Welcome, Guest. Please login or register.
Did you miss your activation email?
+  pfSense Forum
|-+  International Support» Français» Rules & Log - Explications possibles ?
Username:
Password:
 
Home Help Search Login Register
 

Pages: [1]   Go Down
« previous next »
  Print  
Author Topic: Rules & Log - Explications possibles ?  (Read 1142 times)
0 Members and 1 Guest are viewing this topic.
Nandymous
Newbie
*
Offline Offline

Posts: 7


View Profile
« on: March 06, 2012, 08:15:05 am »
Bonjour,

Dans le cadre de mon BTS, j'ai comme "mission" le renouvellement d'un firewall installé sur une très vieille machine sous Indian Firewall.

On m'a conseillé de me tourner vers pfSense et avoir parcouru le net, c'est en toute logique que j'ai soumis pfSense. Il va s'en dire qu'on laisse "carte blanche" à ce sujet ;-)

J'ai donc procédé à une installation et suivi les documentations et les tutoriels de ce site et ceux présents sur le net. J'ai désactivé la règle par défaut d'un accès total pour y mettre des règles aux cas par cas comme j'ai pu le lire sur beaucoup de post ;-)

Néanmoins et malgré avoir activé une règle d'accès sur un port spécifique, le journal m'inonde de message d'alerte sur ce même port pourtant activé. Je vous ai préparé des captures d'écran pour y d'écrire mon souci (plus représentatif).

Exemple :
Mise en place d'une règle dull accès sur le port 443


Extrait du journal d'événements, relatif à cette même règle


Autre exemple :
Règle part défaut en Alias


Et extrait du journal d'événement


D'avance merci de votre aide et surtout désolé si vous jugez de l'évidence ou la simplicité de la question.

Bonne journée.
« Last Edit: March 06, 2012, 08:52:19 am by Nandymous » Logged
Pro21
Newbie
*
Offline Offline

Posts: 17


View Profile
« Reply #1 on: March 06, 2012, 09:16:36 am »
Bonjour,

les logs sont ceux d'un dialogue DHCP je pense. Avez-vous configurez un serveur DHCP sur votre LAN ou sur PF ?

P.S : Mauvaise idée de mettre des accents dans les noms des objets ^^
Logged
ccnet
Hero Member
*****
Offline Offline

Posts: 1494


View Profile
« Reply #2 on: March 06, 2012, 01:41:32 pm »
Pour la première question il y a plusieurs hypothèses.

1. l'ordre des règles pourrait ne pas être le bon. Votre copie d'écran isole la règle qui autorise Lan net vers any:443 mais si il se trouve au dessus une règle qui l'interdit explicitement ou implicitement, les paquets sont rejetés. Dans Pfsense les règles s'applique dans l'ordre où on les lit, de bas en haut. Lorsqu'une règle est vérifiée l'évaluation cesse.

2. 192.168.1.0.118 fait il bien partie de LAN net ?

Pour la troisième copie d'écran (EasyRuleBlockHostLan) , que souhaitez faire ?

Le dernier log est bien celui d'une machine qui tente d'obtenir une configuration réseau via DHCP. Est ce qui est souhaité ?

A première vue je serai tenté de voir conseiller la vérification de l'ordre des règles et la vérification des règles par défaut.
Dans un premier temps essayez de simplifier, avec des règles plus laxistes, pour vérifier que vous obtenez un résultat qui correspond à ce que vous pensez faire. Temporairement bien sûr.

Quote
Et extrait du journal d'événement
Terminologie strictement Windows. Ici on parle de log. Pas important mais on n'est pas obligé de se laisser envahir par le marketing de Microsoft. Appeler des logs "journal d'événements" c'est quand même du marketing.
Logged
Nandymous
Newbie
*
Offline Offline

Posts: 7


View Profile
« Reply #3 on: March 07, 2012, 08:08:48 am »
Bonjour,

Avant tout, merci à vous deux, pour vos réponses.

Pour répondre à Pro21 :
Quote from: Pro21 on March 06, 2012, 09:16:36 am
les logs sont ceux d'un dialogue DHCP je pense. Avez-vous configurez un serveur DHCP sur votre LAN ou sur PF ?

P.S : Mauvaise idée de mettre des accents dans les noms des objets ^^
Oui un serveur DHCP est bien présent sur le réseau LAN. Dois-je activer un DHCP relay ou mettre en place une règle ?
Pour le P.S., les accents sont sur les descriptions et non sur les règles. Sauf erreur, je ne pense pas que cela soit un souci sur la description, non ?

Pour répondre à ccnet :
Quote from: ccnet on March 06, 2012, 01:41:32 pm
1. l'ordre des règles pourrait ne pas être le bon. Votre copie d'écran isole la règle qui autorise Lan net vers any:443 mais si il se trouve au dessus une règle qui l'interdit explicitement ou implicitement, les paquets sont rejetés. Dans Pfsense les règles s'applique dans l'ordre où on les lit, de bas en haut. Lorsqu'une règle est vérifiée l'évaluation cesse.
Ah Huh je pensais que les règles s'appliquaient de haut en bas ?!
Voici une copie d'écran de la totalité des règles mise en place, pour une meilleur compréhension :


La règle "bogon" ; appliquée ce matin (et pour le 0.0.0.0).

Quote from: ccnet
2. 192.168.1.0.118 fait il bien partie de LAN net ?
Oui. Le Lan Net est 192.168.0.0/24

Quote from: ccnet
Pour la troisième copie d'écran (EasyRuleBlockHostLan) , que souhaitez faire ?
Je l'ai appliqué de façon "automatique" afin de ne plus afficher les log en provenance de 0.0.0.0.

Quote from: ccnet
Le dernier log est bien celui d'une machine qui tente d'obtenir une configuration réseau via DHCP. Est ce qui est souhaité ?
Oui sur le LAN Net certains postes sont en configuration DHCP. Pourtant un serveur DHCP est bien présent sur le LAN mais sans option de Boot (PXE).

Quote from: ccnet
A première vue je serai tenté de voir conseiller la vérification de l'ordre des règles et la vérification des règles par défaut.
Dans un premier temps essayez de simplifier, avec des règles plus laxistes, pour vérifier que vous obtenez un résultat qui correspond à ce que vous pensez faire. Temporairement bien sûr.
C'est en cours. Je vais tout désactiver et réactiver au fur et à mesure.

Quote from: ccnet
Et extrait du journal d'événement :Terminologie strictement Windows. Ici on parle de log. Pas important mais on n'est pas obligé de se laisser envahir par le marketing de Microsoft. Appeler des logs "journal d'événements" c'est quand même du marketing.
Oui oui, je sais ;-). J'ai simplement voulu utiliser des termes français sur un forum français. Mais dans mon language courant, j'emploie le terme de log tout OS confondu ;-)

En tout cas merci encore une fois.

A+
« Last Edit: March 07, 2012, 08:14:11 am by Nandymous » Logged
ccnet
Hero Member
*****
Offline Offline

Posts: 1494


View Profile
« Reply #4 on: March 07, 2012, 02:36:51 pm »
 Pardon monstrueuse coquille, les règles s'appliquent de haut en bas comme vous l'indiquez. Grosse, grosse annerie de ma part.
« Last Edit: March 07, 2012, 05:33:07 pm by ccnet » Logged
Nandymous
Newbie
*
Offline Offline

Posts: 7


View Profile
« Reply #5 on: March 07, 2012, 05:10:22 pm »
Bonsoir,

Oui, je m'en suis douté avec la phrase ci-dessous, mais du coup le doute s'est quand même installé:
Quote from: ccnet
Votre copie d'écran isole la règle qui autorise Lan net vers any:443 mais si il se trouve au dessus une règle qui l'interdit explicitement ou implicitement, les paquets sont rejetés.

Alors ces règles, des incohérences ?
Des recommandations ?

J'ai continué à chercher et je suis tombé sur le lien ci-dessous est-ce l'explication à mon souci ou une piste ?
Logs show - Blocked traffic from a legitime connection - Why ?

Bonne soirée.
A+
Logged
ccnet
Hero Member
*****
Offline Offline

Posts: 1494


View Profile
« Reply #6 on: March 07, 2012, 05:41:48 pm »
Un rapide commentaire.

Pour dns je préciserai la destination vers laquelle le trafic est autorisé. Ce serait plutôt l'interface Lan de Pfsense si vous utiliser le cache dns de Pfsense. DNS comporte de nombreux dangers sous son air inoffensif et gentil.

Pour DHCP il faut en effet autoriser l'accès à la patte Lan (dans votre cas) pour udp/67.
Logged
Pages: [1]   Go Up
  Print  
« previous next »
 
Jump to:  

 

Powered by SMF 1.1.18 | SMF © 2013, Simple Machines
Page created in 0.037 seconds with 20 queries.