IPS avant ou après le check ACL

Started by Moltes12, March 22, 2025, 09:43:28 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 22, 2025, 09:43:28 AM
Bonjour,
J'ai positionné des ACL et des règles IPS entrée de ma patte WAN.
Mais je trouve des match dans mes logs IPS sur des adresses IP normalement bloquées par les ACL.
Y a-t-il un moyen de positionner les ACL avant que n'entrent en jeu les filtrages IPS ?

Merci de votre aide.
March 23, 2025, 02:53:55 AM #1
Je ne crois pas.
https://docs.opnsense.org/manual/ips.html#choosing-an-interface
QuoteSince the firewall is dropping inbound packets by default it usually does not improve security to use the WAN interface when in IPS mode because it would drop the packet that would have also been dropped by the firewall.

Je n'ai pas regardé la documentation en français...
March 30, 2025, 07:19:24 PM #2
Merci du retour.

C'est bien dommage car le fait de faire une inspection IPS après les ACL permettrait de n'analyser que les flux non bloqués vis à vis des ACL et donc on pourrait logiquement économiser des ressources.
March 30, 2025, 07:57:32 PM #3
La recommandation est de ne pas utiliser WAN... Tu n'aurais pas ce souci sur les autres interfaces.
Print
Go Up Pages1
User actions