Firewall Pfsense



  • Bonjour à tous,

    J'ai mis en place un portail captif avec authentification via un serveur Radius. Ensuite j'ai voulut configuré le firewall afin de n'utilisé que les ports nécessaire au bon fonctionnement de mon portail captif tout en désactivant les autres ports inactif. J'ai donc un peut chipoter tous d'abord en désactivant la régle par défaut qui autorise tous le traffic sur le port lan ensuite en créant des réglés qui me permettrons d'utilisé uniquement les ports utiles ( à savoir http(80),https(443),dns(53),dhcp(67,68),Radius(1812,1813) et ensuite de bloqué tous le reste. Donc après avoir quelque chose de fonctionnel j'ai vérifié si il n'y avait pas des régles "inutile" qui ne changé rien au bon fonctionnement de mon portail captif. mais en désactivant les régles quelque chose me rend perplexe en ne laissant activé que les règles autorisant http,https et dns je me suis rendu compte que je savais toujours traversé mon portail captif alors que je n'ai pas autorisé le port 1812 et en regardant mon firewall je n'arrive pas à comprendre est-ce que la configuration du portail captif prévôt sur les règles du firewall?  Merci d'avance pour vos réponses , j'espère avoir été clair dans mes explications ^^'



  • C'est probablement clair dans ta tête mais même en relisant plusieurs fois ton bloc de texte (*), je n'arrive pas à comprendre de quelle règle tu parles ni comprendre vraiment quel est le problème.

    J'intuite que tu espères pouvoir contrôler au niveau du FW le fait que le portail captif, écoutant sur le port 1812, ne devrait pas fonctionner si il n'y a pas de règle spécifique autorisant ce flux. C'est bien ça ?

    Dans ce cas, poses toi la question des interfaces sur lesquels les différents services écoutent et de quels sont les ports impliqués  ;)
    Si un service écoute sur une interface externe, par exemple LAN, sur le port 80 qui est autorisé, et redirige ce flux vers un service local au FW (e.g. 127.0.0.1), il n'y a pas de règle de FW "interne" pour le controler.

    (*): n'hésite pas à aérer ton texte avec des paragraphes. Compte tenu de mon grand age, ton pavé est difficile et peu plaisant à lire  ;)



  • Pour mieux comprendre, je te conseille de activer le Captive Portal sur son NIC réservé uniquement pour lui. C'est d'ailleurs la soultion le plus simple, mais il te faut 3 NIC (WAN, LAN OPT1).
    Garde ton LAN pour tes appareils "de confiance". Sur le LAN, il n'y peu, voir pas des règles parafeu.
    Le Captive Portal est là pour les visiteurs, avec d'autres règles. Par exemple: ils peuvent visiter le net après avoir été authentifié, mais pas les appareils de ton LAN.
    Va voir l'attachement ci-joint.

    J'ai quelques AP (5) qui permette que mes clients peuvent se connecter en Wifi.
    Petits détails:
    Mes AP peuvent envoyer leur log (UDP !) vers un serveur syslog sur le LAN
    Mes AP peuvent fouiller sur le net pour, entre autre, satisfaire leur demande NTP, etc.
    Je bloque toutes les Netbios ports - inutile de les faire fuire vers Internet, ça n'a pas de sens.
    Idem pour toutes tentatives vers une adresse Internet:25 - mon FAI, Orange, le bloque de toute façon.




  • Bonjour et merci pour vos réponses et conseilles :)

    Enfaite la mise en place de mon portail captif est un projet pour mon école et je n'ai a disposition qu'une machine avec 2 carte réseau pour mon pfsense ( donc je ne sais pas avoir une troisième interface).

    Ensuite l'idée et qu’enfaîte les utilisateurs d'une entreprise passe par un portail captif afin d’accéder à internet (donc ce sont bien les utilisateurs se trouvant dans le Lan) et en configurant le firewall je veux autoriser uniquement les ports utile pour le bon fonctionnement du portail et bloquer tous les autres non utilisés. L'interface Wan ne sert que de relais au routeur de mon FAI et par défaut les réglés du firewall semble tous bloqué.

    et de plus on m'a demandé de contrôler l'accès des utilisateurs après authentification pour qu'ils ne fassent pas n'importe quoi. Est-ce qu'il faut mettre en place un serveur proxy pour répondre à cette demande?

    Merci beaucoup de m'éclairer et de m'aider à comprendre.



  • @Est1303:

    Enfaite la mise en place de mon portail captif est un projet pour mon école et je n'ai a disposition qu'une machine avec 2 carte réseau pour mon pfsense ( donc je ne sais pas avoir une troisième interface).

    Ensuite l'idée et qu’enfaîte les utilisateurs d'une entreprise passe par un portail captif afin d’accéder à internet (donc ce sont bien les utilisateurs se trouvant dans le Lan) et en configurant le firewall je veux autoriser uniquement les ports utile pour le bon fonctionnement du portail et bloquer tous les autres non utilisés. L'interface Wan ne sert que de relais au routeur de mon FAI et par défaut les réglés du firewall semble tous bloqué.

    et de plus on m'a demandé de contrôler l'accès des utilisateurs après authentification pour qu'ils ne fassent pas n'importe quoi. Est-ce qu'il faut mettre en place un serveur proxy pour répondre à cette demande?

    A mon avis le portail captif est perçu de manière un peu biaisée.
    Je découvre dans ce forum pas mal de sujet relatif au portail captif en entreprise alors que l'usage en entreprise de cette technologie est assez limité, même si ça peut arriver (à dire vrai, je n'en ai jamais vu dans ma vie professionnelle en travaillant sur des comptes moyens à gros)

    L'idée initiale du portail captif, c'est d'intercepter le flux HTTP de l'utilisateur, quelle que soit la destination, pour que l'utilisateur soit redirigé vers un portail à partir duquel il doit exécuter une action préalable:

    • authentification
    • acceptation des conditions d'accès
    • fourniture d'un élément de "paiement" de l'accès (par exemple un voucher)

    C'est une technologie qu'on trouve sur la plupart des hotspot, dans les hôtels, dans les lieux où il y a un accès internet publique.

    C'est donc utilisable en entreprise, bien sûr, mais pour un usage assez restreint finalement car le portail n'offre pas les fonctions similaires à un proxy.
    Les deux sont bien sûr superposable  ;)  mais, toujours en entreprise (pour les utilisateurs internes), la valeur ajoutée du portail captif est assez faible alors que le proxy est pratiquement indispensable.

    Si l'objectif est d'authentifier les utilisateurs, un proxy suffit largement: seuls les utilisateurs authentifiés auront un accès internet, avec en plus possibilité de mettre en place les ACL (qui peut faire quoi, en HTTP), des contrôles horaires, des blacklists, de l'anti-virus.

    Je ne vois pas ce qu'une troisième interface vinedrait faire dans ce débat.

    Rien à voir avec le sujet, mais pour ton information:
    "enfaite" s'écrit "en fait"  ;)



  • Bonjour et merci pour ta réponse.

    Oui j'imagine mais comme la c'est un simple projet d'école le but est plus de tester et comprendre le fonctionnement. en fait ce qui me rend perplexe c'est que je n'ai pas autorisé le trafic du port 1812 dans mon firewall et malgré tous l'authentification via mon Radius s’effectue et lorsque je scan aussi bien mon pfsense que mon serveur Radius je ne vois aucune trace du port.

    Concernant mon pfsense il m'affiche bien les ports que j'ai ouvert au préalable a savoir (80,443,53) et le 8002 même si je ne l'ai pas activé il semble être utilisé pour la page d'authentification de Pfsense.

    Mais voila je ne comprend pas comment l'authentification Radius s’effectue est-ce que pfsense utilise une alternative pour quand même traverse le portail captif ou est-ce que le port 1812 est un port qui ne s'ouvre que lorsqu'il est utilisé?



  • Je crois qu'il vous faut revoir les fondamentaux. Vous confondez probablement ouverture de flux ( niveau 3, 4) et les aspects applicatifs où le firewall requête le serveur Radius. ce qui ne nécessite nullement l'ouverture du port 1812 puisque ce n'est pas le poste qui s'adresse au serveur Radius.

    j'ai voulut configuré le firewall afin de n'utilisé que les ports nécessaire au bon fonctionnement de mon portail captif tout en désactivant les autres ports inactif

    Je ne suis pas certain de comprendre ce que vous voulez dire. Par défaut une interface de Pfsesne n'autorise aucun trafic en entrée sur la dite interface.



  • Bonjour, je me suis peut être mal exprimé pour être plus précis je n'autorise que les ports donc j'ai besoin pour que les utilisateurs accèdent à internet via mon portail captif en désactivant le reste pour évité qu'un utilisateur mal attentionné ne fasse de bêtises.



  • @Est1303:

    Bonjour, je me suis peut être mal exprimé pour être plus précis je n'autorise que les ports donc j'ai besoin pour que les utilisateurs accèdent à internet via mon portail captif en désactivant le reste pour évité qu'un utilisateur mal attentionné ne fasse de bêtises.

    Et donc, pour simplifier un peu, tu n'as besoin que des ports 80/443 et 53 et ça marche  ;)

    Tout le reste n'utilise pas l'interface LAN, si je comprends bien ton design.



  • @ccnet:

    Je crois qu'il vous faut revoir les fondamentaux. Vous confondez probablement ouverture de flux ( niveau 3, 4) et les aspects applicatifs où le firewall requête le serveur Radius. ce qui ne nécessite nullement l'ouverture du port 1812 puisque ce n'est pas le poste qui s'adresse au serveur Radius.

    Donc cela voudrai dire que Pfsense et le portail captif ouvre et utilise le port 1812 uniquement lorsqu'un utilisateur s'authentifie? et cela me semblé bizarre depuis le début car Pfsense communique avec le Radius via son interface Lan étant donné qu'ils sont tous les deux connecté dans mon réseau local via un switch.

    Donc le fait de ne pas ouvrir se port qui est défini dans les paramètres du portail captif afin de faire circulé les données d'authentification me rend un peu perplexe.

    En tous cas merci pour vos réponses.



  • Donc cela voudrai dire que Pfsense et le portail captif ouvre et utilise le port 1812 uniquement lorsqu'un utilisateur s'authentifie?

    Non. Manifestement vous n'en avez toujours pas compris le fonctionnement.



  • @ccnet:

    Non. Manifestement vous n'en avez toujours pas compris le fonctionnement.

    Non car vous me dites qu'il n'ouvre pas le port 1812 pourtant dans la configuration du portail captif lorsqu'on indique l'IP du serveur Radius il faut préciser le port par lequel le portail vas communiqué avec le serveur Radius afin de faire circuler les données d'authentification.



  • dans la configuration du portail captif lorsqu'on indique l'IP du serveur Radius il faut préciser le port par lequel le portail vas communiqué avec le serveur Radius afin de faire circuler les données d'authentification.

    Et pour cela vous pensez qu'il faut ouvrir le port radius sur l'interface de Pfsense à la quelle se connecte l'utilisateur ?
    Je repète :

    Je crois qu'il vous faut revoir les fondamentaux. Vous confondez probablement ouverture de flux ( niveau 3, 4) et les aspects applicatifs où le firewall requête le serveur Radius. ce qui ne nécessite nullement l'ouverture du port 1812 puisque ce n'est pas le poste qui s'adresse au serveur Radius.

    Au surplus vous n’avez pas compris comment Pfsense filtre les flux réseau. Nous avons un flux sortant de Pfsense vers le Radius. Pfsense filtre les flux entrants sur une interface donnée. Et rien d'autre.
    Ces incompréhensions sont telles que vous faites courir des risques important à votre entité car vous ne maitrisez pas ce que vous faites. Ou, pire, ce que vous croyez faire. Vous pouvez continuer à scanner nuit et jour interface de Pfsesne vous ne verrez jamais le port 1812 ouvert.



  • D'accord merci j'ai compris maintenant. Pfsense ne gère que les flux entrant et lorsque Pfsense contact le serveur Radius c'est un flux sortant.

    Merci beaucoup en tous cas je met résolu pour le sujet.

    Bonne fin de journée à vous.



  • Il y a un second point, tout aussi important, à préciser pour être complet. Dans la cas du portail captif on souhaite authentifier l'utilisateur avant d’autoriser la navigation. Le portail captif fourni la fonctionnalité comme suit (version simplifiée, donc fausse et incomplète de l’échange protocolaire, à but didactique) :
    Lors de la première requête http(s) de l'utilisateur, la portail bloque le trafic et renvoi au navigateur une page de demande d'authentification.
    Nous avons donc client (TCP > 1024) -> portail captif (80 ou 443).
    Lorsque l'utilisateur retourne la page d'authentification : (TCP > 1024) -> portail captif (80 ou 443).
    Le portail traite les données et contacte le radius indiqué dans la configuration : Pfsense (TCP > 1024) -> Radius (TCP 1812)
    Le radius valide ou non, si oui le portail captif laisse passer le trafic du navigateur vers 80/443 du serveur de destination.
    Voilà pourquoi à aucun moment il n'est nécessaire d'ouvrir le port 1812.



  • D'accord, merci beaucoup pour vos précisions.