Regles pfsense 2.0.3
Fermé
ayouda2013
Messages postés
15
Date d'inscription
jeudi 4 avril 2013
Statut
Membre
Dernière intervention
2 novembre 2013
-
Modifié par brupala le 30/10/2013 à 12:38
ayouda2013 Messages postés 15 Date d'inscription jeudi 4 avril 2013 Statut Membre Dernière intervention 2 novembre 2013 - 2 nov. 2013 à 20:19
ayouda2013 Messages postés 15 Date d'inscription jeudi 4 avril 2013 Statut Membre Dernière intervention 2 novembre 2013 - 2 nov. 2013 à 20:19
A voir également:
- Regles pfsense 2.0.3
- Calendrier règles gratuit - Télécharger - Santé & Bien-être
- Tableau règles de ponctuation - Guide
- Regles telephone - Guide
- Pfsense 32 bit - Forum BSD
- Instagram votre compte ne respecte pas les règles de la communauté - Guide
6 réponses
brupala
Messages postés
110201
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
19 septembre 2024
13 761
Modifié par brupala le 30/10/2013 à 13:21
Modifié par brupala le 30/10/2013 à 13:21
Salut,
J'utilse pfsense avec 8 Vlans (192.168.10.0/24; 192.168.11.0/24 etc......jusqua 8ieme vlan)
ça ce ne sont pas des vlans, mais des réseaux ip chez moi ...
je ne sais pas trop comment ça se présente dans pfsense, mais globalement:
bloquer explicitement le traffic entre tes vlans
autoriser explicitement le traffic vers le net
pour diminuer le nombre règles tu peux des alias et regrouper tes réseaux par blocs (type network ou url table)
et ... Voili Voilou Voila !
J'utilse pfsense avec 8 Vlans (192.168.10.0/24; 192.168.11.0/24 etc......jusqua 8ieme vlan)
ça ce ne sont pas des vlans, mais des réseaux ip chez moi ...
je ne sais pas trop comment ça se présente dans pfsense, mais globalement:
bloquer explicitement le traffic entre tes vlans
autoriser explicitement le traffic vers le net
pour diminuer le nombre règles tu peux des alias et regrouper tes réseaux par blocs (type network ou url table)
et ... Voili Voilou Voila !
ayouda2013
Messages postés
15
Date d'inscription
jeudi 4 avril 2013
Statut
Membre
Dernière intervention
2 novembre 2013
30 oct. 2013 à 13:37
30 oct. 2013 à 13:37
Merci brupula pour ta réponse et commeme je vais confirmer que les s.réseaux données appartiennent chacun à un VLAN (v1, v2, .....et V8)!!!!!!!!!!!!!!!
Tout à fait d'accord avec ta logique pour les règles et dailleurs c'est identique à la mienne sauf que pfsense n'a pas de règle directe autoriser le trafic vers le net (comme IPCOP si tu le connais). et meme si j'autorise un s.réseau de l'un des vlan vers wan subnet comme il l'ecrit ça passe pas!!!! tu vois mon probleme.
Pour l'alias c confirmé et je l'utilise en network!!!!
t'a une idée?!!!!et merci encore pour ta piste
voileu voilen voilu!!!!
Tout à fait d'accord avec ta logique pour les règles et dailleurs c'est identique à la mienne sauf que pfsense n'a pas de règle directe autoriser le trafic vers le net (comme IPCOP si tu le connais). et meme si j'autorise un s.réseau de l'un des vlan vers wan subnet comme il l'ecrit ça passe pas!!!! tu vois mon probleme.
Pour l'alias c confirmé et je l'utilise en network!!!!
t'a une idée?!!!!et merci encore pour ta piste
voileu voilen voilu!!!!
brupala
Messages postés
110201
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
19 septembre 2024
13 761
Modifié par brupala le 30/10/2013 à 14:39
Modifié par brupala le 30/10/2013 à 14:39
et meme si j'autorise un s.réseau de l'un des vlan vers wan subnet comme il l'ecrit ça passe pas!!!!
vers wan c'est quoi ?
le port wan ?
autorise tes réseaux locaux en source vers any , en bas de liste des règles.
vers wan c'est quoi ?
le port wan ?
autorise tes réseaux locaux en source vers any , en bas de liste des règles.
ayouda2013
Messages postés
15
Date d'inscription
jeudi 4 avril 2013
Statut
Membre
Dernière intervention
2 novembre 2013
30 oct. 2013 à 14:47
30 oct. 2013 à 14:47
proposition vers any en bas essayés et autorise ts c ce que je ne veux pas.
je pense à une 2ieme piste plutot (travailler avec les ports TCP en destination!!!!!! exemple 80, 443 , 8080, etc) n'est ce pas prup.
ctà une autre idée !!!!!
C t gentil de ta part
je pense à une 2ieme piste plutot (travailler avec les ports TCP en destination!!!!!! exemple 80, 443 , 8080, etc) n'est ce pas prup.
ctà une autre idée !!!!!
C t gentil de ta part
brupala
Messages postés
110201
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
19 septembre 2024
13 761
30 oct. 2013 à 15:00
30 oct. 2013 à 15:00
non oublie les ports .
dans ce genre de firewall,
les règles du haut sont essayées en premier, dès qu'un paquet correspond à une règle, celle ci est éxécutée, on ne lit pas les autres.
il faut donc mettre les règles les plus précises en premier et les plus générales en dernier.
Tu peux donc bloquer un paquet en haut de la liste et l'autoriser à la fin, il sera toujours bloqué !
dans ce genre de firewall,
les règles du haut sont essayées en premier, dès qu'un paquet correspond à une règle, celle ci est éxécutée, on ne lit pas les autres.
il faut donc mettre les règles les plus précises en premier et les plus générales en dernier.
Tu peux donc bloquer un paquet en haut de la liste et l'autoriser à la fin, il sera toujours bloqué !
ayouda2013
Messages postés
15
Date d'inscription
jeudi 4 avril 2013
Statut
Membre
Dernière intervention
2 novembre 2013
31 oct. 2013 à 10:57
31 oct. 2013 à 10:57
Bonjour brupula
Merci pour la piste. je confirme l'idée que pfsense utilise un filtrage dynamique.
J'ai testé avec l'alias réseau mais malheureusement ça marche pas.
Je vais bosser sur le mecanisme de filtrage qu'utilise pfsense (netfilter ou iptables etccc... suis pas sur jusquà maintenant et jte donne retour dès que trouve la solution la plus adéquate)
Merci encore
Merci pour la piste. je confirme l'idée que pfsense utilise un filtrage dynamique.
J'ai testé avec l'alias réseau mais malheureusement ça marche pas.
Je vais bosser sur le mecanisme de filtrage qu'utilise pfsense (netfilter ou iptables etccc... suis pas sur jusquà maintenant et jte donne retour dès que trouve la solution la plus adéquate)
Merci encore
brupala
Messages postés
110201
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
19 septembre 2024
13 761
31 oct. 2013 à 11:16
31 oct. 2013 à 11:16
pourquoi ça ne marcherait pas l'alias réseau ?
tu as fait ça comment ?
tu as fait ça comment ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ayouda2013
Messages postés
15
Date d'inscription
jeudi 4 avril 2013
Statut
Membre
Dernière intervention
2 novembre 2013
1 nov. 2013 à 15:39
1 nov. 2013 à 15:39
salut brupula
voila mes vlans
v1 : 172.16.8.0/24, v2: 172.168.9.0/25,v3 :172.16.9.128/25,v4: 172.168.10.0/25
v5:172.16.10.128/25, v6:172.16.11.0/25, 7:172.16.11.128/25,v8:172.16.12.0/25, v9:172.16.12.128/25, 10:172.16.13.0/24,v11:172.16.14.0/24,v12:172.16.15.0/24
essayes de créer un alias qui englobe les s.réseau de 172.16.9.128/25 à 172.16.15.0/24 et le s.réseau 172.16.15.0 . et donne moi retour. essayes encore de créer un alias qui permet au réseau 172.16.11.128/25 de naviguer sur internet et qui bloque le trafic vers les autres vlans excepté le réseau 172.16.8.0 appartenant au vlan 1.
je vois que c'est un peu compliqué donc peut etre que je dois procéder à bloquer le trafic vlan par vlan (bco d'entrées dans les regles.!!!!)
voila mes vlans
v1 : 172.16.8.0/24, v2: 172.168.9.0/25,v3 :172.16.9.128/25,v4: 172.168.10.0/25
v5:172.16.10.128/25, v6:172.16.11.0/25, 7:172.16.11.128/25,v8:172.16.12.0/25, v9:172.16.12.128/25, 10:172.16.13.0/24,v11:172.16.14.0/24,v12:172.16.15.0/24
essayes de créer un alias qui englobe les s.réseau de 172.16.9.128/25 à 172.16.15.0/24 et le s.réseau 172.16.15.0 . et donne moi retour. essayes encore de créer un alias qui permet au réseau 172.16.11.128/25 de naviguer sur internet et qui bloque le trafic vers les autres vlans excepté le réseau 172.16.8.0 appartenant au vlan 1.
je vois que c'est un peu compliqué donc peut etre que je dois procéder à bloquer le trafic vlan par vlan (bco d'entrées dans les regles.!!!!)
brupala
Messages postés
110201
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
19 septembre 2024
13 761
Modifié par brupala le 1/11/2013 à 19:11
Modifié par brupala le 1/11/2013 à 19:11
bah,
je ferais un alias 172.16.8.0/21 qui englobe toutes les adresses de 172.16.8.0 à 172.16.15.255
que tu pourrais appeler ALLVLAN
le plus simple serait de bloquer tout traffic source ALLVLAN vers destination ALLVLAN, le traffic à l'intérieur de chaque vlan ne passant pas par le firewall pfsense, ça ne devrait pas avoir d'incidence
derrière tu fais une règle qui permet source allvlan vers any pour laisser internet passer.
par contre la première règle bloquera aussi icmp entre le pfsense lui même et les machines,
il pourrait être utile de recréer tout en tête 2 règles par vlan pour autoriser source vlanx vers ip pfsense dans ce vlan
et l'inverse source ip pfsense dans vlanx destination vlanx
histoire de laisser un dialogue icmp ou protocoles de routage entre pfsense et les machines.
aussi,
j'oubliais,
commence tout en haut par une règle qui autorise de ta machine vers l'adresse ip du firewall et réciproquement, sinon, tu ne pourras plus y accéder, le piège classique de l'admin apprenti sorcier en ACL.
je ferais un alias 172.16.8.0/21 qui englobe toutes les adresses de 172.16.8.0 à 172.16.15.255
que tu pourrais appeler ALLVLAN
le plus simple serait de bloquer tout traffic source ALLVLAN vers destination ALLVLAN, le traffic à l'intérieur de chaque vlan ne passant pas par le firewall pfsense, ça ne devrait pas avoir d'incidence
derrière tu fais une règle qui permet source allvlan vers any pour laisser internet passer.
par contre la première règle bloquera aussi icmp entre le pfsense lui même et les machines,
il pourrait être utile de recréer tout en tête 2 règles par vlan pour autoriser source vlanx vers ip pfsense dans ce vlan
et l'inverse source ip pfsense dans vlanx destination vlanx
histoire de laisser un dialogue icmp ou protocoles de routage entre pfsense et les machines.
aussi,
j'oubliais,
commence tout en haut par une règle qui autorise de ta machine vers l'adresse ip du firewall et réciproquement, sinon, tu ne pourras plus y accéder, le piège classique de l'admin apprenti sorcier en ACL.
ayouda2013
Messages postés
15
Date d'inscription
jeudi 4 avril 2013
Statut
Membre
Dernière intervention
2 novembre 2013
2 nov. 2013 à 20:19
2 nov. 2013 à 20:19
Saut
Merci bcp brupula pour tes données très consistantes.
Oui je confirme ce que tu as écrit mais au lieu créer un alias qui englobe tous les réseaux et ensuite faire des règles je vois un peu risqué donc j'ai procédé à créer des aias dont chacun se compose des vlans à bloquer et ainsi de suite du fait que j'ai un vlan qui comporte les serveurs (telque w2008 pour le dhcp ,AIK et GPO + un serveur kaspersky client / server) : cette zone est à laisser joingnable par tous les vlans avec un any.
et justement le any me dérange un peu car je dois controler aussi le passage vers internet et j'ai trouvé comme une solution : créer un alias t 53:avec les ports 80:http et 53:DNS et reste à jouer avec l'ordre des règles.
Je confirme aussi de mettre une règle en tete pour autoriser le passage d'au moins un poste des vlans pour permettre la configuration de pfsense.
Je te donne retour tout au long de l'avancement de la configuration
Merci encore pour tes idées très precieuses.
A +++++
Merci bcp brupula pour tes données très consistantes.
Oui je confirme ce que tu as écrit mais au lieu créer un alias qui englobe tous les réseaux et ensuite faire des règles je vois un peu risqué donc j'ai procédé à créer des aias dont chacun se compose des vlans à bloquer et ainsi de suite du fait que j'ai un vlan qui comporte les serveurs (telque w2008 pour le dhcp ,AIK et GPO + un serveur kaspersky client / server) : cette zone est à laisser joingnable par tous les vlans avec un any.
et justement le any me dérange un peu car je dois controler aussi le passage vers internet et j'ai trouvé comme une solution : créer un alias t 53:avec les ports 80:http et 53:DNS et reste à jouer avec l'ordre des règles.
Je confirme aussi de mettre une règle en tete pour autoriser le passage d'au moins un poste des vlans pour permettre la configuration de pfsense.
Je te donne retour tout au long de l'avancement de la configuration
Merci encore pour tes idées très precieuses.
A +++++
