PhenIXUS

[jesus]

Bonjour,

Je voudrais rendre visible dans mon voisinage réseau un serveur NAS qui est dans la DMZ IP Nas : 192.168.4.100 sur mes PC du LAN IP PC : 192.168.1.100

J'ai régler les réglé du parfeu sur tout autoriser pour les tests. Je sais me connecter depuis un PC du Lan en FTP,HTTP, HTTPS, le cloud, mais pas au partage du NAS sur la DMZ. Problème je n'est pas le partage réseau du NAS de visible.

Y as t-il moyen de contourner se problème (ou je dois mettre le NAS dans le LAN, ce qui est plus risquer en sécurité ? Comme je voudrais avoir aces au NAS depuis internet)

Merci

[jdh]

Description tout à fait insuffisante : merci d'utiliser le formulaire et de préciser le schéma du réseau : plus vous êtes clair plus vite arrivent les conseils utiles ...

(Merci d'être aussi attentif à l'orthographe ...)

[Franck78]

Hello,

C'est notoirement mal décrit comme le fait remarquer JDH. Cependant le peu de précision laisse quand même entrevoir le problème mainte et mainte fois expliqué par microsoft : les partages réseaux et les routeurs.

Ainsi cet article de 1998....
http://technet.microsoft.com/en-us/libr ... 51005.aspx
ou 2003 !
http://smallvoid.com/article/windows-ma ... owser.html

[jesus]

Voici mon réseau

Mon Reseau.jpg (153.07 Kio) Consulté 1701 fois

Je voudrais voir dans le voisinage réseau mon Serveur NAS, les PC du LAN sont sous windows 7

Voisinage reseau.jpg (19.03 Kio) Consulté 1701 fois

Mon serveur NAS n'est pas présent car IP 192.168.4.100 et PC 192.168.1.100

Désoler pour le français, je suis dyslexique.

[Franck78]

dans le menu démarrer/exécuter de windows : \\192.168.3.100

[jdh]

Bonne rectification : schéma propre et assez complet.


Le problème est classique : voir depuis les pc Windows d'un réseau une ressource windows située dans un autre réseau.
Problème annexe et corollaire : quels ports ouvrir pour accéder à une ressource Windows dans un autre réseau ?

Il existe un service destiné à fournir les ressources windows présentes notamment dans un domaine : WINS.
Mais depuis l'AD Windows 2003, ce service est "désuet" puisque l'esprit est désormais (cela fait 10 ans !) à trouver les ressources via DNS.

Enfin il faudra ajouter les règles nécessaires pour traverser un firewall pour le protocole smb.

[jesus]

Merci pour vos réponses
Désolé de répondre seulement maintenant j’avais laissé sa en plant, j’avais plus trop le temps de regarder a sa.

A Franck78
T’as solution fonctionne parfaitement, par contre y a-t-il pas moyen qu’il soit visible directement dans le voisinage réseau ? J’ai fait un fichier batch qui lance la commande c’est pas parfait mais ces mieux que rien.

A jdh
Parfait il trouve bien les ressources via DNS

Rules DMZ

Rules DMZ - DMZ.jpg (48.71 Kio) Consulté 1570 fois

Rules Lan

Rules LAN - DMZ.jpg (117.32 Kio) Consulté 1570 fois

J’ai du mal à comprendre point de vue règles parfeu, sur la carte réseau DMZ par défaut tous est bloquer que ce soit en entrant ou sortant ?
Lorsque je n’ai aucune règle de défini dans LAN je peux accéder à tout depuis LAN vers DMZ, donc n’importe qui peux accéder depuis le net (WAN) a ma DMZ (Je n’ai pas encore fait la partie test depuis le Net)

Accès FTP sens règles défini

Test FTP sens règles.jpg (84.56 Kio) Consulté 1570 fois

Lorsque je mets les règles ci-dessus dans LAN (Rules LAN) sa bloque bien. Il y a quelque chose que je ne dois pas comprendre sur les règles de parfeu. Quelqu’un aurait-il un tuto détailler sur les règles de parfeu, car j’ai beau regarder sur le NET mais je ne trouve rien que des règles basic sens explication…

Merci

[jdh]

Concernant les règles de pfSense, il y a seulement 2 choses à savoir :
- les règles de l'onglet LAN s'adressent aux paquets (sessions) arrivant par l'interface LAN au pfSense
- les règles d'un onglet sont testés de haut en bas

Il y a une bonne pratique : utiliser des alias : la lisibilité d'une règle en sera facilité !
Je suggère de "normer" les nom d'alias : srvXXXX, lanXXXX, portXXXX, ipXXXX, ....
Je suggère de nommer les interfaces : OPT1 -> DMZ, OPT2 -> WIFI, ...
A chaque fois qu'on nomme, on donne un sens : profitons en !

Exemple : portSMBtcp pourrait être un alias pour tous les n° de ports tcp utilisé par SMB/CIFS/WINDOWS

[jesus]

Ok, merci c'est bien comme ça que j'ai compris la structure des règles.

Ce que je ne comprends pas c’est pourquoi lorsque je suis sur une machine dans LAN je fais un requête sur le port 21, (qui est ouvert (any) sur tout le LAN les règles en jaune sont désactivé, voir Rules LAN - DMZ.jpg) et dans DMZ je ferme tous accès, je ne devrais pas pouvoir accéder à mon serveur NAS qui est en DMZ ?

[jdh]

En terme de firewall, il ne faut écrire que ce qui est nécessaire :
- onglet DMZ : inutile d'écrire une règle qui bloque tout : aucune règle suffit !
- onglet LAN : pour toutes règles, la source est nécessairement 'LAN subnet' (et pas *) !
(LAN subnet devient LAN net à l'affichage.)

Pour les protocoles SMB, il y a bien plus de ports que 445/tcp !

Concernant le port 21 (ou plutôt 21/tcp ou FTP), il est à savoir que c'est un protocole particulier avec ouverture de ports automatique via helper.
Normalement une règle telle que celle écrite est correcte et suffisante.