Bonjour,
J'ai positionné des ACL et des règles IPS entrée de ma patte WAN.
Mais je trouve des match dans mes logs IPS sur des adresses IP normalement bloquées par les ACL.
Y a-t-il un moyen de positionner les ACL avant que n'entrent en jeu les filtrages IPS ?
Merci de votre aide.
Je ne crois pas.
https://docs.opnsense.org/manual/ips.html#choosing-an-interface (https://docs.opnsense.org/manual/ips.html#choosing-an-interface)
QuoteSince the firewall is dropping inbound packets by default it usually does not improve security to use the WAN interface when in IPS mode because it would drop the packet that would have also been dropped by the firewall.
Je n'ai pas regardé la documentation en français...
Merci du retour.
C'est bien dommage car le fait de faire une inspection IPS après les ACL permettrait de n'analyser que les flux non bloqués vis à vis des ACL et donc on pourrait logiquement économiser des ressources.
La recommandation est de ne pas utiliser WAN... Tu n'aurais pas ce souci sur les autres interfaces.