Probleme de regles cote LAN



  • bonjour,

    J'ai deux pfsense 1.2.3 en cluster. Cote LAN, l'un est en 192.168.1.2, l'autre en 192.168.1.3. J'ai une VIP 192.168.1.1 qui est renseignee comme DNS et comme gateway pour les postes clients cote LAN. Le dns forwarder est active sur les pfsense.

    En installant un nouveau poste en 192.168.1.xx (masque 255.255.255.0), j'ai commence par mettre une regle :
    block any ip_du_nouveau_poste * * * avec les logs actives pour, par la suite, n'ouvrir que le strict necessaire.

    En faisant une resolution de nom sur ce nouveau poste, ca ne fonctionne pas et dans mes logs j'ai trouve des paquets bloques de mon nouveau poste vers la vip 192.168.1.1 en udp port 53.

    Je ne comprends pas pourquoi ces paquets sont bloques puisqu'ils sont sur la meme interface LAN (machine 192.168.1.x vers 192.168.1.1).

    Est-ce que c'est lie au fait qu'il y ait une vip?

    Est-ce une regle implicite de pfsense qui se considere "en amont" de l'interface LAN pour les services qu'il delivre?

    Merci de vos lumieres, je suis completement sec sur ce sujet!



  • Le filtrage est bien réalisé sur le trafic entrant sur l'interface (ici une vip en 192.168.1.1) et provenant du réseau 192.168.1.0. Le service fourni par Pfsense est de "l'autre côté" de l'interface. Si vous voulez utiliser ce service il faut autoriser udp/53 vers 192.168.1.1 depuis le réseau, ou un hôte, 192.168.1.0.



  • Le service fourni par Pfsense est de "l'autre côté" de l'interface.

    Formule comme cela, c'est tres clair pour moi maintenant.

    Je vais donc autoriser tous les services delivres sur le LAN par pfsense (dns, dhcp, ntp, etc…) depuis Lan net vers la vip 192.168.1.1.

    Merci pour cette reponse rapide.


Locked