OPNsense Forum
International Forums => French - Français => Topic started by: touriste on May 17, 2016, 11:14:26 am
-
Bonjour, je galère à fond sur le firewall.
Bon en gros, j'ai trois interfaces wlan, lan, backup
Ce que j'aimerais faire c'est que ma machine qui est sur l'interface backup puisse accéder a deux machines sur le le reseau lan. Mais que aucune machine des interfaces wlan ou lan ne puisse accéder à l'interface backup.
Exemple :
Machine lan à atteindre 192. 168 .7. 120 et 192.168.7.121
Machine sur Backup 192.168.17.2
Si quelqu'un arrive a me dire quoi faire car perso, je ne pige rien entre les différentes interfaces du firewall, je ne sais pas quand je dois utiliser le port forward, le outbount ou les rules. C'est pas très clair pour moi.
Je suppose que c'est les rules ?
Pour l'instant j'ai mis dans les rules de lan
Block IPv4 * * * BACKUP net * *
et dans backup
Acces IPv4 * * * LAN net * *
C'est un peu global, mais j'ai juste ou c'est tout faux
-
Bonsoir,, alors je vois déjà qu'il y a confusion entre NAT et firewall.
Le NAT sert a la translation d'adresses et de ports (TCP et UDP), exemple, tu n'as qu'un adresse IP public et plusieurs machines sur ton LAN avec chacune une adresse ip privé, il faut donc que tu translate ça vers l'IP public pour que les machine ai accès à Internet. Pour cela tu va donc définir des règles pour faire la translation, la parti NAT ne sert qu'à ça, elle n'a pas vocation a faire de la sécurité, elle n'a pas pour but de définir qui accède a quoi met de tracer la route pour y parvenir.
Le Firewall lui va définir sur chaque interfaces ce qu'y peut passer ou pas. C'est le firewall qui fera l'aspect sécurité (avec d'autre options avancé si on peut mais on va pas compliquer les choses).
Une chose a savoir, ton firewall dispose d'une table de routage, dès qu'une interface possède une adresse ip la table de routage s'ajuste automatiquement. Comme pour le NAT cette table table sert a définir où vont être transporter les packets IP.
Maintenant cas concret, tu as défini par exemple LAN : 192.168.7.0/24, Backup : 192.168.17.2/24 et WAN je sais pas.
Peut importe d'où vient la requête si un packet IP veut aller a destination de 192.168.17.xxx alors le routeur va faire transiter le packet jusqu'à l'interface Backup.
Maintenant les règles de firewall, par défaut il existe une règle invisible à la fin qui refuse tout, les règles sont lu de manière linéaire de haut en bas, tu comprends donc que s'il y a contradiction entre 2 règles c'est celle là plus haute qui primera.
OPNSense pas défaut règle : LAN : accède a tout, WAN : rien ne rentre, tout autre interface ajouté après : rien ne passe. Là tu me dis oui mais alors si le WAN refuse tout rien ne rentre, et là je te réponds c'est un firewall a état, il sais si la demande d'origine provient de ton interface LAN et donc la réponse qui arrivera sur l'interface WAN sera autorisé. Inversement si une requête est initié de quelques chose coté WAN alors cela ne passera pas.
Dans ton cas ton LAN accèdera bien sans souci a se qui se trouve sur l'interface Backup, si tu veux autoriser une machine du Backup a accéder au LAN il faut ajouter une règle :
IP source : la machine coté backup 192.168.17.2
Port source : Any (c'est généralement dynamique, donc on sais pas)
IP destination : 192.168.7.120
Port destination : Any (sauf si tu veux autoriser qu'un seul port, faut voir après comment ton compter ton truc)
Tu peux ensuite soit faire pareil pour la seconde machine de destination, soit créer un Alias de type host qui possède tes 2 adresses IP des machines LAN et indiquer cela dans IP destination auquel cas tu n'auras qu'une seule règle a gérer.
Voila, j'espère t'avoir un peu éclairé sur les fonctionnements de base des firewalls et routeurs. Ces explications fonctionne pour tout routeur/firewall c'est dès règles de base des réseaux IP.
-
Oui merci ton explication m'aide beaucoup.
En faite ce que je souhaite faire. C'est protéger mon serveur de backup des cryptolocker.
En gros, la partie wlan ne m'intéresse pas trop. Je vais interdire tout accès a internet sur l'interface backup.
Ce qui m'intéresse le plus c'est le trafic entre l'interface Backup et l'interface Lan.
Je veux donner tout les accès depuis Backup sur Lan et aucun Accès de Lan sur Backup (je suppose que cela devrait éviter qu'un crypto locker encrypte mes backups).
Donc si tu te comprends bien je vais uniquement travailler avec les règles du firewall (donc j'oublie le NAT).
Maintenant je vais avoir deux réseaux avec des ranges d'adresses différents. Comment je fais la liaison d'un a l'autre pour voir les machines depuis l'interface Backup sur le Réseau Lan.
J'ai mis un petit schéma.
PS : si tu as aussi une bonne documentation, je serais preneur (Même en anglais), car on trouve beaucoup de doc pour ouvrir des ports pour internet etc, mais pour le reste j'ai pas trouvé de doc qui explique le concept.
Merci en tout cas de l'aide
-
Salut, passage éclair, réponse éclair ;)
Par défaut aucune connexion initié depuis l'interface WAN, donc t'as rien a faire sur cette interface.
Interface LAN, par défaut accès à tout, il faut donc que tu ajoutes une règle : Deny, IPV4+IPV6, Source IP : Any, Source Protocol : Any, Destination IP : ton sous réseau Backup, Destination Protocol : Any.
La lecture des règles étant linéaire cette nouvelle règle doit se trouver au dessus de la règle par défaut qui porte l'indication : Default allow LAN to any rule. Si ce n'est pas le cas c'est cette règle par défaut Default allow LAN to any rule qui sera vérifié en premier et ta règle pour refuser l'accès à Backup ne sera pas fonctionnel.
Interface Backup : ajoute une règle : Permit, IPV4+IPV6, Source IP : Any, Source Protocol : Any, Destination IP : ton sous réseau LAN, Destination Protocol : Any
Comme ta règle est spécifique pour la destination du réseau IP LAN si les packet IP ne sont pas adressé au LAN alors la règle ne match pas, donc le firewall passe à la règle suivante qui est la règle implicite bloquant tout. Ton réseau backup n'aura donc accès qu'à ton LAN.
Et voila, sauf erreur de ma part (personne n'est parfait) ça doit marcher.
-
je test ça demain
-
Oki ça marche avec une ou deux adaptations.
Merci de l'aide en tout cas. ;)
-
Bonjour,
Quels ont été les ajustements apportés ?
Merci ;)