International Forums > French - Français
Difficultés firewall Firewall
(1/1)
coxifred:
Bonjour tout le monde,
Je sollicite votre aide sur un problème de règles firewall. Merci d'avance.
Présentation :
* Hardware : 1 SFX4150 SUN (4 ports RJ45) avec un ESXI et (entre autre) une vm OpnSense
* Software : OpnSense en version 19.1.4 (12/03/2019)
* Network : ____________________________
/ ESXI \
WAN (Livebox 192.168.2.1) <------> WAN (192.168.2.2 OpnSense 192.168.1.1 ) LAN <----> Mon LAN en 192.168.1.0/24
Tout fonctionne parfaitement, maintenant je souhaite ajouter des règles firewall pour laisser passer des machines de mon lan et en bloquer d'autres.
Prenons l'exemple de 2 machines:
192.168.1.30 : Je souhaiterai bloquer les flux vers internet (donc le wan) mais la laisser discuter avec ses amies du LAN.
192.168.1.50 : Je souhaiterai la laisser aller sur internet et discuter avec ses amies sur le LAN (J'y reviendrais plus tard)
J'utilise donc le menu firewall, Règles puis LAN (je ne touche pas au WAN)
Pour l'instant j'ai:
D'après ce que j'ai vu, cela se lit de haut en bas, et qu'en cas de conflit de règles, c'est la règle la plus haute qui prend le dessus.
Donc à cet instant, tout passe, ce qui me parait normal (en IPV4, on mettra l'IPV6 de côté).
Je veux bloquer la 192.168.1.30, donc je rajoute cette règle :
Et depuis 192.168.1.30, j'arrive toujours à me connecter à internet. A noter j'ai essayé en destination 192.168.1.1, Ce pare-feu, WAN net, WAN adresse. Mais rien n'y fait.
J'ai également tenté de tout bloquer (en règle tout en bas) et d'ajouter (avec une règle au dessus) un laissé passé pour 192.168.1.30, mais avec cette façon rien ne passe, comme ceci:
C'est comme s'il ne tenait pas compte de mes règles supérieures. Je dois surement me planter quelque part.
Merci pour votre aide.
Fred.
ProServ:
Salut,
Bon déjà ce n'est pas 192.168.1.30/24 mais 192.168.1.30/32... Car c'est seule cette adresse que tu veux bloquer.
C'est peut être la seule erreur.
Ensuite, si ca ne fonctionne toujours pas, essaie cette règle.
Source : 192.168.1.30/32
Destination : any
Passerelle : <ta passerelle utilisée>
192.168.1.30 aura toujours accès au réseau LAN puisse que c'est en /24, donc ne contactera pas la Gateway (OPNSense) pour discuter avec les équipements 192.168.1.x.
coxifred:
Hello Boubou,
Alors si je mets /32 cela ne change rien.
Par contre si je mets en dur (en destination 192.168.1.1, c'est à dire ma passerelle), effectivement cela bloque.
Si je mets wan address , ce pare feu ou wan net, ça ne bloque rien. incroyable ça.
Du coup effectivement ça bloque en mettant 192.168.1.1, mais cela veut également dire, que 192.168.1.30 doit être en statique et non en DHCP.
Merci à toi.
ProServ:
Mais tu le mets ou 192.168.1.1 dans ta règle ?
Là je ne comprends pas.
Le mieux serai de faire ces règles :
Interface : LAN
Etat : Refuser
Source : 192.168.1.30/32
Destination : WAN net
Passerelle : défaut
Interface : LAN
Etat : Refuser
Source : 192.168.1.30/32
Destination : any
Passerelle : <ta passerelle = 192.168.2.1 = IP de ta livebox>
Comme ca normalement, ca fonctionne bien.
Et oui, si tu autorise une IP seulement, il faut que celle-ci soit en IP fixe (ou réservée par le DHCP, c'est même mieux comme ca... Attention au différentes interface réseau comme le Wifi qui comporte une autre adresse MAC).
Il ne faut en effet qu'elle soit en IP dynamique sinon lorsque le périphérique va changer d'IP ta règle n'aura plus d'effet.
C'est pour ca que généralement on fait des sous réseaux et on autorise ou non entre les sous réseaux.
Ensuite, à toi de donner les droits à tes utilisateurs d'avoir accès à ce sous réseaux ou non (filtrage par adresse mac, certificat, port en untag sur les prises murales = il existe différente manière)
Navigation
[0] Message Index
Go to full version