Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Règles pare feu qui ne s'appliquent plus

    Français
    2
    6
    1.6k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dimitrifrom31
      last edited by

      Bonjour,

      J'ai un niveau de connaissances très basique de pfsense, une tierce personne m'avait fait la config initiale et les règles de base.

      Je me suis rendu compte que certaines règles pfsense ne s'appliquaient pas ou plus, par exemple j'ai voulu bloquer le ping pour faire un test:
      http://puu.sh/7hraL.png

      Mais je peux toujours pinger…

      Qulqu'un pourrait-il me dire où commencer à chercher (quel fichier de log par exemple) afin de voir d'où cela vient ? Ou ma règle est-elle incorrecte ?

      D'avance merci pour votre aide.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Le moins qu'on puisse dire, c'est que vous ne lésinez pas sur la quantité d'infos fournies !
        Par exemple, on ne sait si ce que vous voulez c'est

        • ping interdit depuis l'extérieur,
        • ping interdit pour les pc internes.

        Dans le cas 1, j'aimerais savoir en quoi la non réponse au ping améliore la sécurité ?

        En vrac, pour les pc extérieurs,

        • Status > Filter Reload,
        • comment est relié à Internet le firewall,
        • le firewall fonctionne-t-il correctement.

        En vrac, pour les pc internes,

        • Status > Filter Reload,
        • la passerelle du pc est-elle le firewall pfSense,
        • le firewall fonctionne-t-il correctement.

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • D
          dimitrifrom31
          last edited by

          Bonjour

          La règle de ping était un simple test pour vérifier si la règle fonctionnait car j'ai le même souci avec des règles de blocage http.

          Voici plus de détails:

          Internet
          |
          Firewall/routeur (Serveur Dell avec PfSense en NAT 1:1)
          |
          Switch
          |
          Serveurs

          Les serveurs ont bien accès à internet, le NAT se fait bien également.
          La passerelle des serveurs est le firewall

          Dans le cas de la règle ping j'ai voulu tester de bloquer les requêtes ping de l'extérieur afin de tester de pinger un des serveurs (je ne suis donc pas sur le même réseau que les serveurs).

          Le reload filter affichine "DOne" et aucune erreur.

          A noter que je viens de m'apercevoir que d'anciennes règles de blocage semblent toujours actives alors qu'elles ne sont plus dans ma liste de règles, c'est en tout cas le cas d'une règle en particulier (blocage de l'accès à l'interface web d'administration de l'extérieur).

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Un serveur fraichement installé n'a nul besoin d'une règle en WAN pour interdire la réponse aux ping.
            Il faut même créer, volontairement, une règle pour qu'il réponde aux ping (icmp/8=Echo request). Ce que je préconise d'ailleurs.

            Donc le comportement de votre serveur est très étrange.
            Que dire de règles non visibles qui fonctionneraient encore !

            Une réinstall, une reprise en main de la configuration (et moins de bidouillage) me parait s'imposer …

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • D
              dimitrifrom31
              last edited by

              Hmm c'est embêtant, vu mon faible niveau de connaissances pfsense et le fait que la personne m'ayant fait la config d'origine n'est plus disponible.
              Je lance donc un appel d'offre pour la mise à jour et l'audit de la config actuelle, merci de répondre à ce message ou de m'envoyer un MP si vous lisez ceci et êtes intéressé. On discutera des tarifs en fonction du boulot à faire.

              1 Reply Last reply Reply Quote 0
              • D
                dimitrifrom31
                last edited by

                Après un gros nettoyage des règles et alias ça fonctionne de nouveau. Je prends tout de même les contacts pour d'éventuels besoins futurs.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.