Configuration de base d'un pare-feu

Ohry Messages postés 32 Date d'inscription mardi 21 novembre 2023 Statut Membre Dernière intervention 19 février 2024 - 15 févr. 2024 à 15:36
Ohry Messages postés 32 Date d'inscription mardi 21 novembre 2023 Statut Membre Dernière intervention 19 février 2024 - 19 févr. 2024 à 11:47

Bonjour,

Je voudrais maintenant régler mon pare-feu d'une manière plus professionnelle, mon but étant bien sûr d'empêcher des méchants de faire des bêtises chez moi. Je n'ai aucun autre service que l'accès à internet et les courriels.

Suffit-il de régler le WAN?

Ci-dessous les règles actuelles, et ça semble marcher. Pourtant, j'aurais imaginé bloquer l'envoi des mails, qui passent sur des ports bien particuliers?

Merci pour vos conseils!

A voir également:

5 réponses

avion-f16 Messages postés 19249 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 15 juin 2024 4 504
17 févr. 2024 à 22:09

Bonjour,

La pratique usuelle sur pfSense / OPNsense est de filtrer le trafic entrant relativement au pare-feu (direction « in »).

Voir https://docs.netgate.com/pfsense/en/latest/firewall/rule-methodology.html

Si tu souhaites filtre le trafic d'un réseau interne (informatique, élèves, bureaux...) vers Internet, il faut définir la règle sur l'interface réseau concernée et non pas sur la partie WAN.

Les deux règles HTTP/HTTPS que tu as créées sur la WAN seraient utiles si tu avais un serveur Web au sein de ton réseau, afin de les rendre accessible depuis Internet.

1
brupala Messages postés 110546 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 22 novembre 2024 13 834
Modifié le 17 févr. 2024 à 22:51

OK, merci, parce que l'interface est confuse à ce niveau et pourtant ça change beaucoup de choses.

0
brupala Messages postés 110546 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 22 novembre 2024 13 834
15 févr. 2024 à 16:05

Salut,

c'est quoi ce machin et à quoi il sert, il est situé où ?

des règles appelées wan ou lan, c'est bien, mais il faut savoir le sens:

en principe on autorise du lan vers le wan, mais pas dans l'autre sens.


0

Bonjour,

C'est quoi comme pare-feux? il est logiciel ou matériel?

Comme le dit brupala il y a un sens et un ordre pour les règles.

A priori tu as une règle qui laisse passer tout le trafic IPv4 sur tous les ports donc normal que tu reçoives tes mails. En gros il ne filtre pas grand chose^^.

Quand on configure de maniére sérieuse un firewall on commence par crée une règle qui interdit tout le trafic dans les deux sens et on ouvre les ports nécessaires au fur et à mesure. Ça demande aussi d 'avoir du temps car ils faut gérer les règles quand on installe une application est vérifier qu'elle communique avec internet.

https://openclassrooms.com/fr/courses/1946106-securisez-votre-reseau-grace-aux-vpn-et-firewall/5241631-protegez-vos-donnees-en-installant-un-firewall

Cordialement

0
Ohry Messages postés 32 Date d'inscription mardi 21 novembre 2023 Statut Membre Dernière intervention 19 février 2024
17 févr. 2024 à 16:18

Merci pour vos réponses.

Le lien vers openclassrooms est très bon, et il faut que je lise ça. C'est en fait ce que je recherchais, mais j'avais sûrement très mal cherché.

Il s'agit toujours d'un routeur PfSense (je continue mon travail). Il est donc matériel, et placé entre le LAN et le WAN (ça me semblait évident, mais ça ne l'est pas...).
Ma règle IPv4 tout ouvert, est grisée et désactivée. Ça ne se voit pas trop, il est vrai.

"Règle WAN ou LAN c'est bien, mais il faudrait savoir dans quel sens." C'est justement la question que je me pose. Il faut que je regarde dans la doc. J'ai déjà perdu beaucoup de temps il y a cinq ans, dans un autre cadre, à cause de l'ordre des règles. Sur PfSense, ça commence par en bas.
Je retiens le principe: on autorise à sortir, on filtre l'entrée. C'est logique.

Je vais d'abord faire le travail que m'a donné Papy et lire le lien. Je vous embêterai après, si j'ai encore des questions.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Ohry Messages postés 32 Date d'inscription mardi 21 novembre 2023 Statut Membre Dernière intervention 19 février 2024
19 févr. 2024 à 10:32

Merci F16! Réponse très éclairante. Car je partage l'avis de Brupala.

La doc a l'air très bonne, je me débrouille en anglais, mais j'ai tout de même un peu la flegme...

Sur le LAN donc, j'ai donc autorisé en TCP

  • Web: 80 443
  • DNS: 53 853 (attention, en UDP)
  • SMTP: 465 587
  • IMAP: 143 993 220
  • SSH: 22

Personne ne râle encore.
Notez bien que la deuxième règle qui autorise tout est désactivée.
Si je précise LAN address dans la destination des SMTP, ça bloque.
J'attends un peu pour passer en résolu, d'abord afin de vérifier que tout aille bien, ensuite pour vous laisser le temps de me corriger si j'ai encore dit une ânerie.

0
brupala Messages postés 110546 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 22 novembre 2024 13 834
Modifié le 19 févr. 2024 à 11:45

ça me surprend ta destination lan address, ça voudrait dire des connexions internes au lan du parefeu et non pas des connexions lan > wan ?

0
Ohry Messages postés 32 Date d'inscription mardi 21 novembre 2023 Statut Membre Dernière intervention 19 février 2024 > brupala Messages postés 110546 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 22 novembre 2024
19 févr. 2024 à 11:47

Moi aussi ça me surprend! mais ça marche...

Je veux dire que sans ces règles, le trafic avec internet est bien bloqué, et qu'avec ces règles cela fonctionne. Ces règles ouvrent bien le trafic avec la passerelle. Peut-être est-ce ainsi sur pfSense? F16 semble bien connaître pfSense et nous dira peut-être.

Une piste: sur pfSense on crée une passerelle et on configure le rapport de chaque interface avec cette passerelle (et non pas, me semble-t-il, avec le WAN).

Il y a un truc qui va dans ton sens, Brupala, c'est que les deux règles pour le courriel doivent avoir pour destination * pour que ça fonctionne (contrairement à la capture d'écran qu'il faut que je change). Je vais essayer avec WAN pour voir.

0