Autoriser l'accès (uniquement) à l'Internet

Started by Baliste, April 16, 2019, 03:06:09 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 16, 2019, 03:06:09 PM Last Edit: April 16, 2019, 06:08:22 PM by Baliste
Bonjour,

Cela devrait être une évidence, mais je viens de comprendre, en lisant d'autres articles du forum, comment autoriser l'accès à l'Internet et uniquement l'Internet.
Je partage avec vous, car ça peut surement vous aider et peut-être pourrez-vous en retour ajouter des détails intéressants.

Dans une configuration simple, il suffit de dire que l'on autorise l'accès en sortie à TOUT et ça fonctionne.
Mais dans une configuration plus complexe avec plusieurs interfaces (Wi-Fi, DMZ, autre sites, etc.) ce n'est pas suffisant.
Et comme il n'y a pas d'objet Internet, on ne peut pas spécifier facilement une règle d'autorisation pour sortir vers Internet uniquement.

Une solution est de créer un alias qui regroupe les réseaux privées (donc tout sauf Internet) et d'inverser cet objet dans la règle d'autorisation.

Création de la règle
1) Créer un Alias "IP_Privees" comportant les réseaux : 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
2) Créer une règle "Accès Internet" en cochant "Destination / Inverse" qui autorise l'accès à tout sauf les adresses IP privées, donc à l'Internet :
- IPv4 *    *    *    ! IP_Privees    *    *       Accès Internet

De plus, si le serveur DNS est sur le parefeu OPNsense, il faut ajouter l'accès au DNS :
- IPv4 TCP/UDP   *  *    Ce Pare-feu    53 (DNS)    *       Accès DNS

Je ne sais pas si il est utile de spécifier le réseau alors que l'on a déjà spécifié l'interface.

Bonne journée et bonne configuration,

Frédéric
April 16, 2019, 06:09:22 PM #1
... Second message a effacer ...
Print
Go Up Pages1
User actions