NAt entre deux sous réseaux (ou creer des regles de pare-feu)



  • Bonjour,

    Je souhaite faire passer du traffic entre LAN et OPT1 , mais juuste entre un pc sur lan et le réseaux OPT1 :

    J'ai un serveur Kaspersky SC9 sur LAN et j'ai besoin que mes clients de OPT1 puissent se connecter dessus, sur les ports 13000 et 14000 TCp.

    Pour info :

    LAN : 10.111.2.0/24
    OPT : 10.111.1.0/24

    Pfsense est en 10.111.2.1 et 10.111.1.1 sur ces réseaux, qui ne peuvent se parler entre eux, car pour opt1 j'ai une regle comme ça :

    
    ID 	Proto 	Source 	Port 	Destination 	Port 	Gateway 	Queue 	Schedule 	Description 	
    
    	* 	        ATELIER net  * 	      * 	  * 	   GW1       none 	  
    

    et GW1 est la freebox, sur interface WAN.

    Voila j'espere avoir été clair, si vous avez des questions n'hesitez pas,

    Merci d'avances,

    Nicolas



  • Ah NON, ce n'est pas clair !

    Il est ESSENTIEL de présenter le problème dans son INTEGRALITE et avec efficacité :

    version de pfSense :
    schéma :
    réseau / adressage : WAN, LAN, OPT1
    règles actuelles : NAT, LAN, …
    ...

    Plus vous serait complet, plus rapide est la compréhension pour les autres, plus vite les pistes seront là ...

    Je ne vois pas ce que du NAT viendrait faire entre réseaux internes !
    Je ne vois pas du tout ce que vient faire la gateway de WAN entre réseaux internes !



  • Merci de ta réponse

    Bon alors, je me lance

    Voila le schéma réseaux de l'infra :


    ![](<br /><br />La freebox à pour )
    Donc pour le moment j'ai du NAT vers 10.111.2.251 sur les ports 13000 et 14000 en TCP/UDP (donc depuis internet j'accès bien au serveur SC9)

    J'ai besoin de faire la meme chose depuis OPT1 (Nous préparons les portables en atelier, et on doit "voir" le portable depuis le serveur) sauf que pour le moment LAN e OPT1 ne communiquent pas (ce qui est le fonctionnement logique de pfsense je crois)

    Voila, désolé s'il manque encore des choses, dites le moi!

    Merci d'avances,

    Nicolas" />



  • Bon c'est un peu mieux … mais il faut continuer à être précis ...

    La question du NAT vers le serveur en DMZ et la question de l'accès depuis LAN vers le même serveur, n'ont rien en commun.

    Par défaut, il y a une règle dans l'onglet LAN qui autorise tout vers tout.
    Le mieux est de la désactiver et créer les règles vraiment utiles avant.

    Là, si cette règle par défaut n'est plus là, il faut créer la règle utile :

    • dans l'onglet LAN (puisque c'est de là que les paquets entrent dans le firewall),
    • proto : (selon)
    • source : LAN subnet
    • destination : (ip du srv en DMZ)
    • port : (selon)

    Cela ne doit pas demander longtemps ...
    (Et il n'y a aucun NAT à faire entre réseaux internes).



  • Alors, NAT vers serveur en DMZ –> On oublie, enfin les clients internet contactent très bien le serveur qui n'est pas en dmz, mais sur le réseau administratif.

    Je n'ai pas compris la seconde partie de ton post...

    Par défaut, il y a une règle dans l'onglet LAN qui autorise tout vers tout.
    Le mieux est de la désactiver et créer les règles vraiment utiles avant.

    Ca c'est bon, je vois cette regle, si je la coupe, j'ai plus acces au net, donc je dois pouvoir la remplacer par autre chose?

    EN sachant que mes postes de LAN (y compris les serveurs) ont juste besoin d'accéder au WAN.
    SAUF bien entendu 10.111.2.251 (Serveur Kaspersky) qui doit pouvoir acceder à OPT1.

    Là, si cette règle par défaut n'est plus là, il faut créer la règle utile :

    • dans l'onglet LAN (puisque c'est de là que les paquets entrent dans le firewall),
    • proto : (selon)
    • source : LAN subnet
    • destination : (ip du srv en DMZ)
    • port : (selon)

    Cela ne doit pas demander longtemps …
    (Et il n'y a aucun NAT à faire entre réseaux internes).

    Je n'ai pas de DMZ (enfin pas au sens de dédier une patte du pfsense a la dmz), je fais juste du nat de wan vers lan pour les services dont j'ai besoin.

    Euh voilà, je sais bien que c'est pas simple, mais j'ai pas eu le choix de l'archi réseaux  ???



  • Bon évidemment j'ai mis DMZ au lieu d'OPT1 : vieux réflexe qui consiste à nommer chat un felis silvestris catus, c'est tellement plus parlant qu'OPT1.

    Avec pfSense, il faut comprendre que les règles sont classées par onglet d'interface pour REGROUPER les flux arrivant par cette interface !

    Donc un flux entre LAN et OPT1 appelle une règle dans l'onglet LAN !

    Si la règle par défaut (depuis LAN, tout protocole vers tous) est active, je ne vois pas pourquoi les PC ne voient pas le serveur !
    Sauf à une mauvaise configuration du serveur (un mauvais masque par exemple) …

    Vérifier chaque élément, tester par un bête ping, un bête tracert, ...



  • Bon je commence mes investigations ;) en attendant, voici le NAT et les regles de mes interfaces!

    NAT :

    Interfaces :





  • L'image 4 est le Firewall > Nat > onglet Port Forward.
    => il est incompréhensible que cette règle n'ait pas de Destination : c'est sans aucun doute WAN address qui doit être indiquée

    L'image 3 est le Firewall > Rules > onglet WAN, c'est une règle résultante de la la règle NAT.

    => A noter qu'il serait judicieux de créer des alias :

    • host : srvKaspersky = ip du serveur
    • port : portKaspersky = 13000 + 14000
      => l'intérêt est de créer une seule règle NAT (et une seule règle WAN).

    Les images 1 et 2 sont des règles par défaut pour les 2 interfaces ADMINISTRATIF et ATELIER.
    Avec de telles règles et surtout la 1, la raison d'un non accès depuis ATELIER est hors du firewall !

    Vous ne parlez pas d'adressage (ou de bridge), cela ne vous semble pas une information utile (et vous auriez tort !).



  • Vous ne parlez pas d'adressage (ou de bridge), cela ne vous semble pas une information utile (et vous auriez tort !).

    Je suis désolé, je commence à avoir les yeux carrés  :P , je n'avance pas, et je crois comprendre que le problème ne vient pas de pfsense :

    –>depuis opt1 je ping les machines du lan et inversement. Sauf que SrvKaspersky qui est sur LAN, est injoignable depuis opt1 et c'est la SEULE MACHINE "inpinguable" depuis opt1 ...........


Log in to reply