Messages

Hi,

i'm working on some hole punching and i've just discovered that opnsense is doing symmetric NAT.
I would like to change my NAT to full cone (normal) or restricted.

What's my option here to do so ? I didn't find anything useful in the NAT section of opnsense (or pfsense). It looks like openBSD and freeBSD do symmetric NAT by default. How to change that ?

Thank you

Bonjour,

Dans le but d'isoler mes différents VLAN, j'ai créé un ALIAS contenant l'ensemble des adresses réservées aux réseau privés puis dans chaque VLAN j'ai créé une règle stipulant que :
type : block, source : VLAN net, destination : alias private networks.

Cela fonctionne très bien, en créant la règle pour tous mes VLANs. Mes VLANs sont bien isolés, aucune requête ne passe entre eux. Lorsque je ne l'active pas, je peux alors avoir accès à ces VLANs (pratique dans le cas d'un VLAN d'admin qui a besoin d'avoir accès partout).

Mais cette règle repose sur la philosophie suivante : un VLAN protège les autres VLANs en s'interdisant de leur adresser des requêtes. Comment puis-je faire l'inverse : se protéger des réseaux privés ?

J'ai essayé de rajouter une règle du type :
type : block, source : alias private network, destination : VLAN net
type : block, source : ! VLAN net, destination : VLAN net

Mais je peux alors accéder à ce VLAN depuis un autre. Quelle serait la règle adaptée à ce besoin? Et accessoirement, quelle est le processus de décision du FW pour ne pas activer les deux règles précedement citées?

Tu as réussi à avancer sur ton problème ? C'est plutôt intéressant comme problématique... il y a des convertisseurs fibre/eth dispo dans le commerce mais je sais pas du tout comment ça fonctionne

Bonjour,

Je viens (enfin) de terminer ma conf opnsense (je viens de chez orange, en fibre). Je me suis ammusé à observer les states firewall au démarrage pour observer les connections déjà établies. Là, surprise : 3 connections TCP/TLS/http (hors interface opnsense) : 151.101.122.49, 93.184.220.29, 40.67.253.249. Un petit reverse dns pour voir où tout ça allait, et j'ai donc créé des alias et des FW rules pour bannir tout ça.
J'ai aussi activé surricata (l'IDS intégré) par curiosité : 1 alerte levée faisait parti des adresses que j'avais banni (ne jamais oublier de reset les states quand on active les rules FW...)

Tout ça pour en venir à mes questions :
Existe-t-il des rules surricata plus "durcies" que celles déjà existantes ?
Comment puis-je envoyer tous mes logs vers un ELK pour me lever des alertes (le mode consultation me soule...) ?

Pour la deuxième question : je cherche à mettre en place un ELK pour surveiller l'ensemble de mon réseau (esxi, NAS/SAN, divers clients), du coup récupérer les logs router est une priorité (surtout après mes premières observations...). Avez vous des ressources ou des conseils (anglais ou français je m'en fiche ^^ mais je trouve que l'article MISC d'il y a 2 ou 4 mois pas encore assez détaillé...)? Peut-être même un exemple de config rsyslog de freeBSD...

(j'ai l'habitude de spécifier ce genre d'exigences, mais j'ai jamais réalisé...)

Merci à vous !