Règles coté LAN [communication avec internet]



  • Bonjour à tous,

    J'ai un petit souci avec les regles coté LAN de mon pfsense.

    Voici un screen :

    Voila, j'arrive à pinguer l'adresse ip 8.8.8.8 ainsi que le domaine google.fr sans probleme en revanche je n'ai pas du tout accès en http(ou https) directement.

    Le reseeau ressemble dans les grandes linges à ca :

    poste–------------[LAN-172.31.10.254][Pfsense][WAN-172.31.0.110]–------[Routeur-172.31.0.254]

    Merci d'avance pour vos réponses



  • il manque des netmask pour qu'on comprenne bien  ;)



  • Bonjour,

    Il est très fortement conseiller de préciser le réseau source dans l'écriture des règles.

    Il est également très judicieux d'utiliser les ''ALias'' pour diminuer le nombres de règles, facilité leurs écriture ET leurs lisibilitée  ;)

    Les règles sont appliquer dans l'ordre (la 1ère règle est celle du haut de la liste) ; la 1ère règle qui ''match'' avec la requette valide ou bloque le traffic, les règles suivantes ne sont pas vérifier.
    Par défaut, tout flux non authorisé est bloquer, votre dernière règle ne sert donc à rien.

    exemple :



  • On sait que 'pf' qui est le 'moteur' de filtrage de FreeBsd (d'où le nom pfSense) raisonne à partir de l'interface d'arrivée du paquet initial d'une session Client <-> Serveur.
    D'où les onglets correspondants à chaque interface (et VPN) dans Firewall > Rules

    Par voie de conséquence,
    la source d'une règle, pour une interface interne, ne devrait pas être 'any' (ou '*') : par exemple, 'LAN subnet' pour l'onglet/interface LAN.

    L'alias, comme indiqué par Baalserv, est un atout de pfSense : simplicité, lisibilité, facilité ou faciliter !

    Il n'empêche, puisque vous n'avez pas utiliser le formulaire de présentation, qu'il manque BEAUCOUP d'informations.
    'J'arrive à pinguer mais je n'ai pas du accès' est TRES insuffisant ! (Quels tests, quels résultats ?)
    Quand on pose un problème, il FAUDRAIT se poser la question : est ce que je fournis assez d'informations ?

    Par exemple, une adresse, comme LAN et WAN, DOIT être TOUJOURS associé à son masque.
    Surtout quand le masque n'est pas 'intuitif' …


Log in to reply