Règle pour WiFi publique



  • Hello,

    Je dois mettre en prod lundi un pfSense sur un site distant.

    Je dois fournir un réseau "Wifi publique" ouvert à tout le monde (en plus du LAN et de 2 WANs (aDSL + sDSL)).

    La borne est bien configurée.

    Pour l'interface WIFI Publique, J'ai créé 2 règles :

    • une autorisant les résolution DNS (TCP/UDP depuis "INT_WIFI_PUB net" vers l'IP de l'interface pfSense) qui fonctionne.
    • une autorisant les pings (seulement sur ce réseau) qui fonctionne.

    Je veux en ajouter une pour tout autoriser (dans un premier temps) vers le net.
    Mais je ne trouve rien, à part mettre ANY pour tout autoriser, même le retour vers l'intertface LAN, je ne vois pas.
    J'ai essayé avec INTERFACE_ADSL_ORANGE SUBNET, mais je n'arrive pas à surfer, comme je m'en doutais.

    Comment procédez vous ?

    Je créé cette règle en ajoutant au dessus des règles qui bloquent l'accès au LAN ? Ainsi qu'un règle interdisant l'accès à PFSENSE (juste après la règle de résolution DNS) ?



  • Si regarde ce que j'ai chez un client, ou sur mon infra, ça me parait bien.
    Exemple pour le surf :
    TCP WifiGuest net * ! ReseauxInternes Http_Https WanFree
    Dans cet exemple la destination autorisé est any sauf "RéseauxInternes" donc seulement le wan.
    Le surf de wifi guest est possible en utilisant une connexion adsl Free, d'où la passerelle spécifique.
    J'ai aussi une règle comme la votre pour dns (juste udp toutefois).
    L'ordre des règles semble bon. Elles s'appliquent de haut en bas et la première qui est validée est appliquée que ce soit "accept" ou "deny" et la suite est ignoré.



  • Une zone Wifi publique devrait avoir les règles suivantes (dans l'ordre) :

    • DMZ subnet -> fw : accept / icmp + echo requet
    • DMZ subnet -> fw : accept / tcp+udp + 53 = dns
    • DMZ subnet -> fw : block / any
    • DMZ subnet -> LAN subnet : block / any
    • DMZ subnet -> any : accept / icmp + echo request
    • DMZ subnet -> any : accept / tcp+udp + any

    On pourra préciser la dernière règle en tcp + 80,443,21,110,143,993,995, udp + 1194, …
    pour http, https, ftp, pop3, imap, pop3s, imaps, openvpn, ...

    (Comme d'hab les règles d'interdiction précises avant les règles "any")



  • ok, top, merci !

    JDH, quand tu déclares le pfSense en FW dans la règle (ton exemple, tu indiques quoi ? Son IP sur cette interface/ce réseau ? Toutes ses IP sur toutes les interfaces ?
    Ou autre chose ? (comme un alias qui inclus toutes les IP)



  • Effectivement, Jdh, tes règles me plaisent !


Locked