Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Fermer port 80 wan

    Français
    3
    26
    10726
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      alliass last edited by

      Bonjour,

      je suis en phase de test sur pfsense, je l'ai installé la première phase de configuration se passe sans pb particulié, cependant lorsque j'effectue un nmap sur mon adresse public mon port 80 est ouvert. Je souhaiterais qu'il n'y ait aucun port d'ouvert sur l'interface wan. Quelqu'un pourrait il me dire comment je dois procédé.

      J'ai malgré tout créé une rêgle sur l'interface wan :
      protocol : any
      source : *
      port : *
      destination :*
      port : *

      mais rien n'y fait le port 80 restes malgré tout open.

      merci d'avance pour l'aide que vous pourrez m'apporter.

      1 Reply Last reply Reply Quote 0
      • C
        ccnet last edited by

        Et cette règle fait quoi ? Vous avez juste oubliez de nous le dire !
        Il y a autre chose que vous ne dites pas. A quoi est connecté votre interface wan, une box (en pont, en routeur ?), un routeur, un modem adsl ?

        1 Reply Last reply Reply Quote 0
        • A
          alliass last edited by

          Effectivement désolé pour le manque de précision  :(

          mon interface wan est connectée sur un routeur SDSL fourni par mon fai.

          mon objectifs est de fermer tous les ports de l'interface wan.

          en esperant vous avoir apporté un peu plus d'élément

          merci à vous

          1 Reply Last reply Reply Quote 0
          • A
            alliass last edited by

            Je complete un peu plus en fait j'ai un boitier SDSL fourni par FT le routeur FAI et je viens plugger ma machine pfsense sur ce routeur et sur pfsense je lui attribue l'une des ip de ma plage ip.

            je sais pas si ces éléments vous permettent d'y voir un peu plus clair.

            1 Reply Last reply Reply Quote 0
            • C
              ccnet last edited by

              Ok l'adresse ip publique testée est donc bien sur l'interface wan.

              Quelle est l'action de la règle : PASS, BLOCK ou REJECT ?
              Sur cette règle activez la journalisation et contrôlez ce qui se trouve dans les logs après le test nmap.

              1 Reply Last reply Reply Quote 0
              • A
                alliass last edited by

                Ok l'adresse ip publique testée est donc bien sur l'interface wan
                    –-> Oui

                Quelle est l'action de la règle : PASS, BLOCK ou REJECT ?
                    ---> BLOCK

                Sur cette règle activez la journalisation et contrôlez ce qui se trouve dans les logs après le test nmap.
                    --->J'ai donc procédé au nmap, le résultat du nmap me dit que le port 80/tcp est open
                    dans pfsense -> System log -> firewall : plusieurs log sont apparuent toutes en action Block cependant dans la colonne destination j'ai cherché mon adresse wan:80 et je ne la vois pas.

                1 Reply Last reply Reply Quote 0
                • C
                  ccnet last edited by

                  Comment faites vous votre test ? à quoi, où est connecté la machine qui exécute Nmap ?
                  Je soupçonne votre test d'être incorrect et donc vos résultats faussés. Vous devriez voir l'ip source de la machine nmap et l'ip tetée dans la colonne destination dans les logs de Pfsense. La colonne If devrait indiquer Wan. Quelque chose ne va pas.

                  1 Reply Last reply Reply Quote 0
                  • A
                    alliass last edited by

                    Effectivement pardonnez moi je ne vous transmet pas toutes les informations. lorsque je fait le nmap ensuite dans l'interface pfsense j'ai les element suivant :

                    Act : une croix rouge
                    time : jour et heure
                    if : wan
                    source : adresse wan:port ou le nmap a été executé
                    destination : adresse wan:port de pfsense
                    proto : tcp.

                    je pense que mes testes sont correcte mais que je suis pas suffisement précis dans mes réponses je vais tacher d'y remédier.

                    1 Reply Last reply Reply Quote 0
                    • C
                      ccnet last edited by

                      Ok mais où est branchée physiquement la machine nmap et avec quelle ip travaille t  elle ?

                      destination : adresse wan:port de pfsense

                      si votre ip sur Wan de pfsense est 213.48.87.25 (fictif bien évidement) nous avons alors dans les logs :
                      213.48.87.25:80 TCP, c'est bien cela ? l'ip source wan est différente et c'est bien une ip publique hors RFC 1918 ?

                      1 Reply Last reply Reply Quote 0
                      • A
                        alliass last edited by

                        Effectivement j'ai un ecran ressemblant à cela (adresse ficitve)

                        Act : une croix rouge
                        time : jour et heure
                        if : wan
                        Source : 215.23.32.30:2540
                        Destination: 217.35.24.50:493 (adresse destination)
                        Proto : TCP

                        1 Reply Last reply Reply Quote 0
                        • C
                          ccnet last edited by

                          Avec BLOCK le paquet vers le port 80 est purement et simplement mis aux oubliettes et Pfsense ne répond pas. C'est donc le trou noir pour la machine en face. Mais :

                          Destination: 217.35.24.50:493

                          que vient faire le port 493 dans l'histoire ? Ce n'est pas le port http. Normalement vous devriez avoir
                          Destination: 217.35.24.50:80 ou alors ce n'est pas la réponse à votre scan nmap. Ce n'est toujours pas clair.

                          1 Reply Last reply Reply Quote 0
                          • A
                            alliass last edited by

                            que vient faire le port 493 dans l'histoire ? Ce n'est pas le port http. Normalement vous devriez avoir
                            Destination: 217.35.24.50:80 ou alors ce n'est pas la réponse à votre scan nmap. Ce n'est toujours pas clair

                            –-> je donnais un exemple.

                            En restant centré sur le port 80 : je n'ai aucun log lorsque que je fais un nmap wan -p 80
                            par contre le nmap me dit : 80/tcp - open - http

                            Si je scan le port 21 : une ligne de log apparait avec en destination l'adresse wan:21 et dans la colonne action la croix rouge.
                            nmap me retourne : 21/tcp - filtered - tcp

                            c'est quelques éléments sont il plus clair?

                            1 Reply Last reply Reply Quote 0
                            • C
                              ccnet last edited by

                              Depuis l'interface d'admin de Pfsense pouvez vous aller dans "Diagnostics: Execute command" et dans la rubrique "Execute Shell command" saisir "netstat" et cliquer sur le bouton "execute". Quel est le résultat, pour la partie Active Internet connections ?

                              Merci d'activer les logs sur toutes les règles (quelles soient pass, block ou reject) que vous avez mis sur toutes les interfaces, puis tester à nouveau.

                              1 Reply Last reply Reply Quote 0
                              • A
                                alliass last edited by

                                $ netstat (j'ai modifier les adresses ip)
                                Active Internet connections
                                Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
                                tcp4      0    564  pfsense.443          192.168.5.2.4640      ESTABLISHED
                                udp4      0      0  213.87.67.132.13502    arkas.fi.muni.cz.ntp 
                                udp4      0      0  213.87.67.132.3342    91-121-63-202.ov.ntp 
                                udp4      0      0  213.87.67.132.59222    services.127001..ntp 
                                udp4      0      0  213.87.67.132.41529    ns.airbites.bg.ntp   
                                udp4      0      0  213.87.67.132.35127    zaphod.rfc1149.n.ntp

                                Merci d'activer les logs sur toutes les règles (quelles soient pass, block ou reject) que vous avez mis sur toutes les interfaces, puis tester à nouveau
                                –> C'est fait j'ai ajouté  qu'une seule regle pour le moment : sur l'interface wan
                                protocol : any
                                source : *
                                port : *
                                destination :*
                                port : *

                                j'y ai coché la case : Log packets that are handled by this rule

                                est ce correct?

                                1 Reply Last reply Reply Quote 0
                                • C
                                  ccnet last edited by

                                  je n'ai aucun log lorsque que je fais un nmap wan -p 80

                                  Ce qui est complètement anormal.
                                  Le résultat de netstat est normal, votre accès à l'admin est bien en https. Sinon vous utilisez une palanquée de serveurs de temps. RAS.
                                  Et si vous essayer de lancer un navigateur vers votre ip wan, depuis l'extérieur toujours bien sur, que se passe t il ?

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    alliass last edited by

                                    Ce qui est complètement anormal.
                                    –>C'est clair j'avoue ne pas trop comprendre pour etre totalement transparent je suis en phase d'implémentation de la solution et j'ai que les rêgles de base à savoir :
                                    interface LAN : Default LAN Any
                                    interface WAN : la regles RFC 1918 networks
                                                          Ma regle cité dans les postes précédent

                                    Le résultat de netstat est normal, votre accès à l'admin est bien en https.
                                    -->effectivement

                                    Sinon vous utilisez une palanquée de serveurs de temps. RAS.
                                    -->comment les supprimer?

                                    Et si vous essayer de lancer un navigateur vers votre ip wan, depuis l'extérieur toujours bien sur, que se passe t il ?
                                    -->quand j'attaque mon ip public en http un message apparait en stipulant que la page ne peut etre affichée

                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      MageMinds last edited by

                                      Je soupçonne que vous ne faites pas le à partir de la bonne machine. Prenez un navigateur connecté derrière votre pfSense et allez à l'adresse http://nmap-online.com/ faites votres nmap à partir de là. Si ce nmap donne encore le port 80 ouvert, tentez d'accéder à votre pfSense à partir d'un autre ordinateur sur Internet pour voir ce qui réponds. Certains fournisseurs d'accès Internet vous empêchent d'avoir un site web et pour se faire vont rediriger les requêtes vers le port 80 de votre modem sur leur serveurs.

                                      Sinon faites des capture d'écran de votre configuration Firewall->NAT (tous les onglets) et Firewall->Rules (onglet WAN) et postez les ici.

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        alliass last edited by

                                        Je soupçonne que vous ne faites pas le à partir de la bonne machine. Prenez un navigateur connecté derrière votre pfSense et allez à l'adresse http://nmap-online.com/ faites votres nmap à partir de là. Si ce nmap donne encore le port 80 ouvert, tentez d'accéder à votre pfSense à partir d'un autre ordinateur sur Internet pour voir ce qui réponds. Certains fournisseurs d'accès Internet vous empêchent d'avoir un site web et pour se faire vont rediriger les requêtes vers le port 80 de votre modem sur leur serveurs.

                                        En utilisant la liens que vous m'avez communiquer et en executant le nmap je me retrouve avec aucun port d'ouvert. Et dans les logs firewalls, je vois bien le block sur le port 80.

                                        Je ne sais comment vous remercier pour le temps que vous avez bien voulu prendre pour me venir en aide.

                                        Pourriez vous juste me dire comment faire pour supprimer des serveurs de temps.

                                        merci encore.

                                        1 Reply Last reply Reply Quote 0
                                        • C
                                          ccnet last edited by

                                          Je soupçonne que vous ne faites pas le nmap à partir de la bonne machine

                                          C'est bien l'idée que j'avais en tête depuis presque le début.

                                          Sinon vous avez des machines sur votre lan qui sont probablement configure avec un service qui exploite ces serveurs ntp.
                                          Bloquer le service ntp par une règle sur "lan" vous permettra sans doute de voir d'où cela vient.

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            alliass last edited by

                                            Ok merci encore bcp pour votre patience et votre aide.

                                            pourriez vous me dire si la solution pfsense est une solution avec suffisement de recule pour dire qu'elle est vraiment fiable.

                                            Peut on comparer pfsense à des firewall boitier de type sonicwall et companie?

                                            merci pour les informations que vous pourrez me communiquer.

                                            1 Reply Last reply Reply Quote 0
                                            • M
                                              MageMinds last edited by

                                              Concernant la fiabilité, c'est aussi fiable que le matériel que tu va utilisé pour faire tourner pfSense, donc si tu utilise de vieux disques dur, le routeur/firewall sera aussi fiable que le disque dur.

                                              Cela fait quelques années que je connais pfSense je l'ai sélectionné au départ car c'était leur seul qui faisait du QoS et il est encore un des meilleur à le faire. Il ne reste plus qu'à attendre la nouvelle version pour voir la QoS sur plusieurs interfaces et c'est le routeur parfait.

                                              Tu peux si tu veux installer deux routeurs pfSense qui se relaient lorsqu'un des deux a un bris matériel rendant l'installation vraiment redondante et robuste.

                                              Je n'ai jamais eu à redémarrer pfSense parce qu'il ne répondais plus, alors que plusieurs routeur que je ne nommerai pas doivent à temps régulier se faire redémarrer.

                                              J'ai un SonicWall là où je travaille et dès que j'ai un peu de temps, je vais le remplacer par un pfSense, il servira à router le trafic entre mes futur différents VLAN. À la maison, j'utilise pfSense, il fait de la QoS pour m'assurrer de toujours avoir une qualité parfaite sur ton téléphone SIP (ligne principale) je transfère près de 400 GB par mois en P2P donc c'est une nécessité pour moi. Il agis aussi comme Access Point WiFi et j'ai 3 VPN IPSec dont les end point sont un pfSense, un Linksys RT042 et un SonicWall. Il roule sur une Compac Flash connectée à un adaptateur IDE sur un Pentium 3 700 MHz avec 512 MB de mémoire je crois, je ne m'en souviens plus. Il est en mode agressif et j'ai 100 000 states possibles. La seule chose que j'aimerais voir ajouté c'est que les graphiques RRD soient enregistrée sur le compac flash une fois par mois ou par semaine (configurable) car lorsque l'électricité manque, un grand trou se produit dans les graph…

                                              Bref pfSense, c'est le meilleur produit disponible gratuitement sur Internet dans toute la gamme de ce que j'ai pu tester, IPCop, SmoothWall et compagnie ne lui arrive pas à la cheville... Pour ce qui est des solutions comme SonicWall et bien je te confirme que SonicWall peut aller se rhabiller.

                                              Si tu veux un système qui n'a pas de pièces mobiles, il existe un paquet de carte maitresse avec des processeurs sans ventilateur, je pense à Via et AMD Geode si ma mémoire est bonne. Avec une carte compact Flash et une installation Embedded tu est bon pour plusieurs années, j'ai vu DEUX Linksys RV042 sauter en moins de 2 ans.

                                              Sur ce mon éloge de pfSense se termine

                                              MageMinds

                                              1 Reply Last reply Reply Quote 0
                                              • A
                                                alliass last edited by

                                                Je te remercie pour ce retour d'experience.

                                                Si l'on doit monter plusieur vpn IPSEC une 30 ene disont quelle type de configuration faut il avoir? Pfsense parviendrat il à gérer cela sans problème?

                                                1 Reply Last reply Reply Quote 0
                                                • M
                                                  MageMinds last edited by

                                                  pfSense n'aura aucun problème à gérer tout ça, c'est le matériel que tu choisira qui fera la différence… Je te conseil donc au minimum un Pentium 4, aux alentours de 1.6 à 2 GHz avec 1 GO de mémoire et des cartes réseau Intel, les cartes réseau Intel sont plus performantes que les autres cartes moins chère, car elle font la gestion TCP elle même alors que les autres cartes laisse le processeur central faire tout le travail. Tu aura besoin du processeur central pour faire le cryptage de tes VPN.

                                                  Avec autant de VPN tu pourrais aussi considérer une carte de cryptage tel que http://www.soekris.com/vpn1401.htm ça te permettrais d'utiliser un CPU moins puissant tout en gardant un très haut niveau de performance de cryptage pour pas très cher (54 Euro).

                                                  Si tu veux vraiment de bonnes cartes réseau, va y avec des cartes de grade serveur, ne paie pas plus cher pour des gigabits si tu n'a pas besoin d'atteindre cette vitesse, l'Internet dépasse rarement 100 mbits à moins que tu n'aie une connexion à l'Internet dans les gigabits, une carte réseau grade serveur 100 mbits sera suffisante.

                                                  Si comme moi tu prévois faire du routage entre VLAN via ton routeur, à ce moment là les carte LAN devraient être des gigabits, sinon c'est ce n'est que pour partager l'accès à Internet encore là des 100 mbits seront suffisantes.

                                                  Ce qui manque à pfSense c'est la possibilité de monter un tunnel VPN entre deux routeur ayant une adresse DynDNS, actuellement un des deux routeur doit avoir une adresse IP Statique et l'autre peut avoir une adresse dynamique ou statique bien sûr.

                                                  1 Reply Last reply Reply Quote 0
                                                  • A
                                                    alliass last edited by

                                                    Merci pour ta réponse.

                                                    Avec pfsense qui a une ip publique fixe, si j'ai un site distant qui a une ip dynamique, je peux tout de meme monter une connexion VPN en ipsec?

                                                    c'est ce que j'ai compris par rapport à ta phrase suivante :
                                                    Ce qui manque à pfSense c'est la possibilité de monter un tunnel VPN entre deux routeur ayant une adresse DynDNS, actuellement un des deux routeur doit avoir une adresse IP Statique et l'autre peut avoir une adresse dynamique ou statique bien sûr.

                                                    1 Reply Last reply Reply Quote 0
                                                    • M
                                                      MageMinds last edited by

                                                      @alliass:

                                                      Avec pfsense qui a une ip publique fixe, si j'ai un site distant qui a une ip dynamique, je peux tout de meme monter une connexion VPN en ipsec?

                                                      FInalement j'ai fait des tests et ça fonctionne seulement si pfSense est celui qui se connecte à l'adresse IP fixeet uq'à l'autre bout un autre type de routeur qui lui supporte la résolution de nom est utilisé.

                                                      racoon ne supporte pas les noms DNS dans la configuration de l'adresse "Remote gateway"

                                                      Désolé de t'avoir induit en erreur… Au travail nous utilisons un SonicWall et à la maison j'ai un pfSense et ça fonctionne, pfSense=Dynamique SonicWall=Statique

                                                      1 Reply Last reply Reply Quote 0
                                                      • A
                                                        alliass last edited by

                                                        Désolé de t'avoir induit en erreur…  -> Pas de problème merci a toi d'avoir pris le tps de me répondre

                                                        1 Reply Last reply Reply Quote 0
                                                        • First post
                                                          Last post

                                                        Products

                                                        • Platform Overview
                                                        • TNSR
                                                        • pfSense Plus
                                                        • Appliances

                                                        Services

                                                        • Training
                                                        • Professional Services

                                                        Support

                                                        • Subscription Plans
                                                        • Contact Support
                                                        • Product Lifecycle
                                                        • Documentation

                                                        News

                                                        • Media Coverage
                                                        • Press
                                                        • Events

                                                        Resources

                                                        • Blog
                                                        • FAQ
                                                        • Find a Partner
                                                        • Resource Library
                                                        • Security Information

                                                        Company

                                                        • About Us
                                                        • Careers
                                                        • Partners
                                                        • Contact Us
                                                        • Legal
                                                        Our Mission

                                                        We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                                        Subscribe to our Newsletter

                                                        Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                                        © 2021 Rubicon Communications, LLC | Privacy Policy