The pfSense Store

Author Topic: Demande aide pour la configuration des rules  (Read 137 times)

0 Members and 1 Guest are viewing this topic.

Offline alkaid

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Demande aide pour la configuration des rules
« on: November 15, 2017, 10:08:32 am »
Bonjour à tous,

Je suis nouveau sur le forum et je découvre pfsense depuis 2h !!!

Contexte : milieu pro, je dois installer un firewall pour la société dans laquelle je travaille, mais je bloque.
J'ai installé pfsense dernière version 2.4.0 sur un serveur physique.

Schéma :

1/ J'ai un routeur Cisco 7204 vxr avec un range d'ip de 62.71.100.114 -> 62.71.100.124
    Il faut que le trafic sorte par la 114 et les connexions entrante par mon range.

2/ J'ai mon pfsense avec:
    -WAN 62.71.100.114/28
    -DMZ LAN 192.168.1.2/24
    -TRUSTED OPT1 192.168.0.2/24

Voici mon problème:

J'ai besoin que la TRUSTED ai accès à toute la DMZ (tous les ports) et internet donc pas de restriction.
Et j'ai besoin que la DMZ par exemple: si je veux joindre l'ip externe 62.71.100.119 répondre en HTTP (80) sur le serveur interne 192.168.1.119
Je ne comprend pas bien ce que je dois faire dans le NAT et RULES ...
Après votre aide, je pourrais ajouter d'autres rules.

A tous et d'avance, je vous en remercie.

Cordialement,

Philippe




   
« Last Edit: November 15, 2017, 10:50:09 am by alkaid »

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1812
  • Karma: +89/-11
    • View Profile
Re: Demande aide pour la configuration des rules
« Reply #1 on: November 15, 2017, 11:39:37 am »
Probablement que juste 2H de découverte, ce n'est pas suffisant.
Mais si tu comprends comment fonctionnent, dans le principe, firewall et DMZ, ça ne pose pas de problème particulier.

A quelques détails près cependant... comment peux-tu avoir pfsense et le routeur Cisco en même temps sur le segment 62.71.100.114/28  ?

tu peux bien sûr avoir les 2 connectés sur je ne sais pas quel équipement, ou alors, plus probable, ton routeur Cisco connecté à ton ISP (en Finlande  ;) ) et on pfSense derrière, avec un WAN dans un plan d'adressage privé (RFC1918)
Ou encore, pas de routeur Cisco, et pfSense qui écoute surtoutes les adresse du range.

bref, il faut décider de ton design mais celui que tu décris, je ne le comprends pas  :(

Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline alkaid

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Re: Demande aide pour la configuration des rules
« Reply #2 on: November 16, 2017, 08:51:51 am »
Effectivement ...

Enfait mon routeur Cisco est en 62.71.100.113 avec le routage suivant:

ALKAID_7204#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

     212.35.99.0/30 is subnetted, 1 subnets
C       212.35.99.140 is directly connected, Serial2/0
     62.0.0.0/8 is variably subnetted, 11 subnets, 2 masks
S       62.71.100.115/32 [1/0] via 62.71.100.114
C       62.71.100.112/28 is directly connected, FastEthernet0/0
S       62.71.100.119/32 [1/0] via 62.71.100.114
S       62.71.100.118/32 [1/0] via 62.71.100.114
S       62.71.100.117/32 [1/0] via 62.71.100.114
S       62.71.100.116/32 [1/0] via 62.71.100.114
S       62.71.100.123/32 [1/0] via 62.71.100.114
S       62.71.100.122/32 [1/0] via 62.71.100.114
S       62.71.100.121/32 [1/0] via 62.71.100.114
S       62.71.100.120/32 [1/0] via 62.71.100.114
S       62.71.100.124/32 [1/0] via 62.71.100.114
S*   0.0.0.0/0 is directly connected, Serial2/0

Donc tous le trafic sort par la 62.71.100.114 (c'est mon but) et sur les autres accessible en entrée via leur ip publique.

Merci à vous

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1812
  • Karma: +89/-11
    • View Profile
Re: Demande aide pour la configuration des rules
« Reply #3 on: November 17, 2017, 12:39:16 am »
Et comment ton routeur Cisco est-il connecté à pfSense ???

62.71.100.112/28 est ton interface "publique" (coté internet / WAN)
l'IP utilisée est 62.71.100.114, les autres sont des routes statiques.

Donc tout ça, c'est coté Cisco...  mais qui de pfSense ?
Un petit schéma de l’implémentation physique peut-être ?  ;)
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.