[Question]Access List/Contrôle d'accès

EmmaStone

Bonjour à tous,

Je dois effectuer certaine règle dans mon PFsense et j'ai quelques intérrogation.

Par exemple, voici le setup,

Vlan10(PC)–---- Pfsense1 ------------ INTERNET(With VPN IPSEC) -------------PFsense2 -----------Vlan 30(PC)
Vlan 20(Serveur)------                                                                                                            vlan 40(PC)

Je veux,

Vlan10 > Vlan 20
Vlan 30 > Vlan 20

Vlan 40 NON ACCÈS Vlan 10
Vlan 10 NON ACCÈS Vlan 30
Vlan 30 NON ACCÈS Vlan 40
Vlan 30 NON ACCÈS Vlan 10
Vlan 10 NON ACCÈS Vlan 40
Vlan 20 NON ACCÈS Vlan 40
Vlan 20 NON ACCÈS Vlan 10
Vlan 20 NON ACCÈS Vlan 30
Vlan 40 NON ACCÈS Vlan 30
Vlan 40 NON ACCÈS Vlan 20

Vlan 10 Accès à l'internet
Vlan 30 Accès à l'internet
Vlan 40 pas accès à l'internet
vlan 10 pas accès au service ssh du vlan 20(serveur)

J'en profite pour update mon post :

Les ordinateurs des vlans 10 et 30 doivent pouvoir accéder aux services web ftp et MySQL située sur le serveur 192.168.20.10(Vlan 20)

Merci de m'aider :)

EmmaStone

Bizarrement, certaines règles s'appliquent environ 30 minutes après l'application de celle-ci.  >:( J'en ai marre.

ccnet

Merci de poster un schema de votre architecture (pourquoi 2 pfsense?) vos explications ne sont pax tres claires. Par ailleurs je ne comprend pas ce que vous voulez. Comment interpreter :
"Je veux vlan10->vlan20" ?

jdh

Le schéma, en effet, n'est pas super clair.

Néanmoins, il y a un lien VPN Ipsec entre les 2 pfSense, et sur chaque pfSense, il y a 2 réseaux (vlan).

Il y a lieu de faire du "multiple subnet" : cf https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets

(Astuce : on peut aussi "grouper" les réseaux en 1 seul … SI on y a pensé avant :
Exemple :
pfsense 1 -> lan1 = 192.168.0.x/24 + lan2 = 192.168.1.x/24 -> lan global = 192.168.0.x/23
pfsense 2 -> lan1 = 192.168.2.x/24 + lan2 = 192.168.3.x/24 -> lan global = 192.168.2.x/23
le /23 permet "d'assembler" 2 réseaux /24 "successifs" !)

EmmaStone

@ccnet:

Merci de poster un schema de votre architecture (pourquoi 2 pfsense?) vos explications ne sont pax tres claires. Par ailleurs je ne comprend pas ce que vous voulez. Comment interpreter :
"Je veux vlan10->vlan20" ?

Le vlan10 doit pouvoir ping le vlan 20 tout simplement.

jdh

Dans l'image de Firewall > Rules, il y a une erreur assez fondamentale (même si les règles sont grisées) : les onglets désignent l'interface d'arrivée des paquets …

Clairement, dans un onglet LAN, la source d'une règle NE PEUT ETRE que comprise dans "LAN Subnet" !