Tout n'est pas bloqué par défaut ?



  • Hello,

    J'avais plusieurs fois lu que tout le trafic est bloqué par défaut sur pfsense, dans les 2 sens.
    J'ai configuré un LAN + 2 WAN, je configure un PC pour utilisé pfsense comme routeur et commencer la création de règles du firewall (surf, mail, etC.) et… il accède au net directement (surf, smtp, ping, par ex).
    Ca a changé sur la 2 final ?

    Je n'ai pas touché aux règles. J'ai juste décoché ces 2 options (puis remises) :
    Block private networks
    Block bogon networks

    Ca vous parle ?
    J'ai foiré quelque chose ?



  • Bonsoir,

    Block private networks permet de bloquer les adresses ip de types locales : 192.168….., etc. C'est une sécurité.

    Block bogon networks permets de bloquer les adresses ip sources qui sont soient reservées soient non attribuées par IANA. C'est encore une sécurité.

    Un conseil, il vaut mieux les laisser.

    De mémoire rien n'est bloqué par défaut.

    Si tu veux mettre des règles, tu dois aller dans le menu firewall:rules puis tu sélectionnes l'interface sur laquelle tu souhaites mettre une règle.



  • pduv donne les bonnes explications !

    Il n'y aurait pas une règle "par défault" qui autorise "any" pour le LAN ?
    Celle ci est la seule règle créé automatiquement dans l'onglet "LAN" : on ne peut guère la rater !

    NB : dans pfSense, les règles s'écrivent selon l'interface d'arrivée sur pfSense (du paquet initial) !



  • Merci :)

    J'ai bien compris à quoi servent Block Private et Block Bogon. J'ai du les désactiver car je n'arrivais pas à pinguer la Livebox montée sur le premier WAN configuré, et pensant que c'est cette/ces règle(s) qui bloquait car adressage privé entre WAN1 et la Livebox. Elles sont remises.
    Je tenais juste à vous le signaler, pour comprendre pourquoi tout passe par défaut, alors que j'avais tout le temps lu l'inverse jusqu'ici pour pfSense (qui était montré en exemple face à IpCop qui laisse tout sortir par défaut).

    Il n'y aurait pas une règle "par défault" qui autorise "any" pour le LAN ?

    Si.

    NB : dans pfSense, les règles s'écrivent selon l'interface d'arrivée sur pfSense (du paquet initial) !

    Ok.
    Comme il n'y a aucune règle pour WAN2 (tant que je n'ai pas réactivé Block private et bogon), ça sous entend bien que pfSense bloque tout par défaut ? Où doit-on ajouter "block all" ?

    Je suis tombé sur un tuto FR hier qui expliquait les premières choses à faire, comme activer le NAT pour que les machines du LAN puissent passer à travers. Sur la 2, ce n'est donc plus nécessaire ?



  • (y'a du boulot !)

    De grâce, on oublie Ipcop !!!

    Dans Rules, il y a des onglets.
    Ces onglets rassemblent les règles pour les paquets venant PAR cette interface ! (c'est TRES différent d'iptables).
    Dans ces onglets les règles sont traités dans l'ordre (de haut en bas).

    La règle par défaut est créé automatiquement et seulement pour l'onglet LAN : il est à conseiller de la désactiver !

    Il est notable que, sans schéma, on ne peut conseiller quoi que ce soit.
    S'il y a une Livebox, c'est quelle est en routeur, et donc, WAN est dans un réseau privé, donc "block private" doit être désactivé !
    (regardez la logique simple : un élément, une conclusion, et on suit …)



  • Déjà sur Ixus je n'aimais pas le ton que tu utilises pour répondre à quasi tout le monde, et ça continue ici.

    Y'a du boulot ? Après 12 ans de job, si tu veux…

    Dans Rules, il y a des onglets.
    Ces onglets rassemblent les règles pour les paquets venant PAR cette interface ! (c'est TRES différent d'iptables).
    Dans ces onglets les règles sont traités dans l'ordre (de haut en bas).

    Oui, comportement quasi habituel, merci…

    La règle par défaut est créé automatiquement et seulement pour l'onglet LAN : il est à conseiller de la désactiver !

    Ca, je le sais.

    Il est notable que, sans schéma, on ne peut conseiller quoi que ce soit.

    La question de ce topic ne nécessite pas de shema.
    La question était simplement "est-il normal que pfSense laisse tout sortir par défaut, alors que j'avais tout le temps lu l'inverse". Ensuite, les quelques détails donnés sont pour donner une piste, car cette règle s'est peut-être ajoutée suite à la modif ou activation d'un paramètre dans un des nombreux menus.

    S'il y a une Livebox, c'est quelle est en routeur, et donc, WAN est dans un réseau privé, donc "block private" doit être désactivé !

    C'est justement le raisonnement que j'ai eu dans un autre problème et écrit un peu plus haut (je n'arrivais pas à sortir du WAN, ça venait en fait d'une NIC Intel CT non supportée).
    Tout fonctionne même avec Block Private. De toute façon, depuis 1h la Livebox a été remplacée par un "modem" ADSL en mode bridge reçu ce matin, pfSense configurée en PPPoE.

    (regardez la logique simple : un élément, une conclusion, et on suit …)

    Un peu de calme s'il te plait, tous tes interlocuteurs ne sont pas des ados qui viennent découvrir un soft, incapables d'expliquer leur soucis et sans notions.

    Donc, la réponse à ce sujet : Oui, pfSense 2 autorise par défaut le trafic sortant.
    Merci pour votre aide !



  • Que ce soit en 1.2.3 ou en 2.0, une règle "par défaut" qui autorise tout en sortie est automatiquement créée dans l'onglet LAN.

    Il n'y a rien d'autre à faire que de commencer par la désactiver ou la supprimer. Point.


Locked