PhenIXUS

[Geeks]

Bonsoir à tous.

J'ai un réseau qui à fonctionné à merveille pendant plusieurs années sous IPCOP et j'en ai été très satisfait. La réson principal qui me pousse à changer vers pfsense est que je suis en train de tomber le réseau car il devenais de moins en moins clair dans mon esprit et en physique.

Afin de tester in-situ, j'ai déplacer mon ipcop (qui assure encore le travail en attendant une configuration sur pfsense qui soit fonctionnelle), et j'ai mis en lieu et place de mon ancien serveur, une machine réel avec pfsense. L'installation de pfsense c'est correctement déroulé et je trouve que c'est plutôt sympa.

Maintenant, je bloque sur un point et là, à force d'y laisser des plumes, je m'en remet à plus averti que moi.

Mon WAN est automatiquement (et c'est peut-être une erreur) attribué par le modem via le DHCP. J'ai pas eu de soucis avec ça, mais je suis ouvert quand même aux propositions. Internet arrive donc en RE2 et ne pose pas de problème.

Mon LAN, qui se trouve en RE1, me permet bien de me connecter à internet (ping vers WAN, vers modem et vers le net OK. Http vers modem, ok et pour finir Http vers le net, ok).

C'est ici que je galère. Mon Opt2, via Msk0 me permet bien d'avoir une adresse IP. J'ai réussi à créer une règle (qui n'est certainement pas la bonne) qui me permet de passer mes IMCP vers WAN, vers le modem et vers le net. En revanche, l'HTTP refuse de fonctionné sur cette iface. Je cherche donc avant de passer à la suite à réglé ce problème là.

Afin de simplifier, de clarifier, d'être sur le même protocole, je me suis fit un mini schéma (il n'y a pas tout volontairement, il sera complété ensuite et c'est volontaire).



Je suis arrivé au bout de la problématique. S'il faut tout reprendre à 0, aucun souci pour ma part. J'espère que j'arriverais à résoudre ce problème.

Merci d'avoir pris le temps de me lire, désolé si j'utilise les mauvais termes, je débute avec seulement quelques notions.

Edit du 08 /11 / 2011 : Suppression du TAG [Débutant] à la demande de la modération.
Edit du 11 / 11 2011 : Mise en place d'un lien vers le récapitulatif de l'installation. [ ICI ]

[Geeks]

Mon WAN est automatiquement (et c'est peut-être une erreur) attribué par le modem via le DHCP.

Vous dites "modem", mais je vois que l'adresse de Wan est une IP public, donc c'est un "modem/routeur" ?
Si tel est le cas, oui il vaudrait mieux lui attribuer une IP fixe et le mieux enlever le modem/routeur par un simple modem ou le passé en mode bridge.

Ah si seulement !

La réalité est que j'ai une connexion par modem/ routeur wimax... Mon FAI m'interdisant l'adressage ipfixe, j'ai grugé par un DYNDNS... Bon, aller, ça devrais pas poser de problème vue que ça fonctionne parfaitement avec l'autre serveur

Pour le reste, j'ai un peu de mal à suivre.

Justement, je me suis peut-être mal exprimé. S'il y a quelques chose de pas clair, de mal expliqué, je peux essayer de vous expliqué. Dans tous les cas, ce que j'ai fait n'est pas bon, a part les plages d'ip qui doivent être comme indiqué sur le schéma.

Dite nous quelle version que vous utilisez (je suppose la v2.0) et les règles (Rules) que vous utilisez sur chaque interface.
Par défaut sur le LAN c'est Any pour les sorties et rien pour les suivantes (OPTx).

Effectivement, c'est la 2.0... Elle me paraît correct.
Pour les règles actuelles, je sait que la LAN, qui est par défaut est bonne. Ce que j'ai essayer sur l'autre interface n'est pas bonne, Donc on dira que j'ai pour le moment aucune règle et que je cherche à comprendre pour en réaliser une correcte. Dans tous les cas de figure, il faut que je comprenne ce qui se passe, quitte à ce que l'on me l'explique par étape. Paris ne c'est pas fait en un jour.

J'espère que j'ai répondu à ces quelques interrogations et que nous arriverons à une solution.

Ah oui, une dernière chose, que j'ai pu lire... On nat avant de faire une pat.... Alors ça, je suis bien embêter ...
Comment comprendre le concept du nat, celui du pat ? Merci

[jdh]

Premier post intéressant : il y a un schéma, il y a des infos (adressages), ...
Mais il manque surtout des objectifs clairs. (Et je crains quelques incompréhensions.)

* WAN
Le schéma est : Internet <-> (modem/)routeur <-> (WAN) pfSense
Le modem/routeur est bien un routeur puisqu'est indiqué une adresse interne privée !
Le n° de réseau utilisé est bien privé, et c'est ce qu'il faut faire.
Je recommanderai dans ce cas d'utiliser plutôt un adressage static,
puisque il est vraisemblable qu'il faille configurer des renvois au niveau du modem/routeur, autant que WAN soit connue donc static.
Edit : "mon FAI m'interdit le static" ? L'adresse interne du (modem/)routeur est privée : on peut faire ce qu'on veut pour WAN puisque c'est une adresse privée. (Il y aura donc double NAT mais ce n'est pas grave.)

* 3 interfaces (LAN, DMZ, BLUE)
L'information du driver n'est pas utile et n'apporte rien d'utile.
Les n° de réseau utilisés sont bien privés et distincts, et c'est ce qu'il faut faire.

* Le filtrage
pfSense est basé sur FreeBSD, donc le filtrage s'appuie sur PF (et non Netfilter/Iptables comme sur Linux).
Le filtrage avec PF se base sur l'interface d'arrivée du paquet ! (et non l'unique chaine FORWARD qu'il faut ensuite diviser)
De plus, le filtrage se fait strictement de haut en bas. (Donc les règles d'interdiction doivent être en haut, avant les règles d'autorisation !)

Il est donc nécessaire de créer les règles (de sortie) dans Firewall > Rules en choisissant l'onglet de l'interface d'arrivée.
En clair, dans l'onglet LAN, il y a toutes les règles de flux qui
- s'appliquent aux machines dans le LAN,
- et à destination de WAN, de DMZ, de BLUE.
Il faut donc faire très attention au sens du mot clé "any". Et il faut utiliser généreusement les alias pour faciliter l'écriture/lecture des règles.

Il faut donc, à ce point, décrire les règles que vous avez créées, onglet par onglet. (comme le demande Titofe !)
Sans cela, je ne peux statuer ou trouver votre erreur.

Concernant Firewall > NAT, on y trouve les règles de flux entrants : par exemple, l'accès web vers un serveur en DMZ.
Une telle règle NAT créé la règle de flux (que l'on retrouvera dans Firewall > Rules > onglet WAN), et en v2 la règle se synchronise !


Attention à bien préciser la version de pfSense (notamment la v2, ce qui est le cas ici, qui ajoute un onglet "floating" pour des règles qui s'appliquent à toutes les interfaces : je déconseille ou je préfère décrire dans chaque onglet ce qu'il s'y applique).

[Geeks]

Si j'ai bien compris, il faut donc dire qui fait quoi et dans quel sens. Ceci permettrait d'établir les règles (qui me manque donc).

Cas N°1 : Lan -> Pfsense -> modem / routeur -> Internet
Cas N°2 : Bleu -> Pfsense -> modem / routeur -> Internet
Cas N°3 : Lan -> Pfsense -> DMZ -> Serveur web
Cas N°4 : Bleu -> Pfsense -> DMZ -> Serveur web
Cas N°5 : Internet -> Modem / routeur -> Pfsense -> DMZ -> Serveur web
Cas N°6 : Serveur de fichier sur réseau Lan en ip fixe depuis DHCP et joignable par son nom d'host (Joignable par tous les pc situer en Lan et certains pc situer en Bleu)
Cas N°7 : Imprimente sur réseau Lan en ip fixe depuis DHCP et joignable par son nom d'host (Joignable par tous les pc situer en Lan et certains pc situer en Bleu)
Cas N°8 : Se payer un coup car on a réussi à configurer tout le reste

Je parle de cas, car j'aimerais résoudre le cas 1 avant le cas 2 et ainsi de suite.

Enfin, pour les configurations actuelles, je les posterais dès demain matin, n'ayant pas, ce soir, sous les yeux mon parefeu.

[jibe]

Bonjour,

Remarque(s) selon la formule approuvée par le service de modération
(voir l'article sur le wiki)

Merci d'utiliser les drapeaux exclusivement de la manière décrite dans
la charte
et donc de corriger le titre au plus vite en éditant le premier post.

Si un drapeau semblait manquer, merci de suggérer par MP à un administrateur de le rajouter,
en argumentant la demande (nous ne souhaitons pas trop multiplier les drapeaux, seuls ceux
dont l'utilité est bien réelle seront retenus).

En l'occurence, un drapeau [débutant] n'a aucune raison d'être : ce n'est pas comme la lèpre pour laquelle les porteurs doivent se signaler par une clochette. C'est une maladie non contagieuse qui se soigne très facilement

[Geeks]

Bonjour,

Merci jbe de m'avoir interpellé sur le titre du message J'aurais préféré un MP qui aurais évité de coupé mon sujet en deux...

Pour le coup, je vais en faire la demande, officiellement ici à la modération, étant un débutant et venant de d'autres forum ou cela s'applique, y aurait-il un moyen d'avoir un tag [Débutant] ? Je te rassure, être débutant dans un domaine, ce n'est pas avoir la lèpre, c'est avant tout d'en assumé la vérité

Pour en revenir au sujet... Il y en avait un ?
Je me suis permis de faire quelques copies d'écrans de ma configuration actuelle.

Dans l'onglet Firewall : Aliases -> C'est vide.

Dans l'onglet Firewall: NAT: Port Forward -> C'est vide
Dans l'onglet Firewall: NAT: 1:1 -> C'est vide
Dans l'onglet Firewall: NAT: Outbound -> C'est vide

Dans l'onglet Firewall: Rules : Floating -> c'est vide (Remarque j'aime pas bien l'idée de règle partagé moi non plus !)
Dans l'onglet Firewall: Rules : WAN -> C'est vide
Dans l'onglet Firewall: Rules : LAN

Dans l'onglet Firewall: Rules : DMZ -> C'est vide (Car pas encore configuré)
Dans l'onglet Firewall: Rules : BLEU


Dans l'onglet Firewall: Schedules -> C'est vide

Dans l'onglet Firewall: Traffic Shaper : By Interface

Dans l'onglet Firewall: Traffic Shaper : By Queue -> C'est vide
Dans l'onglet Firewall: Traffic Shaper : Limiter -> C'est vide
Dans l'onglet Firewall: Traffic Shaper : Layer7 -> C'est vide
Dans l'onglet Firewall: Traffic Shaper : Wizards


Dans l'onglet Firewall: Virtual IP Addresses : Virtual IPs -> C'est vide
Dans l'onglet Firewall: Virtual IP Addresses : CARP Settings




Voilà pour la partie firewall.

J'ai essayer de fixé l'adresse ip de WAN, résultat, le net ne passe pas. Je suis revenu au DHCP, peut être est-ce le double nat que tu indique plus haut qui veut ça
Si c'est le cas, comment y remédié ?

Merci

[jdh]

Geeks est peut-être "débutant", en tout cas, il pige vite qu'il faut mettre des infos pour être vite aidé ! C'est plutôt très bien ...


* WAN
Si la config fonctionne en DHCP, c'est bien, il faut laisser.

Néanmoins, comme indiqué sur le schéma, l'adresse ip de WAN me semble privée.
Donc, il faudra nécessairement faire un renvoi sur le modem pour traiter des flux entrants (type serveur Web en DMZ).
Et là c'est plus pratique que WAN soit static plutôt que DHCP.

C'est pour simplifier cela, que l'on préfère tous avoir un simple modem et l'ip publique directement en WAN.

* Règles firewall
Il y a, ici, trop d'infos : certaines sont inutiles !

Ta config semble simple alors oublie CARP, les Virtual IP, le Traffic Shaper, Schedule, et NAT 1:1.
Un mot sur NAT Outbound : on laisse en automatic, c'est mieux !

Les éléments intéressants sont :
- Alias : associe un nom à un objet (port, hôtes ou réseau) : très important (essentiel) pour créer des règles facile à lire
- Firewall > NAT > Port Forward : sert si un serveur est présent en DMZ et propose un service (web, mail, ...)
- Firewall > Rules > onglet (interfaces) : c'est là que se trouve les règles de filtrage !

On peut mettre une règle par défaut (comme dans LAN), mais bien vite, il faut mettre les bonnes règles selon les besoins.

Trucs :
- dans un onglet (= une interface), on créé les règles d'interdiction (Block) puis les règles d'autorisation (Pass),
- on utilise les alias (abondamment),
- une ligne = une règle = un protocole,
- ne pas oublier le protocole dns (ou domain) !
- une règle "LAN subnet -> any / proto TCP/http" donne accès depuis le LAN à Internet mais aussi à un serveur web en BLUE => attention à "any" !

Par exemple, dans BLUE, la première règle me parait inutile (voire dangereuse) : à remplacer par une règle inverse dans LAN et dans DMZ (au besoin).


C'est la bonne piste ...

[jibe]

Salut,

Désolé de couper encore une fois ton fil, mais :

Pour le coup, je vais en faire la demande, officiellement ici à la modération, étant un débutant et venant de d'autres forum ou cela s'applique, y aurait-il un moyen d'avoir un tag [Débutant] ? Je te rassure, être débutant dans un domaine, ce n'est pas avoir la lèpre, c'est avant tout d'en assumé la vérité

J'ai donc créé un sujet pour que tu puisses argumenter ta demande et qu'on en débatte.

[Geeks]

Hey, Jbe, je suis content de voir de la réactivité cotès modérateur.

*Wan, OK !

*C'est vrai qu'il y a des infos inutile. Mais mon expérience m'a démontré, dans pas mal de sujet, que l'inutile peut montrer des défaillances là ou on ne croyais pas qu'elles soit.

*Comment fonctionne les alias ?
*Pour la DMZ, on oublie le temps de réglé le problème de BLEU.
*Comment établir les bonnes règles.

Pour infos, voilà deux règles que j'avais à l'origine mis pour ipCOP et la DMZ. C'est désormais désactivé pour l'onglet 2 nommé "transfert".



En espérant vous avoir éclairer sur la partie modem...

[jdh]

Avec ces infos, on va arriver à faire le tour du sujet !

Si le schéma est Internet <-> modem <-> (WAN) firewall alors WAN reçoit l'adresse publique, et c'est le mieux.

Si le schéma est Internet <-> routeur <-> (WAN) firewall alors WAN est en adresse privée, peut être static ou DHCP, et il faut faire un renvoi sur le routeur pour les flux entrants de type serveur en DMZ.

Quand on fait des renvois sur le routeur (ou une box), on a généralement le choix entre
- "dmz" : tout est renvoyé,
- ports tcp ou udp : liste des tranches de ports,
On choisi l'une ou l'autre des méthodes en indiquant l'adresse ip de l'interface WAN (c'est pour cela que c'est plus pratique que ce soit static).
La méthode "dmz" semble plus facile car on ne la fait qu'une fois.
Le problème est que le renvoi de flux peut ne concerner que tcp et udp, alors qu'il y a bien d'autre protocoles IP (icmp, gre p.e.) qui auraient intérêt à être renvoyés.


Concernant les Alias,
Un Alias est un nom associé à un objet (hôtes, ports, réseaux) qui sera utilisé dans l'écriture de règles.
On peut par exemple déclarer :
- srvweb -> 10.0.3.252 : serveur web en DMZ
- lanLAN -> 10.0.1.0/24 : réseau LAN
- lanDMZ -> 10.0.3.0/24 : réseau DMZ
L'intérêt est double : les règles sont plus lisibles (surtout si on "norme" les noms d'alias), et on peut changer la valeur de l'alias sans modifier la règle.

Concernant les règles,
On liste, interfaces par interfaces, ce dont elles ont besoin. Point.
Par exemple, pour DMZ,
- besoin DNS : assuré par le firewall : règle lanDMZ -> srvfwdmz + udp+tcp/domain (53)
- besoin ping de LAN : règle lanDMZ -> lanLAN + icmp/8
...
NB : la règle de NAT pour accéder depuis Internet à srvweb en DMZ ne nécessite aucune règle dans l'onglet DMZ.
Par contre, la règle NAT va créér automatiquement la règle nécessaire dans l'onglet WAN.
Il faut noter que l'on écrit que la règle initiale d'un flux, pas le retour c'est automatique !