PhenIXUS

[Geeks]

Plop!

Mise en place d'un natage (sûrement incomplet)

Code : Tout sélectionner

if WAN / Proto TCP / Src.addr * /Src. ports * / Dest. addr WAN adress / Dest.ports 80(HTTP) / NAT IP 10.0.3.252 / NAT Ports 80(HTTP)
if WAN / Proto TCP / Src.addr * /Src. ports * / Dest. addr WAN adress / Dest.ports 443(HTTPS) / NAT IP 10.0.3.252 / NAT Ports 443(HTTPS)


Mise en place de règles dans Firewall > Rules > Wan

Code : Tout sélectionner

Proto TCP / Source * / Port * / Destination 10.0.3.252 / Port 80(HTTP) /Gateway * / Queue none / Schedule vide
Proto TCP / Source * / Port * / Destination 10.0.3.252 / Port 443(HTTPS) /Gateway * / Queue none / Schedule vide

Mise en place de règles dans Firewall > Rules > DMZ

Code : Tout sélectionner

[Block] Proto * / Source DMZ net / Port * / Destination BLEU net / Port * /Gateway * / Queue none / Schedule vide
[Block] Proto * / Source DMZ net / Port * / Destination LAN net / Port * /Gateway * / Queue none / Schedule vide
[Pass] Proto TCP / Source * / Port * / Destination 10.0.3.252 / Port 80(HTTP) /Gateway * / Queue none / Schedule vide
[Pass] Proto TCP / Source * / Port * / Destination 10.0.3.252 / Port 443(HTTPS) /Gateway * / Queue none / Schedule vide
[Pass] Proto TCP/UDP / Source * / Port * / Destination 10.0.3.252 / Port 53(DNS) /Gateway * / Queue none / Schedule vide
[Pass] Proto TCP / Source * / Port * / Destination 10.0.3.252 / Port 21(FTP) /Gateway * / Queue none / Schedule vide

Pour les deux dernières règles en Firewall > Rules > DMZ je ne pense pas qu'elles soit correcte (donc on va les prendre comme si elle était fausse).
Je cherche à faire deux chose:
- Comment autorisé le serveur 10.0.3.252 à pinger ?
- Comment autoriser le serveur 10.0.3.252 ) utiliser apt-get ?

Merci

[jdh]

Comme je l'ai écrit, les règles de Firewall > Rules > onglet WAN sont créées automatiquement à la création de la règle NAT (Firewall > NAT > Port Forward).

Dans Firewall > Rules > onglet DMZ,
- les 2 premières règles ont du sens et sont correctes,
- les 4 suivantes n'ont aucun sens !

Ce dernier point est fondamental : une règle, dans un onglet DMZ, ne peut avoir QU'une source inclus dans DMZ et une destination HORS de DMZ !

ping = icmp/echo request ?

[Geeks]

Donc, cela reviendrais à retirer les règles d'acceptation dans l'onglet DMZ. Enfin, si j'ai bien compris. Mais je peux avoir mal interpréter.

J'i peur d'avoir mal compris ce point

[Geeks]

Je crois que je viens de comprendre...

Si j'écris ceci:

Code : Tout sélectionner

    [Block] Proto * / Source DMZ net / Port * / Destination BLEU net / Port * /Gateway * / Queue none / Schedule vide
    [Block] Proto * / Source DMZ net / Port * / Destination LAN net / Port * /Gateway * / Queue none / Schedule vide
    [Pass] Proto TCP / Source 10.0.3.252 / Port * / Destination * / Port 80(HTTP) /Gateway * / Queue none / Schedule vide
    [Pass] Proto TCP / Source 10.0.3.252 / Port * / Destination * / Port 443(HTTPS) /Gateway * / Queue none / Schedule vide
    [Pass] Proto TCP/UDP / Source 10.0.3.252 / Port * / Destination * / Port 53(DNS) /Gateway * / Queue none / Schedule vide
    [Pass] Proto TCP / Source 10.0.3.252 / Port * / Destination * / Port 21(FTP) /Gateway * / Queue none / Schedule vide

Ça fonctionne

En gros, si je suis un raisonnement:

Ce dernier point est fondamental : une règle, dans un onglet DMZ, ne peut avoir QU'une source inclus dans DMZ et une destination HORS de DMZ !

Donc, on a alors quelque chose dans la DMZ (ici 10.0.3.252), ne peut aller que vers l'extérieur (ici *). Si j'ai bien compris

[jdh]

C'est en effet totalement la base !

De plus, il faut oublier "les règles d'acceptation" : à quoi ça sert que les développeurs noyau Linux ou Bsd se décarcassent pour créer des modules de "suivi de la connexion" ?


Dans un onglet d'une interface, la source ne peut être QU'à l'intérieur de cette interface, et la destination à l'extérieur.
Et on écrit la règle "initiale" (qui initie la connexion), et pas le retour !


Concernant vos règles, si le serveur est un simple Debian, il n'a nul besoin de HTTPS et FTP : HTTP suffit largement à se mettre à jour.
Par ailleurs, la règle de DNS est sans doute inutile si c'est pfSense qui fournit le DNS.
Désactivez les règles et regardez si cela fonctionne : alors éliminez ce qui est inutile !



Je pense que vous essayer de trop "intellectualiser" la configuration de firewall : c'est bien plus simple et élémentaire que vous le pensez.
Il est vraiment nécessaire que vous lisiez à fond Christian CALECA ...

Edit : Titofe reprend exactement ce qu'il faut dire (et comprendre) sur le sujet.

[Geeks]

Effectivement, ça fonctionne à merveille

Bon et bien je peux passer à la suite

Édit : en fait non, ça ne fonctionne pas!
Seul le www fonctionne. Tous les virtual hosts sont tombe.
Il y a eu un reboot cette nuit. Hier soir tout fonctionnais.

Maintenant, il faut comprendre pourquoi.

[Geeks]

Bonjour,

Désolé du double post mais je n'arrive pas à mettre à jour mon serveur. Le pare feu à la configuration au dessus, c'est à dire des règles créer automatiquement par le nat uniquement ainsi qu'un double block dmz ver lan et bleu.

Je me demande ou est-ce que je peux mettre une autorisation en ftp/http pour que le serveur puisse se mettre à jour.

Merci.

[jdh]

Pour moi, cela suffit !

Prenez la peine de lire les documentations du site pfSense.org (voire de Monowall).

Tout cela est TRES basique : cela demande juste 1 minute de réflexion : il faut penser avant d'agir, que diable !


On est à 3 pages juste pour configurer un serveur dans une DMZ, c'est trop long.

Moi, cela m'agace de lire et relire des questions qui n'apportent rien. Alors STOP pour moi !

[Geeks]

Bonjour,

Bon, première chose, j'aimerais qu'on se calme ! Se fâcher, je me répète ne sert à rien ! Comme je l'ai dit au début, CF mon tag, je suis débutant et j'ai quelques notions. Je ne suis pas un professionnel mais je cherche avant tout à évoluer.

Donc en partant de là, comprenez que je peux ne pas avoir tout saisie de "votre science". C'est comme si je me mettait à faire une disserte sur le PIC 16F et qu'au bout d'un quart d'heure, vous me disait : "wai, et bien si les micro-contrôleur était des fusibles, ils serais donc pas fiable" alors que je n'avait abordé que la problématique de la configuration via des bits de registre. Hein, ? Quoi, je vous est perdu ? Bah, c'est normal, c'est mon métier, l'électronique numérique ! Je dirais de la même façon sur le câblage ou j'ai exercé durant ces dix dernières années.

Voila, j'espère que nous n'aurons pas à en reparlé et que vous aurez bien compris que ce n'est pas pour vous embêter mais que je trouve dommage d'avoir des reproches alors que je viens là pour évolué et apprendre un peu plus. Quitte à faire répété quand un exercice n'est pas réussi complètement.

Une dernière chose, tant qu'on y est. J'ai regardé plus haut, j'ai bien relu ce qui avait été mis. "On ne peut prendre que de la dmz vers wan". Oui et je pense dans l'onglet DMZ, afin de complété la phrase. c'est peut-être évident mais pour moi, comme je dit bien souvent, débutant, je cherche à comprendre.

Rien que cela devrait te faire comprendre où se trouve ton problème, non ? (ceci est une question, merci dis répondre)

Je dirais, avec les rudiments que je possède, oui et non. Oui, car je pense qu'il faut une règle de type DMZ vers WAN et non, car lorsque je tente d'en faire une, ça passe pas !

Bon, ensuite, et ça n'a peut-être rien à voir, HTTP ne ressemble pas à FTP ni à IMCP. Le truc c'est que ma debian, effectivement part sur ftp.quelque-chose. Donc il part sur du 21 et non du 80... Ou est l'erreur sur un apt-get update ?

Merci quand même pour toute votre aide.
P.S, je ne viendrais pas ici si je ne devais pas évolué puis aider à mon tour

[jdh]

Décidément, vous comprenez tout de travers !

- Le serveur en DMZ est une Debian ? c'est une info qu'il aurait fallu mettre au début !
- Une Debian se met à jour selon /etc/apt/sources.list. Y a-t-il "deb http://ftp.fr.debian.... ? Quel protocole alors ?
- une règle se créé en 1 minute ! Alors c'est facile d'en créer une puis la désactiver et en créer une autre !

Un problème se décompose en petites étapes que l'on résout une à une ...


Le problème avec vous, c'est qu'en 2 fils, on en est à 10 pages de posts pour des choses très très basiques !
Cela semble normal : vous ne maitrisez pas les bases et vous pensez faire tout en même temps : Direction Caleca et step by step.