc, votre question peut intéresser d'autres personnes et donc, les avis d'autre utilisateurs à ce propos peuvent aussi intéresser…

    My 2 cents.


Log in to reply