Règle de routage entre 2 réseaux PFSense

ccnet

par conséquent des divergences d'opinions ou d'habitudes…

Un service informatique ne fonctionne pas avec des opinions ou des habitudes, mais avec des méthodes, des normes, des procédures, bref de l'organisation.

A quoi sert un forum d'entraide

Il sert à donner le coup de pouce pour débloquer une situation où celui qui est aux commandes a épuisé tout ce qui est raisonnable. Ceci avec méthode.
https://forum.pfsense.org/index.php?topic=9708.0
https://forum.pfsense.org/index.php?topic=69908.0

Il en ressort que les participants devraient avoir une maitrise suffisante des fondamentaux. Nous ne sommes pas là pour remédier aux manques de connaissance de base des participants, ni pour servir des recettes toutes faites. Cela dit il arrive très souvent que nous reformulions des évidences, des règles de bases et en général lorsqu'elles sont comprises et assimilées, puis appliquées au cas de l'intervenant, alors les choses vont beaucoup mieux.

J'ai vu avec mon collègue et selon lui les deux règles fonctionnent.

Le véritable problème est la pertinence de ces règles. Une règle du type "Any Any Accept" sur wan fonctionne aussi. On peut discuter de sa pertinence.
Restez sur vos positions tant que vous voudrez, nous n'avons pas les moyens de vous en faire changer. A quoi sert un forum si vous ne faites rien de ce que l'on explique et propose ?

lg750

@ccnet:

par conséquent des divergences d'opinions ou d'habitudes…

Un service informatique ne fonctionne pas avec des opinions ou des habitudes, mais avec des méthodes, des normes, des procédures, bref de l'organisation.

Malheureusement vous aurez compris que ce n'est pas moi qui décide de qui à tort ou qui a raison dans le service où je travaille. D'autant que la question n'est même pas là, je ne suis pas assez expérimenté pour décider et juger le travail de chacun.
Je serais le premier partant s'il fallait instaurer plus de rigueur et des démarches plus protocolaires, cependant je ne peux qu'appliquer les directives qu'on me donne et tenter de faire de mon mieux pour changer les habitudes.

A quoi sert un forum d'entraide

Il sert à donner le coup de pouce pour débloquer une situation où celui qui est aux commandes a épuisé tout ce qui est raisonnable. Ceci avec méthode.
https://forum.pfsense.org/index.php?topic=9708.0
https://forum.pfsense.org/index.php?topic=69908.0

Il en ressort que les participants devraient avoir une maitrise suffisante des fondamentaux. Nous ne sommes pas là pour remédier aux manques de connaissance de base des participants, ni pour servir des recettes toutes faites. Cela dit il arrive très souvent que nous reformulions des évidences, des règles de bases et en général lorsqu'elles sont comprises et assimilées, puis appliquées au cas de l'intervenant, alors les choses vont beaucoup mieux.

J'ai conscience du travail d'aide que vous faites mais ne soyez pas trop rude avec les personnes trop peu expérimentées à votre goût, chacun a ses connaissances et celles que l'on veut bien lui laisser assimiler.

J'ai vu avec mon collègue et selon lui les deux règles fonctionnent.

Le véritable problème est la pertinence de ces règles. Une règle du type "Any Any Accept" sur wan fonctionne aussi. On peut discuter de sa pertinence.
Restez sur vos positions tant que vous voudrez, nous n'avons pas les moyens de vous en faire changer. A quoi sert un forum si vous ne faites rien de ce que l'on explique et propose ?

Je ne comprend pas ce que vous me reprochez, je ne campe sur aucun position étant donné que je n'en ai prise aucune. J'essaye juste de jongler tant bien que mal entre les réponses pertinentes et professionnelles que vous m'apportez et les réalités auxquelles je suis confronté en matière de relations sociales avec mon entourage professionnel.

Quoiqu'il en soit j'ai réglé une partie du problème, je ne pouvais faire de ping vers mon deuxième réseau (FPC) car je ne suis pas enregistré sur le domaine (bien que j'ai accès à tout mon réseau ETUDIANT). Élément mis à part, si j'utilise un poste enregistré sur le domaine étudiant, je peux faire un ping vers mon serveur FPC (lui-même sur le domaine FPC) mais pas l'atteindre à travers le service mstsc.

Cordialement,

ccnet

mais pas l'atteindre à travers le service mstsc.

Le port nécessaire est ouvert ?

lg750

Oui, j'ai créé un NAT et une règle autorisant le port 3389 MS RDP comme sur les PJ.
J'ai ajouté le port MS RDP à ma règle autorisant les ports essentiels à mon réseau.
Pour ce faire j'ai suivi différents tutoriels trouvés sur le web et qui sont censés fonctionner, mais rien n'y fait.

lg750

Je viens de trouver la solution !! :)
J'ai modifié mon NAT et finit par trouver la bonne configuration.
Ensuite le port 3389 s'autorise automatiquement car une règle est créée automatiquement aussi.

Pour me connecter je rentre ensuite l'IP de mon serveur:5002
Merci à tous pour votre aide ;) :)

ccnet

Pas besoin de nat pour traiter ce type de flux entre deux zones internes.
Vos définitions de ports smtp et pop3 c'est du grand n'importe quoi.

jdh

NAT : encore une notion qui vous échappe !

NAT = Network Adress Translation

2 cas : interne vers externe et externe vers interne
interne vers externe : forcément les adresses privées internes ne naviguent pas sur internet, il y a NAT : remplacement de l'ip source par celle de l'interface WAN.
externe vers interne : depuis internet, le flux destiné à l'ip WAN (sur le port donné) est renvoyé (forward) vers une ip interne (éventuellement en changeant de port)

En interne, s'il y a plusieurs réseaux, on ne fait aucune translation d'adresse (NAT), il suffit juste de router le trafic autorisé par des règles.

Ports de protocole : encore une écriture pfsense qui vous échappe !

Avec pfSense, le : désigne "de A à B" et non "A et B", alors qu'il suffit juste d'appuyer sur + pour faire 2 lignes (ligne pour A, ligne pour B).

Par ailleurs, il est totalement insecure de permettre certains ports en sortie : il NE FAUT PAS faire cela !
Ports à interdire en sortie : dns=53/tcp, smtp=25/tcp (à réserver au seul serveur de mail interne), smtps=465/tcp, pop=110/tcp et 995/tcp, imap=143/tcp et 993/tcp
Ports assez inutiles vers WAN : rdp=3389/tcp

lg750

@ccnet:

Pas besoin de nat pour traiter ce type de flux entre deux zones internes.
Vos définitions de ports smtp et pop3 c'est du grand n'importe quoi.

C'est la seule solution trouvée qui fonctionne… N'ayant personne pour m'aiguiller en interne, j'ai du composer avec ce que je trouvais sur le web.

NAT : encore une notion qui vous échappe !

NAT = Network Adress Translation

2 cas : interne vers externe et externe vers interne
interne vers externe : forcément les adresses privées internes ne naviguent pas sur internet, il y a NAT : remplacement de l'ip source par celle de l'interface WAN.
externe vers interne : depuis internet, le flux destiné à l'ip WAN (sur le port donné) est renvoyé (forward) vers une ip interne (éventuellement en changeant de port)

En interne, s'il y a plusieurs réseaux, on ne fait aucune translation d'adresse (NAT), il suffit juste de router le trafic autorisé par des règles.

Ports de protocole : encore une écriture pfsense qui vous échappe !

Avec pfSense, le : désigne "de A à B" et non "A et B", alors qu'il suffit juste d'appuyer sur + pour faire 2 lignes (ligne pour A, ligne pour B).

Par ailleurs, il est totalement insecure de permettre certains ports en sortie : il NE FAUT PAS faire cela !
Ports à interdire en sortie : dns=53/tcp, smtp=25/tcp (à réserver au seul serveur de mail interne), smtps=465/tcp, pop=110/tcp et 995/tcp, imap=143/tcp et 993/tcp
Ports assez inutiles vers WAN : rdp=3389/tcp

Merci pour les précisions à propos du NAT. Concernant ma situation, qu'est ce qui fait que maintenant tout fonctionne si ce n'est grâce au NAT ?

Si je comprend bien, sur mon alias vous préconisez que je supprime les ports 53, 25, 465, 110, 995, 143 et 993 ? Ça ne risque pas de poser problème pour les personnes utilisant par exemple outlook et qui aurait donc besoin du pop et/ou du smtp ?
Concernant le port 3389, je l'avais rajouté par sécurité lorsque j'essayais d'atteindre mon second réseau via mstsc, mais de toute façon une règle s'est créée automatiquement lors de la mise en place du fameux NAT.

EDIT : Vous semblez vouloir absolument souligner toutes les lacunes et incompréhensions de mes posts ^^, je vous rappelle donc que je suis étudiant en BTS SIO et donc par conséquent débutant. ;)

ccnet

La lecture de documentations générales (par exemple le site de Christian Caleca) et de Pfsense en particulier donne largement le détail des concepts de base que sont le routage, le filtrage et la translation d'adresse. ces documentations disent aussi quand et comment les utiliser. Soit vous ne les avez pas lu, ou pas bien comprises. Revoyez tout cela.
Quoi qu'il en soit vous accumulez les erreurs graves qui sont susceptibles d'être préjudiciable au réseau sur le quel vous intervenez.
Manifestement vous aller trop vite et ne comprenez pas ce que vous faites. Vos définitions de groupes de ports en sont un exemple. Pop3 de 25 à 465. Il y a l’erreur de la notation, Jdh vous a expliqué cela, par ailleurs autres erreurs sur les ports : 25/TCP c'est smtp, 465/TCP c'est smtps, 110/TCP c'est pop3, 995/TCP c'est pop3s. http://fr.wikipedia.org/wiki/Liste_de_ports_logiciels
C'est sérieux un firewall, on ne pratique pas par approximation.
Ce qui fait que cela fonctionne, c'est qu'un nat inutile (et même nuisible) à créé une règle correcte pour laisser par le flux. Ce qui fait que cela ne fonctionne pas c'est que vos règles sont mal écrites. Jdh vous a expliqué cela ainsi que les bonnes pratiques.

je vous rappelle donc que je suis étudiant en BTS SIO et donc par conséquent débutant.

Etre débutant ne vous dispense pas de méthode, de rigueur. Bien au contraire. Quand l'expérience manque on s'en tient au minimum, au plus simple, on évite les complications. Peut être même que l'on tient compte des conseils …. y compris les bonnes lectures.

Dans cette histoire il y a un autre responsable, c'est l'inconscient qui vous a "lâché" sur ce poste alors qu'il n'existe pas de ressource interne pour vous éviter les erreurs graves. Votre responsable est un irresponsable On ne confie pas la gestion d'un firewall a un étudiant en bts. Là vous n'y êtes pour rien.

lg750

@ccnet:

La lecture de documentations générales (par exemple le site de Christian Caleca) et de Pfsense en particulier donne largement le détail des concepts de base que sont le routage, le filtrage et la translation d'adresse. ces documentations disent aussi quand et comment les utiliser. Soit vous ne les avez pas lu, ou pas bien comprises. Revoyez tout cela.
Quoi qu'il en soit vous accumulez les erreurs graves qui sont susceptibles d'être préjudiciable au réseau sur le quel vous intervenez.
Manifestement vous aller trop vite et ne comprenez pas ce que vous faites. Vos définitions de groupes de ports en sont un exemple. Pop3 de 25 à 465. Il y a l’erreur de la notation, Jdh vous a expliqué cela, par ailleurs autres erreurs sur les ports : 25/TCP c'est smtp, 465/TCP c'est smtps, 110/TCP c'est pop3, 995/TCP c'est pop3s. http://fr.wikipedia.org/wiki/Liste_de_ports_logiciels
C'est sérieux un firewall, on ne pratique pas par approximation.
Ce qui fait que cela fonctionne, c'est qu'un nat inutile (et même nuisible) à créé une règle correcte pour laisser par le flux. Ce qui fait que cela ne fonctionne pas c'est que vos règles sont mal écrites. Jdh vous a expliqué cela ainsi que les bonnes pratiques.

je vous rappelle donc que je suis étudiant en BTS SIO et donc par conséquent débutant.

Etre débutant ne vous dispense pas de méthode, de rigueur. Bien au contraire. Quand l'expérience manque on s'en tient au minimum, au plus simple, on évite les complications. Peut être même que l'on tient compte des conseils …. y compris les bonnes lectures.

Dans cette histoire il y a un autre responsable, c'est l'inconscient qui vous a "lâché" sur ce poste alors qu'il n'existe pas de ressource interne pour vous éviter les erreurs graves. Votre responsable est un irresponsable On ne confie pas la gestion d'un firewall a un étudiant en bts. Là vous n'y êtes pour rien.

Concernant les ports, je viens de comprendre là où je me suis mélangé les pinceaux, merci du rappel ;)
A propos des lectures, je suis en effet en train de m'informer via ce site (que vous m'aviez conseillé dans un autre sujet je crois) http://irp.nain-t.net/doku.php ! Mais je fais ça en dehors du travail avec le peu de temps que j'ai.

Si je comprend bien, concernant mon histoire d'accès distant, c'est grâce à la règle générée par le NAT que cela fonctionne, et non pas par le NAT en lui-même ?

Être débutant ne me dispense aucunement de méthode ou de rigueur, mais être un petit peu livré à moi-même dans un service info m'oblige à agir sans forcément connaitre tous les pré-requis, aussi indispensables soient-ils… vous en conviendrez, j'espère.
Par ailleurs, je fais mon maximum pour appliquer les conseils que vous me donnez, si c'est à cela que vous faites allusion.
Je dois par ailleurs jongler avec mon collègue et mon responsable qui, par exemple, ont modifié de nouveau les règles du PFSense que j'avais changé suite à vos conseil et où j'avais indiqué les sources comme vous me l'aviez indiqué. En effet concernant celle du ping (icmp), il n'était plus possible d'effectuer certains ping. De ce fait, repasser la règle en "full 'any'" a permis de résoudre le problème, sans en comprendre le sens... Je ne peux rien faire contre cela.
Cela s'explique aussi par le fait que les examens approchent et par conséquent les plateformes des étudiants en informatique doivent être assez "libres" sinon on remet sans cesse la faute sur le PFSense.
Après les examens, je pourrai normalement retravailler les règles du PFSense mais en attendant je dois me plier aux exigences et attentes de chacun, c'est légitime et je les comprend dans un sens.

En effet, ce n'est pas de mon ressort, il y a d'autres avantages à cette situation mais je vous accorde tout à fait que l'absence de ce que j'aurais aimé appelé un "mentor" est largement préjudiciable.
Pour sa défense, je précise tout de même que c'est la gestion d'un firewall affecté à un réseau étudiant (et par conséquent ne détenant pas de données extrêmement sensibles) qui m'a été attribué.

Bien cordialement,

Loïc ;)

EDIT : sous vos conseils, j'ai donc supprimé le NAT (inutile voir dangereux selon vos propos), et recréé une règle sous le modèle de celle qui avait été générée automatique à la mise en place de la règle du NAT. J'ai juste du rajouter la source et tout semble fonctionner. Merci ;) (Cf. screenshot en PJ)

ccnet

Si je comprend bien, concernant mon histoire d'accès distant, c'est grâce à la règle générée par le NAT que cela fonctionne, et non pas par le NAT en lui-même ?

Oui. Dans Pfsense (et sur d'autres firewall mais pas toujours) les règles de nat et les règles d'accès sont deux choses différentes.
1 La règle de nat réalise la translattion telle que spécifiée. Et rien d'autre.
2 La règle (autorisation ou interdiction) est la seule à autoriser ou interdire un flux.
3 Se souvenir que les règles de filtrage s'appliquent après les règles de translation.
Ce fonctionnement est celui de Pfsense. Ne rien en déduire de plus. Chaque produit a son approche, même si il y a des points communs, il y a des différences sensibles. En sécurité, le diable est dans les détails.

J'ai peu de temps pour commenter le reste plus en détail.

lg750

Comme je l'avais édité plus haut :

sous vos conseils, j'ai donc supprimé le NAT (inutile voir dangereux selon vos propos), et recréé une règle sous le modèle de celle qui avait été générée automatique à la mise en place de la règle du NAT. J'ai juste du rajouter la source et tout semble fonctionner. Merci ;) (Cf. screenshot en PJ)

Merci pour vos informations ;)

Pas de soucis quant à votre manque de temps, vous m'avez déjà beaucoup aidé, merci ! ;)

gfy

bonjour . je suis un debutant . jaimerai solliter votre aide pour la comprenhension du fonctionnement des regles de filtrage de pfsense . en supposant que j'ai deux interfaces (lan et wan)
comment je gere les paquet entrant et sortant sur ces interfaces. si quelque peut me proposée des docs, ou site ca va beaucoup maider puisque je beaucoup fouiller sur le net, les docs que je retrouve explique simplement comment definir une regle mai ne m'explique pas le fonctionnement de pfsense . merci d'avance

chris4916

Sur les forums, il est généralement d'usage d'ouvrir un nouveau fil lorsqu'il y a une nouvelle question. Ce n'est pas très grave mais juste pour ton information.

le fonctionnement de pfSense, ce ce point de vue, est très simple.
La règle s'applique, comme pour beaucoup de firewall, sur l'interface entrante.

Par exemple, pour autoriser les utilisateurs sur le LAN à effectuer des requêtes DNS sur un serveur DNS sur internet, il faut, sur l'interface LAN de pfSense, autoriser pour les adresse sources de type "LAN address" (si tu veux autoriser tout le LAN), pour n'importe quel port source, en destination adresse "any" (sauf si tu veux limiter précisément le serveur DNS cible), en TCP & UDP et un port destination "53".

Les règles sur l'interface WAN vont permettre de contrôler les flux "entrants" depuis internet vers des réseaux protégés par le FW (comme le LAN par exemple)