Explication règles de firewall par rapport au Fortigate. Difficultés de compréhe



  • Bonjour,

    J'essaye depuis plusieurs jours a mettre en place un simple système WAN-LAN-VLAN.
    Avec bien sur le VLAN sur l'interface LAN.

    LAN:192.168.1.0/24
    VLAN10: 192.168.10.0/24

    J'ai eu un doute sur mon switch sur le fait que les ports ne soit pas bien taggués ou autre.
    J'ai donc emprunté un fortigate F50 à la boite, je l'ai configuré et ma VM reçoit très bien l'adresse IP du VLAN.

    Le doute étant levé au niveau du switch, de la VM, il ne me reste plus que Pfsense.

    Les règle d'un fortigate se présente ainsi:

    ID    FROM            TO                    SOURCE                                DESTINATION                            SERVICE                        ACTION

    1      lan              wan1                    all                                              all                                          any                                  accept

    2      vlan10        wan1                    all                                            all                                          any                                  accept

    3      vlan10          lan                        vlan10_NET                              lan_NET                                any                                accept

    4      lan                vlan10                  lan_NET                                    vlan_NET                              any                                accept

    Mes questions sont donc comment traduire ces règles 2-3-4 dans pfsense.

    par exemple pour la règle 3, je me place sur mets l'interface vlan 10 et je sélectionne:

    interface vlan10

    proto        source              port        destination        port              gateway

    ipv4            vlan10              *              lan_NET            *                        *

    Est-ce suffisant pour la règle 3 ou faut-il aller dans l'interface LAN puis ajouter une autre règle.

    A moins que je ne me trompe d'interface, que je raisonne à l'envers ?

    merci de vos explications.

    Didier



  • Pouvez vous faire un test avec any en destination ? La numéro de reseau du vlan10 est peut être  différent de celui représenté par lan_net ? Sinon la règle est au bon endroit.



  • bonjour,

    J'ai essayé et c'est la même chose  :-[

    Je vois que les pilotes de ma carte réseau esxi est en version igb 2.1.
    Il en existe en igb 5.1 ou 5.2. je vais changer les drivers et j'essayerai vendredi prochain.

    merci
    didier



  • Des copies d'écran des configs (vlans, etc …) de l'interface réseau concernée pourraient aider.



  • Bonjour,

    update des drivers de la cartes reseaux effectués mais toujours le même problème.

    ci joint les captures d'écran de mon switch, de l'esxi et de pfsense.
    Donc le LAN est configurer sur la vmnic5 (port physique) et sur cette vmnic5 j'ai ajouté une interface vlan10.
    Sur mon switch, le port physique du LAN est le P6. Il est donc taggué dans le vlan10.
    Le port P9 c'est mon pc portable pour le test, il est en untagged. Il est censé récupérer une adresse en 192.168.10.x.
    Les règles de firewall, qui je pense, sont correctes.

    Si vous voyez des anomalies, je ne sais plus du tout quoi faire.

    merci












  • @bakara49:

    Si vous voyez des anomalies

    A ce stade, je n'ai pas regardé vraiment dans le détail mais je ne comprends pas la raison de cette gateway définie pour LAN Net (dernière règle)



  • bonjour,

    Le gwgroupe c'est pour le load balancing- failover.

    Didier



  • mais tu n'a pas besoin de ça pour des règles en "entrée"  ???
    le failover s'applique sur l'interface externe, celle qui pointe sur le groupe de gateways

    EDIT: enfin… quoique..  :-\  je comprends ce que tu as fait maintenant que je le lis mieux.  :-X


Log in to reply