Firewall rules



  • bonjour,

    je viens d'installer pf sur une alix et ca marche.
    maintenant, je voudrais bloquer l'access par des regles et ai suivi a la lettre la doc
    http://doc/pfsense.org/index.php/Example_basic_configuration

    a ce moment, je n'ai plus aucun access

    je dois reactiver la regle par defaut pour avoir un access internet

    une idee?



  • C'est bien rare que tu pourras configurer un pare-feu en suivant des règles "à la lettre". Les règles du pare-feu que tu vas mettre en place dépendent vraiment de ce que tu veux permettre. Par contre, dans la doc que tu as suivie, on a un DMZ (une zone démilitarisée) et on veut limiter fortement l'accès du LAN vers le DMZ, et même vers l'externe.
    Si tu n'as pas de DMZ et règle générale, tu devrais laisser la règle par défaut (Pass: LAN Net -> Any) du LAN. Ce que tu vas certainement vouloir restreindre, c'est l'entrée vers ton réseau, donc sur l'interface WAN. Là tu gardes la règle par défaut (Block: WAN -> Any) et tu ajoutes des règles d'autorisation seulement pour items que tu veux permettre de l'extérieur (ex: port 80 si tu as un serveur Web que tu veux accéder de l'extérieur, etc).



  • @saidmsl:

    bonjour,

    je viens d'installer pf sur une alix et ca marche.
    maintenant, je voudrais bloquer l'access par des regles et ai suivi a la lettre la doc
    http://doc/pfsense.org/index.php/Example_basic_configuration

    a ce moment, je n'ai plus aucun access

    je dois reactiver la regle par defaut pour avoir un access internet

    une idee?

    Oui une idée, une idée simple. Commencez par réfléchir précisément à ce dont vous avez besoin. Faites un état des flux à laisser passer suivant le sens, mettez tout cela noir sur blanc.
    La règle de base à mettre sur chaque interface c'est BLOCK  any any et ensuite on ouvre sélectivement ce qui doit l'être. Au début, surtout qu'apparement vous n'êtes pas très à l'aise, il est utile d'activer les logs sur toutes les règles. Vous pourrez vérifier dans les logs que la règle se comporte bien comme vous l'attendez.
    Si vous êtes perdu, il est presque souhaitable de réinstaller et de comprendre ensuite pas à pas ce que vous faites, le but étant d'obtenir la maitrise de Pfsense sans travailler au hasard. Cette méthode sera plus profitable que d'appliquer des règles toutes faites dont vous ne comprenez pas le contenu et dont vous ne pouvez pas juger si elles conviennent ou pas à votre situation. Il n'y a pas de recettes toutes faites en sécurité.


Locked