Sortir par une interface wan ou une autre selon l'adresse lan d'une machine



  • Bonjour à tous,

    J'ai un PFSense 2.0 avec 2 interfaces WAN (1 Oléane + 1 Aster) et une interface LAN.

    Sur le LAN j'ai des utilisateurs standards et des étudiants derrière un proxy. Le proxy a donc 2 interfaces : une sur le LAN et une autre pour le réseau des étudiants.

    Je souhaite que le trafic des étudiants passe par l'interface WAN Aster.

    J'ai regardé le NAT mais je ne vois pas vraiment comment faire une règle qui redirige tout vers mon interface Aster. Est-ce que la solution du 1:1 serait la bonne piste ou encore le outbond ?

    Je suis un peu dans le brouillard, merci d'avance de vos avis.

    Bon travail à tous.



  • si j'ai bien compris il te suffirait de rediriger tout se qui arrive de ton réseau étudiant sur ta carte wan aster et voila.



  • Dans le NAT, il y a 2 choses :

    • le Port Forward : redirection d'un flux entrant arrivé sur le firewall vers un serveur (en DMZ normalement).
    • le 1:1 : astuce qui suit un Port Forward : le flux sortant (et entrant) vers un serveur utilise la même ip externe

    Je ne vois donc pas le rapport avec "le flux sortant doit passer par" !

    Il y a un mot anglais : "gateway" = passerelle = sortie
    Au niveau d'une "rule", on peut définir une "gateway" : un flux sort par une sortie désignée.
    Ca c'est approprié au problème !



  • A vous lire je ne vois pas non plus le lien entre le "flux sortant doit passer par" et par ailleurs le nat.
    Comme Jdh la solution se trouve pour moi dans l'identification, au niveau des règles, de la gateway à employer. Ne pas confondre nat et routage ….



  • Bonjour à tous et merci de votre aide.

    OK je vais faire une règle qui devrait ressembler à ceci

    • protocols : any
    • source : IP de mon proxy
    • destination : any
    • gateway : IP Aster

    Je teste cet AM

    Merci à tous et bon travail.



  • C'est l'idée, sauf que je ne sus pas certain que je mettrai "any" comme protocole …



  • J'imagine qu'en matière de sécurité il y a mieux que ça mais si je restreint la liste des protocoles autorisés je vais, un jour ou l'autre, tomber sur un(e) étudiant(e) qui va justement avoir besoin de celui qui est bloqué !!!



  • Oui et c'est normal, comme il est normal que vous ayez une politique de sécurité à minima et que tout ne soit pas autorisé même si vos étudiants pensent que tel ou tel protocole devrait être autorisé.
    Par ailleurs dans la mesure où tous les protocoles (loin s'en faut) ne passeront pas par le proxy, vous ne pouvez utiliser l'ip de celui comme adresse source. En fait vous devriez avoir deux lan distincts pour que cela fonctionne correctement. la solution envisagée risque d'être peu efficace. A moins que vous ayez omis certains points dans votre présentation initiale du problème.



  • Bonjour à tous et merci de vos avis,
    Je vais, comme d'habitude suivre vos conseils et isoler le réseau des étudiants sur un lan dédié.
    Bon travail à tous.



  • Salut.

    ccnet et jdh ont tout bon.
    C'est à dire:

    • C'est une passerelle différente qu'il faut utiliser … ce qui amène à
    • Un LAN par "réseau" à gérer (utilisateurs std & étudiants)... donc 2

    Au total, 2 WAN et 2 LAN

    Ca va simplifier la gestion: règles firewall, proxy, log ...

    Bref, que du bonheur après  ;)

    Ensuite, si le courage et l'envie vous dit:
    1. Associer les 2 WAN pour un load balancing et redondance de connexion
    2. Limiter la bande passante sur les 2 LAN pour garantir un surf correct des 2 parties
    (Je dis ça mais je ne me suis pas encore attaqué à cette option ... j'ai pas 2 WAN ... zut  :'()

    Voilà, bonne continuation

    PS: petite précision pour le 1:1
    C'est bien plus qu'un simple "port foward". En fait, c'est comme si l'ordinateur destinataire du NAT 1:1 était lui même connecté à Internet.
    Autrement dit, TOUT le flux Internet lui arrive dessus (et par tous les ports). Donc, à utiliser avec des pincettes et surtout, savoir ce que l'on fait…


Log in to reply