Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Sortir par une interface wan ou une autre selon l'adresse lan d'une machine

    Scheduled Pinned Locked Moved Français
    10 Posts 5 Posters 3.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tux3132
      last edited by

      Bonjour à tous,

      J'ai un PFSense 2.0 avec 2 interfaces WAN (1 Oléane + 1 Aster) et une interface LAN.

      Sur le LAN j'ai des utilisateurs standards et des étudiants derrière un proxy. Le proxy a donc 2 interfaces : une sur le LAN et une autre pour le réseau des étudiants.

      Je souhaite que le trafic des étudiants passe par l'interface WAN Aster.

      J'ai regardé le NAT mais je ne vois pas vraiment comment faire une règle qui redirige tout vers mon interface Aster. Est-ce que la solution du 1:1 serait la bonne piste ou encore le outbond ?

      Je suis un peu dans le brouillard, merci d'avance de vos avis.

      Bon travail à tous.

      Bernard

      1 Reply Last reply Reply Quote 0
      • X
        xps43
        last edited by

        si j'ai bien compris il te suffirait de rediriger tout se qui arrive de ton réseau étudiant sur ta carte wan aster et voila.

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Dans le NAT, il y a 2 choses :

          • le Port Forward : redirection d'un flux entrant arrivé sur le firewall vers un serveur (en DMZ normalement).
          • le 1:1 : astuce qui suit un Port Forward : le flux sortant (et entrant) vers un serveur utilise la même ip externe

          Je ne vois donc pas le rapport avec "le flux sortant doit passer par" !

          Il y a un mot anglais : "gateway" = passerelle = sortie
          Au niveau d'une "rule", on peut définir une "gateway" : un flux sort par une sortie désignée.
          Ca c'est approprié au problème !

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            A vous lire je ne vois pas non plus le lien entre le "flux sortant doit passer par" et par ailleurs le nat.
            Comme Jdh la solution se trouve pour moi dans l'identification, au niveau des règles, de la gateway à employer. Ne pas confondre nat et routage ….

            1 Reply Last reply Reply Quote 0
            • T
              tux3132
              last edited by

              Bonjour à tous et merci de votre aide.

              OK je vais faire une règle qui devrait ressembler à ceci

              • protocols : any
              • source : IP de mon proxy
              • destination : any
              • gateway : IP Aster

              Je teste cet AM

              Merci à tous et bon travail.

              Bernard

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                C'est l'idée, sauf que je ne sus pas certain que je mettrai "any" comme protocole …

                1 Reply Last reply Reply Quote 0
                • T
                  tux3132
                  last edited by

                  J'imagine qu'en matière de sécurité il y a mieux que ça mais si je restreint la liste des protocoles autorisés je vais, un jour ou l'autre, tomber sur un(e) étudiant(e) qui va justement avoir besoin de celui qui est bloqué !!!

                  Bernard

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    Oui et c'est normal, comme il est normal que vous ayez une politique de sécurité à minima et que tout ne soit pas autorisé même si vos étudiants pensent que tel ou tel protocole devrait être autorisé.
                    Par ailleurs dans la mesure où tous les protocoles (loin s'en faut) ne passeront pas par le proxy, vous ne pouvez utiliser l'ip de celui comme adresse source. En fait vous devriez avoir deux lan distincts pour que cela fonctionne correctement. la solution envisagée risque d'être peu efficace. A moins que vous ayez omis certains points dans votre présentation initiale du problème.

                    1 Reply Last reply Reply Quote 0
                    • T
                      tux3132
                      last edited by

                      Bonjour à tous et merci de vos avis,
                      Je vais, comme d'habitude suivre vos conseils et isoler le réseau des étudiants sur un lan dédié.
                      Bon travail à tous.

                      Bernard

                      1 Reply Last reply Reply Quote 0
                      • J
                        Jaguy
                        last edited by

                        Salut.

                        ccnet et jdh ont tout bon.
                        C'est à dire:

                        • C'est une passerelle différente qu'il faut utiliser … ce qui amène à
                        • Un LAN par "réseau" à gérer (utilisateurs std & étudiants)... donc 2

                        Au total, 2 WAN et 2 LAN

                        Ca va simplifier la gestion: règles firewall, proxy, log ...

                        Bref, que du bonheur après  ;)

                        Ensuite, si le courage et l'envie vous dit:
                        1. Associer les 2 WAN pour un load balancing et redondance de connexion
                        2. Limiter la bande passante sur les 2 LAN pour garantir un surf correct des 2 parties
                        (Je dis ça mais je ne me suis pas encore attaqué à cette option ... j'ai pas 2 WAN ... zut  :'()

                        Voilà, bonne continuation

                        PS: petite précision pour le 1:1
                        C'est bien plus qu'un simple "port foward". En fait, c'est comme si l'ordinateur destinataire du NAT 1:1 était lui même connecté à Internet.
                        Autrement dit, TOUT le flux Internet lui arrive dessus (et par tous les ports). Donc, à utiliser avec des pincettes et surtout, savoir ce que l'on fait…

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.