Activer ou désactiver une régle FireWall



  • Bonjour à tous,

    J'utilise depuis plusieurs années pfSense professionnellement et uniquement via l'interface Web qui est parfaitement adaptée à mes besoins quotidiens.

    Aujourd'hui, je suis confronté à un autre problème… A titre personnel j'ai aussi une pfSense. Car vivant au trou du cul du monde, j'ai deux WAN : satellite (20 Mbps) et ADSL (1.5 Mpbs).

    J'ai donc mis en place certaines règles pour que chacun des membre du foyer puisse profiter de l'Internet. La sortie par défaut étant l'ADSL (ma famille n'ayant pas de gros besoin en débit).

    Et, là, nous tombons dans le drame parental : en cas de désobéissance d'un ou des deux de mes deux enfants (10 et 14 ans), je leur coupe le réseau (les règles sont définies via l'interface Web dans Firewall:Rules) et privent leurs ordinateurs, tablettes ou téléphones de l'accès à l'Internet.

    Après cette longue mise en scène, voici mon problème :

    Aujourd'hui, je passe par l'interface Web de la pfSense, ce qui me prends pas mal de temps.

    Il y a quelques temps j'étais sous FortiGate et pouvais d'une simple ligne de commande activer ou désactiver une règle. Je m'étais alors développé une interface web qui, via Perl ou PHP, exécutait la courte commande qui switchait la règle d'un état à l'autre, en cliquant simplement sur un bouton qui exécutait un script via spawn.

    Ma question est donc la suivante :
    Comment, via le shell (command line), activer ou désactiver une règle (Firewall: Rules) ?

    Merci d'avance pour votre aide, je parcours le FAQ depuis pas mal de temps et je n'en peux plus…

    Bien à vous,

    Cyril



  • Salut salut

    Premièrement, je ce que je vais vous répondre ne va pas résoudre votre problème de la manière que vous espérez.

    Deuxièmement, Ce que vous recherché est plus dans l'esprit d'un portail captif avec gestion des utilisateurs et leur droits d'accès ou non à un service. Je comprend votre situation car je suis dans la même problématique de gestion d'accès de mes sous programmes.

    Par simplicité Je suis partisan du cette solution. et je m'en explique :

    • Vous allez vous casser la tête sur un script qui du point de vu sécurité fragiliser le Pf en ouvrant potentiellement des portes qui ne doivent pas être ouverte.
    • L'usage de ces services déportés sur un os physique ou virtualisé est préférable de ne pas les intégrer sur pf via ces addon qui même s'ils sont disponible et intégrable sur pf le fragilise pour les mêmes raisons cité en préambule.
    • le concept est simple , si je te connais tu peux utiliser le service y ou y mais pas z et sur une place horaire défini, avec une interface web qui demandera aux utilisateurs de s'identifier. c'est complexe à mettre en oeuvre qu'un simple script mais qui à l'avantage d'être plus robuste sur le long terme.

    Ceci n'est qu'un avis en aucun pas une solution imposée.

    Cordialement.



  • Bonsoir Tatave,

    Merci beaucoup pour votre réponse et le temps que vous m'avez consacré.

    J'entends bien et suis parfaitement conscient que mon souhait est totalement hérétique d'un point de vue sécurité (le script spwan contenant nécessairement un mot de passe en clair). Cependant, c'est pour la maison, et la présence d'un FortiGate ou d'une pfSense à la maison est plus liée à mon double accès Sat + ADSL (load balancing) qu'à la stricte sécurité.

    La notion de plage d'utilisation de l'Internet a aussi été envisagée, mais n'est pas adaptée. Pour résumer, mon besoin (j'ai peut-être mal formulé mon précédent post) est de pouvoir en un simple clic, sur une page locale dont moi seul connait l'adresse (moi seul vs. enfants), couper l'accès de machines définies dans les règles du FW. En gros, le gamin n’obéit pas : coupure sous 5 secondes. J'ai bien conscience que ce type de post dans ce forum peut surprendre… Je vous prie de m'en excuser.

    Je reviens à mon FortiGate : une simple ligne commande via un shell SSH permet de rendre active ou non une règle du FW.

    Si cette commande existe sous pfSense, c'est cette dernière que je recherche désespérément...

    Merci à vous tous pour votre aide.

    Cyril



  • Ta demande n'est pas si surprenant que ça. J'ai eu parfois à faire planer cette menace à la maison également ;-)
    mais comme l'idée n'est pas de faire du switch ON / OFF en permanence, activer ou désactiver une règle n'est quand même pas bien difficile via l'interface.

    Mon implémentation est un peu différente cependant: créer des règle de FW par adresse IP pour des machines "utilisateur" ne correspond pas à l'idée que je me fait de l'administration d'un FW. C'est pourquoi j'utilise un proxy avec authentification. Bloquer un utilisateur se traduit par la modification du groupe des utilisateurs autorisés. Dans le groupe, tu as le droit, hors du groupe, plus d'accès.

    Aucun changement sur le FW  ;)

    ça ne résout pas 100% des problèmes car il y a des accès qui ne sont pas HTTP mais c'est très efficace  ;D



  • Bonsoir Chris et merci beaucoup pour ta contribution.

    En effet, activer ou désactiver un règle est simple, mais ils y a trop de clics… ;-) Et il faut s'identifier sur la pfSense. Le plus rapide et le plus confortable est donc de le faire via un ordinateur.

    Comme évoqué plus haut, je souhaitais le faire via un simple bouton sur une page maison utilisable depuis un iDevice ou un Mac/PC comme qui rigole...

    En tous cas, je vous remercie beaucoup. Je vais quand même continué à chercher et vous tiendrai au jus.

    A+

    Cyril