Parefeu dans un vlan



  • Bonjour,

    Sur un même site, j'ai séparé plusieurs réseaux en utilisant un switch Netgear GS748T et pfSense 2.0 (schéma général).

    Tous les vlans sont isolés les uns des autres.
    Ils utilisent pfSense pour accéder à Internet.
    Seul le vlan 102 dois intégrer un parefeu matériel "watchGuard XTM 25" qui filtrera tous les postes du vlan (102).

    Je ne vois trop comment intégrer ce dernier. J'ai pensé:
     - définir un port du watchGuard dans le vlan 102 (192.168.102.254 par exemple) qui servirait de passerelle pour tous les postes du vlan 102
     - définir un autre port du watchGuard dans un nouveau vlan pour l'accès au net.

    Ne disposant pas encore du watchGuard , il m'est difficile de mettre mes idées en pratique et je n'aurai pas beaucoup de temps lorsque le matériel sera à ma disposition.

    Merci d'avance.
    ![schema general-01.png](/public/imported_attachments/1/schema general-01.png)
    ![schema general-01.png_thumb](/public/imported_attachments/1/schema general-01.png_thumb)



    • définir un port du watchGuard dans le vlan 102 (192.168.102.254 par exemple) qui servirait de passerelle pour tous les postes du vlan 102

    Rien n’empêche un utilisateur connecté à ce réseau de ne pas utiliser cette machine en passerelle par défaut. Il n'y a pas que des gentils utilisateurs.

    • définir un autre port du watchGuard dans un nouveau vlan pour l'accès au net.

    Pas certain d'avoir compris.

    Sur le fond j'ignore tous des raisons qui motivent la présence de ce second firewall. En dépit du peu d'éléments disponibles pour envisagé une solution. J'aurai tendance à placer watchguard en coupure, entre le switch et le reste du réseau, tout cela dans le vlan 102. Sans contournement possible tout les flux quittant le vlan 02 et y entrant traverseront watchguard.



  • Bonjour,
    Merci de me répondre.
    C'est vrai que la présence d'un firewall supplémentaire semble inutile. Plusieurs associations se partagent le même site. L'une d'entre elles utilise ce pare-feu et souhaite le conserver afin de pouvoir le configurer à leur guise. Cela fait une couche de plus.
    Ce que je souhaite c'est que ce firewall fonctionne dans le vlan 102 comme il le ferait sans pfSense, tout en restant sous le contrôle de pfSense.
    C'est un peu tiré par les cheveux …



  • Donc en coupure. Une interface connectée sur pfsense (vlan 102) et l'autre sur le switch vu vlan 102 qui à cet emplacement du reseau ne sert plus à rien.


Log in to reply