PhenIXUS

[Bertr@nd]

Bonsoir à tous,

Contexte :
pare feu physique : pfsense 2.01 install full sur hd, 3 interfaces (wan,lan,dmz), pas de proxy, un accès pptp

srv web en dmz accessible depuis le lan
lan accède à wan via portail captif

Besoin :

configuration NAT 1 to 1 permettant d'atteindre le serveur web en dmz depuis l'extérieur

Schéma :

Code : Tout sélectionner

                     
                     Wan
                       |
                   pfsense
                    /     \
               lan         dmz
                              |
                       serveur web


Adressages-config :

wan : xxx.yyy.zzz.66/29
lan : 192.168.xxx.254/24
dmz : 192.168.yyy.254/24

creation ip virtuelle :
interface wan
type ip alias
ip xxx.yyy.zzz.70

creation nat 1 to 1
interface : wan
external subnet ip : xxx.yyy.zzz.70
internal ip : 192.168.yyy.251
destination : any
nat reflexion :enable

system>advanced>firewal/nat>
disable nat reflexion for port forwards : coché
disable nat reflexion for 1:1nat : décoché
automaticaly create outbound nat rules :coché

création rules :
interface wan
proto tcp
source any
destination 192.168.yyy.251
port : https

interface dmz
proto : any
source : dmz subnet
destination : any
port : any
(règle temporaire pour test, trop permissive)

Question :
pourquoi ça passe pas!!!

Pistes imaginées :
mauvais choix du type ip virtuelle ?
réglage avancé du nat incorrect ?
règles incorrects ?
utilité de "nat reflexion" ?

Recherches :
diverse recherche dans la doc et le forum pfsense

Logs et tests :

lan vers dmz et wan ok
srv dmz ping passerelle dmz ok
srv dmz ping google nok (dans les logs le ping sort mais pas de réponse)

si je suprime le nat :
srv dmz ping google ok
srv dmz accès http ou autre ok



merci de vos suggestions !

[Franck78]

Hello,


<totalement horsr sujet>

PPTP special exitateur de jdh

http://sid.rstack.org/blog/index.php/55 ... -pratiques

Combien de fois faudra-t-il répéter que ce protocol est dépassé et dangereux ?

<totalement horsr sujet/>

merci de vos suggestions !

pourquoi pas commencer par un truc simple comme juste transférer les ports 80/443 au serveur web ???
-> il reste planqué derrière le fw de cette façon.

lire et relire tranquillement la doc pfsense un peu bizarre des fois

[ccnet]

Dans la configuration décrite et selon le besoin exposé, le nat 1:1 n'est pas utile.

disable nat reflexion for 1:1nat : décoché
automaticaly create outbound nat rules :coché

Pour ces paramètres vous pouvez (devriez) revenir aux valeurs pas défaut. La création de "outbound nat rules" est sans objet dans votre cas.
Le reste de la réponse précédente restant 100% valide. Lire la doc s'impose.

[Bertr@nd]

Salut,

Je me doutais un peu que l'accès PPTP allait déclenché les foudres... Je passerais donc au minimum à un accès L2TP.

concernant le NAT 1:1

je ne peux pas continuer mes tests sur l'infra de prod pour l'instant. Donc j'ai monté une infra de test sensiblement identique.(la plus grosse différence est que l'interface WAN n'est pas relié à internet mais à un poste de travail pour tests).

je peux répondre à :

utilité de "nat reflexion" ?
puisque qu'il s'agit d'un système permettant d'atteindre un serveur depuis le LAN comme depuis Internet (par l'adresse IP publique), ça ne me sert à rien ( donc j'ai désactive tous les réglages "nat reflexion".

mauvais choix du type ip virtuelle ?
je ne pense pas car "ip alias" à l'air d'être le plus souple...

réglage avancé du nat incorrect ?
à part la partie "nat reflexion" je ne vois pas de problème...

règles incorrects ?
Je n'ai pas l'impression (je précise que les règles du 1er post sont du type "allow" bien sur)

conclusion :
sur l'infra de test j'ai fait des essais en NAT 1:1 et en port forward : les 2 ont fonctionné comme attendu,c'est à dire serveur web accessible depuis lan et wan.

en NAT 1:1, par contre sur ce serveur web (centos 5.8) même avec les règles adaptés je ne peut pas faire de yum update : la partie ftp ne passe pas...
alors qu'en config "port forward" je ne rencontre pas cette difficulté...


@ccnet:
ce serveur pourrait héberger d'autre service par la suite : ftp,messagerie... > le NAT 1:1 sera-t-il plus pertinent ?

quel est, selon toi, l'utilité du nat 1:1 ?


Merci

[jdh]

Finalement l'objet du NAT 1:1 n'est pas vraiment compris !

Avec une seule ip publique, on peut faire BEAUCOUP de choses :
- un serveur web
- un serveur ftp
- un serveur mail
(tous différents en DMZ)
Il n'y a VRAIMENT nécessité d'avoir plusieurs ip publiques si on héberge PLUSIEURS serveurs de type identique (et encore ...).

[ccnet]

Comme jdh. Même le "et encore ...".
Si vous aviez plusieurs serveurs de mail, ou plusieurs relais de messagerie vous pourriez avoir besoin de plusieurs ip et du nat 1:1.

[jdh]

Si vous aviez plusieurs serveurs de mail, ou plusieurs serveurs web vous pourriez NE PAS avoir besoin de plusieurs ip et du nat 1:1.

On peut tout à fait se débrouiller avec une seule ip pour héberger plusieurs serveurs web (sauf https simultané) et/ou plusieurs serveurs mail (relais mail).

On peut aussi attribuer une adresse ip publique à chaque serveur ... mais c'est juste un peu du gâchis !

[Bertr@nd]

Bonsoir,

j'ai finalement opté pour du port forward, qui pose moins de difficulté pour le trafic sortant (mise à jour...)

je reste sur ma faim concernant l'utilité du NAT1:1, d'ailleurs c'est ce que j'avais constaté en recherchant, en gros ça existe mais ça sert à rien (un vestige du passé... peut-être)

@+

[ccnet]

Absolument pas. Il est trop souvent utilisé alors qu'il y a moyen de faire autrement. Par exemple avec plusieurs serveurs web en https. Ou encore des services différents qui utiliseraient le même port. J'ai, par exemple, du faire cohabiter plusieurs solutions de synchronisation de smartphones utilisant toutes les deux le même port, ne pouvant en aucun partager un reverse proxy et devant disposer d'une ip publique différente de celle du wan en trafic sortant.
C'est donc très utile mais simplement moins souvent que l'on pourrait le penser.