Règles pare feu qui ne s'appliquent plus



  • Bonjour,

    J'ai un niveau de connaissances très basique de pfsense, une tierce personne m'avait fait la config initiale et les règles de base.

    Je me suis rendu compte que certaines règles pfsense ne s'appliquaient pas ou plus, par exemple j'ai voulu bloquer le ping pour faire un test:
    http://puu.sh/7hraL.png

    Mais je peux toujours pinger…

    Qulqu'un pourrait-il me dire où commencer à chercher (quel fichier de log par exemple) afin de voir d'où cela vient ? Ou ma règle est-elle incorrecte ?

    D'avance merci pour votre aide.



  • Le moins qu'on puisse dire, c'est que vous ne lésinez pas sur la quantité d'infos fournies !
    Par exemple, on ne sait si ce que vous voulez c'est

    • ping interdit depuis l'extérieur,
    • ping interdit pour les pc internes.

    Dans le cas 1, j'aimerais savoir en quoi la non réponse au ping améliore la sécurité ?

    En vrac, pour les pc extérieurs,

    • Status > Filter Reload,
    • comment est relié à Internet le firewall,
    • le firewall fonctionne-t-il correctement.

    En vrac, pour les pc internes,

    • Status > Filter Reload,
    • la passerelle du pc est-elle le firewall pfSense,
    • le firewall fonctionne-t-il correctement.


  • Bonjour

    La règle de ping était un simple test pour vérifier si la règle fonctionnait car j'ai le même souci avec des règles de blocage http.

    Voici plus de détails:

    Internet
    |
    Firewall/routeur (Serveur Dell avec PfSense en NAT 1:1)
    |
    Switch
    |
    Serveurs

    Les serveurs ont bien accès à internet, le NAT se fait bien également.
    La passerelle des serveurs est le firewall

    Dans le cas de la règle ping j'ai voulu tester de bloquer les requêtes ping de l'extérieur afin de tester de pinger un des serveurs (je ne suis donc pas sur le même réseau que les serveurs).

    Le reload filter affichine "DOne" et aucune erreur.

    A noter que je viens de m'apercevoir que d'anciennes règles de blocage semblent toujours actives alors qu'elles ne sont plus dans ma liste de règles, c'est en tout cas le cas d'une règle en particulier (blocage de l'accès à l'interface web d'administration de l'extérieur).



  • Un serveur fraichement installé n'a nul besoin d'une règle en WAN pour interdire la réponse aux ping.
    Il faut même créer, volontairement, une règle pour qu'il réponde aux ping (icmp/8=Echo request). Ce que je préconise d'ailleurs.

    Donc le comportement de votre serveur est très étrange.
    Que dire de règles non visibles qui fonctionneraient encore !

    Une réinstall, une reprise en main de la configuration (et moins de bidouillage) me parait s'imposer …



  • Hmm c'est embêtant, vu mon faible niveau de connaissances pfsense et le fait que la personne m'ayant fait la config d'origine n'est plus disponible.
    Je lance donc un appel d'offre pour la mise à jour et l'audit de la config actuelle, merci de répondre à ce message ou de m'envoyer un MP si vous lisez ceci et êtes intéressé. On discutera des tarifs en fonction du boulot à faire.



  • Après un gros nettoyage des règles et alias ça fonctionne de nouveau. Je prends tout de même les contacts pour d'éventuels besoins futurs.


Log in to reply