Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Règle pour WiFi publique

    Scheduled Pinned Locked Moved Français
    5 Posts 3 Posters 1.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      Jey-B
      last edited by

      Hello,

      Je dois mettre en prod lundi un pfSense sur un site distant.

      Je dois fournir un réseau "Wifi publique" ouvert à tout le monde (en plus du LAN et de 2 WANs (aDSL + sDSL)).

      La borne est bien configurée.

      Pour l'interface WIFI Publique, J'ai créé 2 règles :

      • une autorisant les résolution DNS (TCP/UDP depuis "INT_WIFI_PUB net" vers l'IP de l'interface pfSense) qui fonctionne.
      • une autorisant les pings (seulement sur ce réseau) qui fonctionne.

      Je veux en ajouter une pour tout autoriser (dans un premier temps) vers le net.
      Mais je ne trouve rien, à part mettre ANY pour tout autoriser, même le retour vers l'intertface LAN, je ne vois pas.
      J'ai essayé avec INTERFACE_ADSL_ORANGE SUBNET, mais je n'arrive pas à surfer, comme je m'en doutais.

      Comment procédez vous ?

      Je créé cette règle en ajoutant au dessus des règles qui bloquent l'accès au LAN ? Ainsi qu'un règle interdisant l'accès à PFSENSE (juste après la règle de résolution DNS) ?

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Si regarde ce que j'ai chez un client, ou sur mon infra, ça me parait bien.
        Exemple pour le surf :
        TCP WifiGuest net * ! ReseauxInternes Http_Https WanFree
        Dans cet exemple la destination autorisé est any sauf "RéseauxInternes" donc seulement le wan.
        Le surf de wifi guest est possible en utilisant une connexion adsl Free, d'où la passerelle spécifique.
        J'ai aussi une règle comme la votre pour dns (juste udp toutefois).
        L'ordre des règles semble bon. Elles s'appliquent de haut en bas et la première qui est validée est appliquée que ce soit "accept" ou "deny" et la suite est ignoré.

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Une zone Wifi publique devrait avoir les règles suivantes (dans l'ordre) :

          • DMZ subnet -> fw : accept / icmp + echo requet
          • DMZ subnet -> fw : accept / tcp+udp + 53 = dns
          • DMZ subnet -> fw : block / any
          • DMZ subnet -> LAN subnet : block / any
          • DMZ subnet -> any : accept / icmp + echo request
          • DMZ subnet -> any : accept / tcp+udp + any

          On pourra préciser la dernière règle en tcp + 80,443,21,110,143,993,995, udp + 1194, …
          pour http, https, ftp, pop3, imap, pop3s, imaps, openvpn, ...

          (Comme d'hab les règles d'interdiction précises avant les règles "any")

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • J
            Jey-B
            last edited by

            ok, top, merci !

            JDH, quand tu déclares le pfSense en FW dans la règle (ton exemple, tu indiques quoi ? Son IP sur cette interface/ce réseau ? Toutes ses IP sur toutes les interfaces ?
            Ou autre chose ? (comme un alias qui inclus toutes les IP)

            1 Reply Last reply Reply Quote 0
            • J
              Jey-B
              last edited by

              Effectivement, Jdh, tes règles me plaisent !

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.