Fermer port 80 wan
-
Ok l'adresse ip publique testée est donc bien sur l'interface wan.
Quelle est l'action de la règle : PASS, BLOCK ou REJECT ?
Sur cette règle activez la journalisation et contrôlez ce qui se trouve dans les logs après le test nmap. -
Ok l'adresse ip publique testée est donc bien sur l'interface wan
–-> OuiQuelle est l'action de la règle : PASS, BLOCK ou REJECT ?
---> BLOCKSur cette règle activez la journalisation et contrôlez ce qui se trouve dans les logs après le test nmap.
--->J'ai donc procédé au nmap, le résultat du nmap me dit que le port 80/tcp est open
dans pfsense -> System log -> firewall : plusieurs log sont apparuent toutes en action Block cependant dans la colonne destination j'ai cherché mon adresse wan:80 et je ne la vois pas. -
Comment faites vous votre test ? à quoi, où est connecté la machine qui exécute Nmap ?
Je soupçonne votre test d'être incorrect et donc vos résultats faussés. Vous devriez voir l'ip source de la machine nmap et l'ip tetée dans la colonne destination dans les logs de Pfsense. La colonne If devrait indiquer Wan. Quelque chose ne va pas. -
Effectivement pardonnez moi je ne vous transmet pas toutes les informations. lorsque je fait le nmap ensuite dans l'interface pfsense j'ai les element suivant :
Act : une croix rouge
time : jour et heure
if : wan
source : adresse wan:port ou le nmap a été executé
destination : adresse wan:port de pfsense
proto : tcp.je pense que mes testes sont correcte mais que je suis pas suffisement précis dans mes réponses je vais tacher d'y remédier.
-
Ok mais où est branchée physiquement la machine nmap et avec quelle ip travaille t elle ?
destination : adresse wan:port de pfsense
si votre ip sur Wan de pfsense est 213.48.87.25 (fictif bien évidement) nous avons alors dans les logs :
213.48.87.25:80 TCP, c'est bien cela ? l'ip source wan est différente et c'est bien une ip publique hors RFC 1918 ? -
Effectivement j'ai un ecran ressemblant à cela (adresse ficitve)
Act : une croix rouge
time : jour et heure
if : wan
Source : 215.23.32.30:2540
Destination: 217.35.24.50:493 (adresse destination)
Proto : TCP -
Avec BLOCK le paquet vers le port 80 est purement et simplement mis aux oubliettes et Pfsense ne répond pas. C'est donc le trou noir pour la machine en face. Mais :
Destination: 217.35.24.50:493
que vient faire le port 493 dans l'histoire ? Ce n'est pas le port http. Normalement vous devriez avoir
Destination: 217.35.24.50:80 ou alors ce n'est pas la réponse à votre scan nmap. Ce n'est toujours pas clair. -
que vient faire le port 493 dans l'histoire ? Ce n'est pas le port http. Normalement vous devriez avoir
Destination: 217.35.24.50:80 ou alors ce n'est pas la réponse à votre scan nmap. Ce n'est toujours pas clair–-> je donnais un exemple.
En restant centré sur le port 80 : je n'ai aucun log lorsque que je fais un nmap wan -p 80
par contre le nmap me dit : 80/tcp - open - httpSi je scan le port 21 : une ligne de log apparait avec en destination l'adresse wan:21 et dans la colonne action la croix rouge.
nmap me retourne : 21/tcp - filtered - tcpc'est quelques éléments sont il plus clair?
-
Depuis l'interface d'admin de Pfsense pouvez vous aller dans "Diagnostics: Execute command" et dans la rubrique "Execute Shell command" saisir "netstat" et cliquer sur le bouton "execute". Quel est le résultat, pour la partie Active Internet connections ?
Merci d'activer les logs sur toutes les règles (quelles soient pass, block ou reject) que vous avez mis sur toutes les interfaces, puis tester à nouveau.
-
$ netstat (j'ai modifier les adresses ip)
Active Internet connections
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 564 pfsense.443 192.168.5.2.4640 ESTABLISHED
udp4 0 0 213.87.67.132.13502 arkas.fi.muni.cz.ntp
udp4 0 0 213.87.67.132.3342 91-121-63-202.ov.ntp
udp4 0 0 213.87.67.132.59222 services.127001..ntp
udp4 0 0 213.87.67.132.41529 ns.airbites.bg.ntp
udp4 0 0 213.87.67.132.35127 zaphod.rfc1149.n.ntpMerci d'activer les logs sur toutes les règles (quelles soient pass, block ou reject) que vous avez mis sur toutes les interfaces, puis tester à nouveau
–> C'est fait j'ai ajouté qu'une seule regle pour le moment : sur l'interface wan
protocol : any
source : *
port : *
destination :*
port : *j'y ai coché la case : Log packets that are handled by this rule
est ce correct?
-
je n'ai aucun log lorsque que je fais un nmap wan -p 80
Ce qui est complètement anormal.
Le résultat de netstat est normal, votre accès à l'admin est bien en https. Sinon vous utilisez une palanquée de serveurs de temps. RAS.
Et si vous essayer de lancer un navigateur vers votre ip wan, depuis l'extérieur toujours bien sur, que se passe t il ? -
Ce qui est complètement anormal.
–>C'est clair j'avoue ne pas trop comprendre pour etre totalement transparent je suis en phase d'implémentation de la solution et j'ai que les rêgles de base à savoir :
interface LAN : Default LAN Any
interface WAN : la regles RFC 1918 networks
Ma regle cité dans les postes précédentLe résultat de netstat est normal, votre accès à l'admin est bien en https.
-->effectivementSinon vous utilisez une palanquée de serveurs de temps. RAS.
-->comment les supprimer?Et si vous essayer de lancer un navigateur vers votre ip wan, depuis l'extérieur toujours bien sur, que se passe t il ?
-->quand j'attaque mon ip public en http un message apparait en stipulant que la page ne peut etre affichée -
Je soupçonne que vous ne faites pas le à partir de la bonne machine. Prenez un navigateur connecté derrière votre pfSense et allez à l'adresse http://nmap-online.com/ faites votres nmap à partir de là. Si ce nmap donne encore le port 80 ouvert, tentez d'accéder à votre pfSense à partir d'un autre ordinateur sur Internet pour voir ce qui réponds. Certains fournisseurs d'accès Internet vous empêchent d'avoir un site web et pour se faire vont rediriger les requêtes vers le port 80 de votre modem sur leur serveurs.
Sinon faites des capture d'écran de votre configuration Firewall->NAT (tous les onglets) et Firewall->Rules (onglet WAN) et postez les ici.
-
Je soupçonne que vous ne faites pas le à partir de la bonne machine. Prenez un navigateur connecté derrière votre pfSense et allez à l'adresse http://nmap-online.com/ faites votres nmap à partir de là. Si ce nmap donne encore le port 80 ouvert, tentez d'accéder à votre pfSense à partir d'un autre ordinateur sur Internet pour voir ce qui réponds. Certains fournisseurs d'accès Internet vous empêchent d'avoir un site web et pour se faire vont rediriger les requêtes vers le port 80 de votre modem sur leur serveurs.
En utilisant la liens que vous m'avez communiquer et en executant le nmap je me retrouve avec aucun port d'ouvert. Et dans les logs firewalls, je vois bien le block sur le port 80.
Je ne sais comment vous remercier pour le temps que vous avez bien voulu prendre pour me venir en aide.
Pourriez vous juste me dire comment faire pour supprimer des serveurs de temps.
merci encore.
-
Je soupçonne que vous ne faites pas le nmap à partir de la bonne machine
C'est bien l'idée que j'avais en tête depuis presque le début.
Sinon vous avez des machines sur votre lan qui sont probablement configure avec un service qui exploite ces serveurs ntp.
Bloquer le service ntp par une règle sur "lan" vous permettra sans doute de voir d'où cela vient. -
Ok merci encore bcp pour votre patience et votre aide.
pourriez vous me dire si la solution pfsense est une solution avec suffisement de recule pour dire qu'elle est vraiment fiable.
Peut on comparer pfsense à des firewall boitier de type sonicwall et companie?
merci pour les informations que vous pourrez me communiquer.
-
Concernant la fiabilité, c'est aussi fiable que le matériel que tu va utilisé pour faire tourner pfSense, donc si tu utilise de vieux disques dur, le routeur/firewall sera aussi fiable que le disque dur.
Cela fait quelques années que je connais pfSense je l'ai sélectionné au départ car c'était leur seul qui faisait du QoS et il est encore un des meilleur à le faire. Il ne reste plus qu'à attendre la nouvelle version pour voir la QoS sur plusieurs interfaces et c'est le routeur parfait.
Tu peux si tu veux installer deux routeurs pfSense qui se relaient lorsqu'un des deux a un bris matériel rendant l'installation vraiment redondante et robuste.
Je n'ai jamais eu à redémarrer pfSense parce qu'il ne répondais plus, alors que plusieurs routeur que je ne nommerai pas doivent à temps régulier se faire redémarrer.
J'ai un SonicWall là où je travaille et dès que j'ai un peu de temps, je vais le remplacer par un pfSense, il servira à router le trafic entre mes futur différents VLAN. À la maison, j'utilise pfSense, il fait de la QoS pour m'assurrer de toujours avoir une qualité parfaite sur ton téléphone SIP (ligne principale) je transfère près de 400 GB par mois en P2P donc c'est une nécessité pour moi. Il agis aussi comme Access Point WiFi et j'ai 3 VPN IPSec dont les end point sont un pfSense, un Linksys RT042 et un SonicWall. Il roule sur une Compac Flash connectée à un adaptateur IDE sur un Pentium 3 700 MHz avec 512 MB de mémoire je crois, je ne m'en souviens plus. Il est en mode agressif et j'ai 100 000 states possibles. La seule chose que j'aimerais voir ajouté c'est que les graphiques RRD soient enregistrée sur le compac flash une fois par mois ou par semaine (configurable) car lorsque l'électricité manque, un grand trou se produit dans les graph…
Bref pfSense, c'est le meilleur produit disponible gratuitement sur Internet dans toute la gamme de ce que j'ai pu tester, IPCop, SmoothWall et compagnie ne lui arrive pas à la cheville... Pour ce qui est des solutions comme SonicWall et bien je te confirme que SonicWall peut aller se rhabiller.
Si tu veux un système qui n'a pas de pièces mobiles, il existe un paquet de carte maitresse avec des processeurs sans ventilateur, je pense à Via et AMD Geode si ma mémoire est bonne. Avec une carte compact Flash et une installation Embedded tu est bon pour plusieurs années, j'ai vu DEUX Linksys RV042 sauter en moins de 2 ans.
Sur ce mon éloge de pfSense se termine
MageMinds
-
Je te remercie pour ce retour d'experience.
Si l'on doit monter plusieur vpn IPSEC une 30 ene disont quelle type de configuration faut il avoir? Pfsense parviendrat il à gérer cela sans problème?
-
pfSense n'aura aucun problème à gérer tout ça, c'est le matériel que tu choisira qui fera la différence… Je te conseil donc au minimum un Pentium 4, aux alentours de 1.6 à 2 GHz avec 1 GO de mémoire et des cartes réseau Intel, les cartes réseau Intel sont plus performantes que les autres cartes moins chère, car elle font la gestion TCP elle même alors que les autres cartes laisse le processeur central faire tout le travail. Tu aura besoin du processeur central pour faire le cryptage de tes VPN.
Avec autant de VPN tu pourrais aussi considérer une carte de cryptage tel que http://www.soekris.com/vpn1401.htm ça te permettrais d'utiliser un CPU moins puissant tout en gardant un très haut niveau de performance de cryptage pour pas très cher (54 Euro).
Si tu veux vraiment de bonnes cartes réseau, va y avec des cartes de grade serveur, ne paie pas plus cher pour des gigabits si tu n'a pas besoin d'atteindre cette vitesse, l'Internet dépasse rarement 100 mbits à moins que tu n'aie une connexion à l'Internet dans les gigabits, une carte réseau grade serveur 100 mbits sera suffisante.
Si comme moi tu prévois faire du routage entre VLAN via ton routeur, à ce moment là les carte LAN devraient être des gigabits, sinon c'est ce n'est que pour partager l'accès à Internet encore là des 100 mbits seront suffisantes.
Ce qui manque à pfSense c'est la possibilité de monter un tunnel VPN entre deux routeur ayant une adresse DynDNS, actuellement un des deux routeur doit avoir une adresse IP Statique et l'autre peut avoir une adresse dynamique ou statique bien sûr.
-
Merci pour ta réponse.
Avec pfsense qui a une ip publique fixe, si j'ai un site distant qui a une ip dynamique, je peux tout de meme monter une connexion VPN en ipsec?
c'est ce que j'ai compris par rapport à ta phrase suivante :
Ce qui manque à pfSense c'est la possibilité de monter un tunnel VPN entre deux routeur ayant une adresse DynDNS, actuellement un des deux routeur doit avoir une adresse IP Statique et l'autre peut avoir une adresse dynamique ou statique bien sûr.