Règle d'accès au réseau LAN depuis le WAN ne fonctionne pas
-
Salut je suis désolé d'avance si mon sujet traite d'un problème déjà évoqué.
Le fait est que j'ai mis en place un firewall avec pfsense pour sécurisé le réseau de l'entreprise dans laquelle je suis en stage actuellement. Sur l'interface LAN j'ai écris quelques règles d'accès qui fonctionne correctement .
Il ya quelque jour le patron voudrai que j'autorise quelque personne a pouvoir accéder à notre serveur web interne depuis le WAN.J'ai donc écris la règle correspondante sur l'interface WAN.mais cela ne fonctionne pas.j'ai aussi effectuer un Nat mais cela ne fonctionne toujours pas.
Sur le log du firewall je ne vois que la règle "Default deny rule IPv4" qui bloque l'accès .J'ai voulu supprimer cette règle dans le fichier tmp/rule.debug mais j'y arrive pas.
L'arichictecture du réseau se présente ainsi:
WAN SUBNET–----------Pfsense----------------LAN subnet
J'y ai ajouté les cature des règles écrites.
Merci à tous ceux qui voudront bien m'aider
-
Dans la seconde copie d'écran à quoi correspond l'alias Webserver ?
-
Cela correspond au serveur web interne que je veux accéder depuis le WAN
-
Compte tenu du peu d'informations fournies, il m'est impossible de me faire une opinion et, partant, de proposer des pistes.
pouvoir accéder à notre serveur web interne depuis le WAN.J'ai donc écris la règle correspondante sur l'interface WAN.mais cela ne fonctionne pas.j'ai aussi effectuer un Nat
Mauvaise démarche (mauvais ordre), sans doute par défaut de recherche.
Je veux que WAN accède à une machine interne (en DMZ) => je fais un NAT Port Forward (et la règle de Rules > onglet WAN sera créé toute seule).
cf https://doc.pfsense.org/index.php/How_can_I_forward_ports_with_pfSense
Rien que le début :Forwarding ports on pfSense is a fairly simple process. When adding a port forward, you must also add a firewall rule to allow traffic in to the internal IP address designated by the port forward. There is an option to automatically add this rule when creating a port forward definition.
Cela parait très clair.
-
merci jdh pour ta reponse. je croyais pour écrire la règle correspondante par moi même.Est -ce une possibilité?
Désolé pour les questions bête.je vais de ce pas refaire le port forwading -
Salut j'ai refais le port forwading en conservant la création de règle associé au NAT mais je n'arrive toujours pas à accéder à mon serveur interne.Un peu d'aide s'il vous plait.
-
L'IP publique est-elle directement sur l'interface WAN du pfSense? Ou y a-t-il un routeur en amont du pfSense?
-
Compte tenu du peu d'informations fournies,
Il fait maintenant que les lecteurs demandent les infos ….
-
Non.Il y a un routeur en amont qui est relié à l'interface WAN de pfsense.Désolé du peu d'information.
L' architecture est le suivant.
FAI–-------Routeur WAN----------------------pfsense-----------------LAN
Merci -
Non.Il y a un routeur en amont qui est relié à l'interface WAN de pfsense.Désolé du peu d'information.
L' architecture est le suivant.
FAI–-------Routeur WAN----------------------pfsense-----------------LAN
MerciDonc, il faut qu'il y ait aussi du port-forwarding sur le routeur…
-
Il est (devrait être) bien évident que si le routeur n'est pas correctement configuré rien ne peut fonctionner. Mais comme il n'y a toujours pas les infos pertinentes …
-
Salut.
Sur le routeur je n'ai configuré aucun service dc pas de port forwading.
Aussi il s'agit du routeur donné par le FAI.
Quant à l'adressage le routeur est configuré avec l'adresse 192.168.0.3/24 et l'interface WAN du pfsense avec l'adresse 192.168.0.1/24
L'interface WAN a pour passerelle l'adresse du routeur. j'ai pas configuré de route statique.
Le serveur que je veux atteindre a pour adresse 192.168.2.253/24.
C'est là toute information que je dispose.
merci de votre aide -
Salut salut
N'avez vous pas une interface de type web (direct sur la box, ou indirect via le site du FAI) ?
C'est par la qu il faut agir avec l'ouverture des ports et leurs bonne redirection, et de surcrois il y a coup sûr des doc ou des sites qui donne ma manière de faire.Cdlt.
-
Bonjour,
Sur le routeur je n'ai configuré aucun service dc pas de port forwading.
==> et donc les flux arrivent sur le wan de pf par magie ???Aussi il s'agit du routeur donné par le FAI.
==> Cela ne change rien aux principes de fonctionnement !Quant à l'adressage le routeur est configuré avec l'adresse 192.168.0.3/24 et l'interface WAN du pfsense avec l'adresse 192.168.0.1/24
L'interface WAN a pour passerelle l'adresse du routeur.
==> jusque içi tout vas bien …j'ai pas configuré de route statique.
==> a priori et avec le peut d'info que l'on a, pas besoin de route statiqueCordialement
-
Oui le routeur FAI est maniable via le web.je peux vérifier ce que vous dites Tatave.
Il y a seulement le service DHCP qui est configuré sur le routeur.
Le fait est que je ne plus de quel genre d'info vous avez besoin.je suis perdu
Aider moi SVP sinon mon Boss va me virer.
merci -
Salut Salut
Déjà petit récapitulatif, pour virer un stagiaire il en faut beaucoup quand même, c'est une personne qui est mieux protégé face à un employé, il y à le tuteur de stage qui est la ou sensé être la pour vous épauler quand vous êtes devant une difficulté en théorie.
Ce que l'on vous dit depuis le début du poste, c'est votre manque de recule et de documentation sur le sujet, ne pas foncer tête baissée, et poser les bonnes questions dans le bon ordre.
Poser le plan ou le schéma de la structure que vous voulez avoir la vous trouverez avec des test la ça marche , là çà marche pas
Faire le point sur ce qui fonctionne et sur ce qui ne fonctionne pas et trouver pourquoi.
Rechercher des info sur le web c'est bien, vos prof (bon sources d'info aussi), votre tuteur, vos cours.Il ne faut pas perdre de vu que vous êtes un stagiaire et en aucun cas un expert, vous êtes là pour mettre en pratique des concepts que vous avez vu en cours celà vous permettra de mettre le doigt sur vos vrai points à travailler.
Nous sommes nombreux à avoir été stagiaire, que se soit durant des parcours dit classique ou sur de l'alternance.
Même si pour certain l'alternant est du personnel, il n'en reste pas moins une personne qui apprend dans un cadre d'entreprise et avec une école ou un centre de formation.Cordialement.
-
Salut
Merci tatave pour votre conseil.je vais continuer avec les recherches et revenir poser les bonnes questions
Cdlt m6 -
Parmi les conseils utiles, le plus important est, certainement, d'apprendre à exposer correctement un problème.
Pour exposer correctement un problème, il faut fournir des informations : ni trop, ni trop peu, (et nitroglycérine comme aurait dit Pierre Dac) !
- schéma simplifié
- adressage
- fonctions des matériels
- réglages effectués
Il n'est absolument pas normal que les lecteurs demandent des infos !
Par ailleurs, avec un routeur, il est normal d'imaginer que chaque flux entrant doit être autorisé via un réglage dudit routeur, et cela se fait naturellement via une interface web. Ca c'est basique.
Enfin Seneque dit "il n'y a pas de vent favorable pour celui qui ne sait où il va" : lisez la doc, parcourez les forum pour connaitre les bonnes pratiques et les méthodes.
-
@jdh:
Enfin Seneque dit "il n'y a pas de vent favorable pour celui qui ne sait où il va" : lisez la doc, parcourez les forum pour connaitre les bonnes pratiques et les méthodes.
Si tu ne sais pas où tu vas, tu pourrais bien te retrouver ailleurs.
Proverbe chinois ( :-) ) ou presque. -
Heu … tous les chemins ne mènent pas à Rome ?
;D * ok je sort * :-X
