Question fonctionnelle



  • Bonjour à tous,

    Je configure actuellement un pfsense (dernière version) qui fonctionne parfaitement.
    Pour une raison particulière de sécurité, je souhaite pour publier sur une des IP (virtuel) coté LAN du firewall un serveur qui se trouve coté WAN.
    Le serveur sur le WAN est rendue inaccessible via une régle de firewall pour le LAN.
    Je souhaite pouvoir le rendre accessible sur l'IP VIRTUEL, comme si l'IP virtuel etait la réel IP sur serveur.

    LAN -> LAN INTERFACE FW -> WAN INTERFACE FW -> WAN (sauf serveur)
    LAN -> VIRTUAL IP:any ->  WAN INTERFACE -> SERVEUR:any (uniquement ce serveur sans visibilité de l'IP Public)

    Ce fonctionnement ressemble très fortement à de la NAT de destination. Cependant, le sens est inversé (LAN -> WAN au lieu WAN -> LAN).
    Le fonctionnement de base (accès à Internet) doit être maintenu.

    Auriez-vous des idées pour mettre cela en oeuvre, mes essais n'ont pas abouti pour le moment.

    Merci,
    Yannick



  • La zone démilitarisé (DMZ) est le lieu des serveurs accessibles depuis Internet et depuis le réseau interne (LAN).

    Les PC du LAN accèdent, selon la règle adéquate, directement (sans aucun NAT) aux serveurs en DMZ.

    Les serveurs placés en DMZ peuvent être accédés depuis Internet (le WAN) via une redirection de port (NAT port forward).
    Ceci limite l'accès depuis Internet aux seuls ports ainsi "forwardés".

    Enfin, c'est un schéma simple et naturel …



  • Cette solution me semble être celle qui s'impose comme l'évidence. En cas de besoin rien n'empêche de créer une dmz spécifique pou ce serveur. On ne sais jamais vraiment ce que les gens ont en tête comme idées bizarres en matière de sécurité …



  • Bonjour et merci de vos réponses,

    Je connais bien le principe de la DMZ mais celui-ci ne conviens pas pour au moins une raison : Je n'administre pas le serveur concerné et celui est connecté sur le Net, pas sur mon réseau. Je ne dispose donc que de son IP Public. Il faut aussi partir du principe que ce scénario va se reproduire à terme pour d'autre machine.
    Ce que je souhaite faire, c'est créer une adresse IP locale qui soit le miroir de l'IP Public (tout ce qui arrive sur cette IP est directement envoyé au serveur).

    C'est exactement le principe de public d'une ressource interne sur le Net via une D-NAT et une règle de firewall, sauf que le sens de NAT est inversé (LAN->WAN au lieu de WAN->LAN).

    Je sais très bien que cela peut s'avérer complétement farfelu de vouloir faire cela, mais je vous rassure, il y a une bonne raison derrière.

    Merci de votre aide.
    Yannick



  • Vous ne gérez pas ce serveur mais vous gérez un firewall placé après …
    Je ne vois pas l'intérêt.
    Ni de ce schéma, ni de l'utilisation d'une ip privée renvoyant vers un serveur public.
    Alors que l'ip publique existe, pourquoi vouloir une ip privée correspondante ?
    Moi yen a rien comprendre ...



  • Comme je le disais, la compréhension de ce que je cherche à mettre en œuvre n'est pas vraiment simple.
    Je vais essayer de m'expliquer :

    LAN2 -> RTR -> LAN1 -> FW -> WAN1 -> SERVEUR01
                 |-> LAN3 -> FW -> WAN2 -> SERVEUR02

    Dans ce schéma, le WAN1 et le WAN2 sont sur le même plan d'adressage et sur des sites différents. Un simple routage n'est donc pas possible.
    Du LAN2, j'ai besoin d’accéder à ce deux machines, en même temps.
    Le LAN2 peut accéder sans problème à LAN1 et LAN3.
    Mon idée est donc de créer des Alias sur LAN1 et LAN3 des serveurs SERVEUR01 et SERVEUR02 (respectivement) pour les rendre accessible.
    Avec des commandes IPTABLES, j'aurais tenté quelque chose du style

    iptables -t nat -A PREROUTING -d  IP_ADRESS_LAN_VIRTUEL -j  DNAT –to-destination  IP_SERVEUR
    iptables -t nat -A POSTROUTING -s LAN_SUBNET -j  SNAT --to-source  WAN_ADRESS

    La question est comment je fais cela dans pfsense ? (et surtout est ce que cela va fonctionner)

    Merci,
    Yannick



  • Je connais bien le principe de la DMZ mais celui-ci ne conviens pas pour au moins une raison : Je n'administre pas le serveur concerné et celui est connecté sur le Net, pas sur mon réseau. Je ne dispose donc que de son IP Public.

    Vos raisons ne tiennent pas. La maitrise de l'infrastructure de transport (le réseau) est un problème distinct de l'accès, même pour les administrer, aux machines hébergées sur cette infrastructure. Que celui ci soit connecté sur le net (d'ailleurs qu'est ce que cela signifie vraiment ?) ou ailleurs ne change pas vraiment les choses.

    Je sais très bien que cela peut s'avérer complétement farfelu de vouloir faire cela, mais je vous rassure, il y a une bonne raison derrière.

    Si il y a une bonne raison vous allez nous l'expliquer. Non ?
    Je connais bien ce discours. A chaque fois, lorsque l'on fini par connaitre le dernier mot de l’histoire, on découvre invariablement les mêmes choses. Les moyens de sécurité et les besoins de sécurité sont confondus, mal compris. On découvre aussi une mauvaise compréhension général des questions de sécurité et parfois des connaissances réseaux inexactes, fragmentaires. C'est aussi le domaine des illusions. Ce post récent, sur un autre forum, en est un bon exemple : http://entraide.ixus.net/viewtopic.php?f=14&t=506

    Comme je le disais, la compréhension de ce que je cherche à mettre en œuvre n'est pas vraiment simple.

    Non, ce qui n'est pas simple c'est la façon obscure avec laquelle vous procédez. Le titre de votre post est à l'inverse de l'expression d'un besoin de sécurité. Vous posez en fait une question de mise en œuvre d'une solution a priori dont vous pensez qu'elle est la bonne (je pense que non et que vous vous fourvoyez) sans même avoir justement explicité le besoin de sécurité. Un besoin de sécurité est le résultat, entre autre, d'une analyse, ou au moins d'une compréhension structurée des risques. L’expression d'un besoin de sécurité est un point de vue MOA ce dont vous nous entretenez est un point de vue MOE.

    Pour revenir plus concrètement à votre demande, ce que j'en comprend est que vous estimez que, pour des raisons de sécurité, les utilisateurs du lan ne doivent pas voir que le serveur utilisé possède une adresse publique, donc qu'il se trouve "sur internet" (quoi que …) et que vous voulez leur faire croire qu'il se trouve sur un lan.
    cela ne tient pas la route une seconde comme fonction de sécurité. Dans la mesure où ce serveur est aussi accessible depuis internet il est facile d'éventer votre astuce et en aucun cas elle ne fourni une fonctionnalité de sécurité.

    Non, vraiment, exprimé en l'état cela ne tient pas debout.



  • @ccnet:

    Si il y a une bonne raison vous allez nous l'expliquer. Non ?

    J'ai bien compris que mon premier post ne vous permettez pas de comprendre ce que je cherche à faire, d'où mon dernier post qui lui donne plus d'explication, que j'espère assez claire et qui explique le pourquoi du comment.

    Je n'ai pas la prétention de vous convaincre de mes aptitudes à gérer mon infrastructure réseau. Je suis face à un problème que je n'ai pas encore réussit à résoudre seul.



  • Ce qui est obscure c'est le pourquoi. Or celui ci est fondamental. le comment vient ensuite, bien ensuite. Votre dernier post n'explique rien de plus, nous avons bien compris votre idée, farfelue, comme vous dites. Le pourquoi est toujours un mystère.



  • J'ai un peu de mal à vous suivre.
    Vous me demandez le pourquoi, je vous l'explique :

    @ymolinet:

    Dans ce schéma, le WAN1 et le WAN2 sont sur le même plan d'adressage et sur des sites différents. Un simple routage n'est donc pas possible.
    Du LAN2, j'ai besoin d’accéder à ce deux machines, en même temps.



  • Vous êtes toujours dans le comment. le pourquoi c'est l'explication de cette phrase :

    Pour une raison particulière de sécurité, je souhaite pour publier sur une des IP (virtuel) coté LAN du firewall un serveur qui se trouve coté WAN.



  • @ccnet:

    Vous êtes toujours dans le comment. le pourquoi c'est l'explication de cette phrase :

    Pour une raison particulière de sécurité, je souhaite pour publier sur une des IP (virtuel) coté LAN du firewall un serveur qui se trouve coté WAN.

    1. Un serveur sur WAN ne doit pas voir l'IP LAN d'un poste (S-NAT)
    2. Un poste coté LAN ne doit pas voir l'IP WAN d'un serveur (D-NAT).
    3. Plusieurs serveurs sur plusieurs WAN ont des plans d'adressage commun

    Je ne vois pas ce que je peux vous dire de plus.



  • 1. Un serveur sur WAN ne doit pas voir l'IP LAN d'un poste (S-NAT)

    Pour des raisons évidentes de routage il ne peut en être autrement si nat. Rien à voir avec la sécurité.

    2. Un poste coté LAN ne doit pas voir l'IP WAN d'un serveur (D-NAT).

    Ha bon ! Pourquoi ? Tout internet fonctionne de cette façon, à commencer par dns sans lequel nous serions juste un peu ennuyé. Là aussi aucun rapport avec la sécurité.

    3. Plusieurs serveurs sur plusieurs WAN ont des plans d'adressage commun

    Aucune implication particulière.



  • Je trouve cela bien compliqué.
    (Alors qu'il aurait fallu penser dès le départ à avoir des adressages différents pour WAN1 et WAN2 !)
    En plus il est anormal (et mal pensé) d'avoir un circuit interne et 2 sorties WAN, qui plus est de même adressage, et encore plus avec des serveurs en zone WAN !

    Comme on peut le lire les "virtual ip" sont destinés à être utilisées pour du "NAT forward".
    Mais lors de la config d'une règle "NAT port forward", on indique "internal address" …

    La bonne technique : avoir des WAN différents !
    Le bon conseil : ne pas avoir de WAN identiques, et ne pas mettre de serveurs en WAN mais en DMZ !


Log in to reply