[Question]Access List/Contrôle d'accès



  • Bonjour à tous,

    Je dois effectuer certaine règle dans mon PFsense et j'ai quelques intérrogation.

    Par exemple, voici le setup,

    Vlan10(PC)–---- Pfsense1 ------------ INTERNET(With VPN IPSEC) -------------PFsense2 -----------Vlan 30(PC)
    Vlan 20(Serveur)------                                                                                                            vlan 40(PC)

    Je veux,

    Vlan10 > Vlan 20
    Vlan 30 > Vlan 20

    Vlan 40 NON ACCÈS Vlan 10
    Vlan 10 NON ACCÈS Vlan 30
    Vlan 30 NON ACCÈS Vlan 40
    Vlan 30 NON ACCÈS Vlan 10
    Vlan 10 NON ACCÈS Vlan 40
    Vlan 20 NON ACCÈS Vlan 40
    Vlan 20 NON ACCÈS Vlan 10
    Vlan 20 NON ACCÈS Vlan 30
    Vlan 40 NON ACCÈS Vlan 30
    Vlan 40 NON ACCÈS Vlan 20

    Vlan 10 Accès à l'internet
    Vlan 30 Accès à l'internet
    Vlan 40 pas accès à l'internet
    vlan 10 pas accès au service ssh du vlan 20(serveur)

    J'en profite pour update mon post :

    Les ordinateurs des vlans 10 et 30 doivent pouvoir accéder aux services web ftp et MySQL située sur le serveur 192.168.20.10(Vlan 20)

    Merci de m'aider :)



  • Bizarrement, certaines règles s'appliquent environ 30 minutes après l'application de celle-ci.  >:( J'en ai marre.



  • Merci de poster un schema de votre architecture (pourquoi 2 pfsense?) vos explications ne sont pax tres claires. Par ailleurs je ne comprend pas ce que vous voulez. Comment interpreter :
    "Je veux vlan10->vlan20" ?



  • Le schéma, en effet, n'est pas super clair.

    Néanmoins, il y a un lien VPN Ipsec entre les 2 pfSense, et sur chaque pfSense, il y a 2 réseaux (vlan).

    Il y a lieu de faire du "multiple subnet" : cf https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets

    (Astuce : on peut aussi "grouper" les réseaux en 1 seul … SI on y a pensé avant :
    Exemple :
    pfsense 1 -> lan1 = 192.168.0.x/24 + lan2 = 192.168.1.x/24 -> lan global = 192.168.0.x/23
    pfsense 2 -> lan1 = 192.168.2.x/24 + lan2 = 192.168.3.x/24 -> lan global = 192.168.2.x/23
    le /23 permet "d'assembler" 2 réseaux /24 "successifs" !)



  • @ccnet:

    Merci de poster un schema de votre architecture (pourquoi 2 pfsense?) vos explications ne sont pax tres claires. Par ailleurs je ne comprend pas ce que vous voulez. Comment interpreter :
    "Je veux vlan10->vlan20" ?

    Le vlan10 doit pouvoir ping le vlan 20 tout simplement.



  • Dans l'image de Firewall > Rules, il y a une erreur assez fondamentale (même si les règles sont grisées) : les onglets désignent l'interface d'arrivée des paquets …

    Clairement, dans un onglet LAN, la source d'une règle NE PEUT ETRE que comprise dans "LAN Subnet" !