Ouverture de port Warframe

[EricPerl]

Strict NAT en soit ne devrait pas être un problème.
You cannot view this attachment.
Sur Reddit à propos de Warframe.

La plupart des posts à ce sujet se contentent des 2 ports UDP.
Je pense qu'un des serveurs du jeu détecte ton adresse publique. Personne n'a l'air de mentionner ça.

Vois-tu encore des blocages dans le live view du pare-feu?
Comme tu as des règles apparemment restrictive sur ton LAN, il est possible que tu bloques autre chose...
Même si tu ne les gardes pas à long terme, tu pourrais réactiver les 2 règles par défaut pour voir si ça aide.
Il te suffirait juste de trouver ce que tu bloques (le log devrait l'indiquer).

[valentinP]

J'ai activé les deux règles du NAT en plus des deux règles qu'on a créées. Ça fonctionne, j'ai toujours le message d'erreur de Nat strict, etc., mais j'arrive à voir les gens, mais je n'ai pas de log pour les deux règles open barre. Je te laisse regarder les pièces jointes.

[EricPerl]

Strict NAT n'est pas forcément une erreur, plutôt le statut de ton NAT.

Le log indique du traffic sortant (vers internet) correspondant à la 1ere règle LAN.
Je vois que tu contrains le port source (4955 > 4950 & 4950 > 4955).
Ton log dans la réponse #8 indiquait un essai de connection 4950 > 4950...

Pour le log des règles par défaut, il y a un paramètre dans Firewall > Settings > Advanced (section logging).

[valentinP]

Strict NAT n'est pas forcément une erreur, plutôt le statut de ton NAT.

Le log indique du traffic sortant (vers internet) correspondant à la 1ere règle LAN.
Je vois que tu contrains le port source (4955 > 4950 & 4950 > 4955).
Ton log dans la réponse #8 indiquait un essai de connection 4950 > 4950...

Pour le log des règles par défaut, il y a un paramètre dans Firewall > Settings > Advanced (section logging).

Effectivement le strict Nat n'est pas une erreur.

en ayant un peu plus regardé les logs, j'ai vu qu'en fait la règle open bar dans PF LAN faisant ce chemin src 4950 dest 4950. Alors je l'ai ouverte, ça fonctionne. Mais il y a un autre port à ouvrir, 6951. La règle c'est src 4955 dst 6951 ca permet de voir les gens et peut être de faire plus mais pas eu le temps de faire le tour. Il y a peut-être les ports 6700 & 6701 172.232.25.131, mais d'après l'IP, c'est akamai qui est une agence de CDN. Alors alors je ne me fais pas trop de soucis pour ça, je ne l'ouvre pas.

Je pense que mon problème est résolu.

J'ai beaucoup appris sur ce problème, mais quand même utiliser du P2P c'est assez bizarre. Si je fais la différence avec CS 2, il n'y a que 2 ports à ouvrir et je n'ai pas eu de problème. C'est à ce moment-là qu'on voit que les infra réseaux sont très différents.

En tout cas, merci à toi d'avoir passé du temps sur mon problème.

[EricPerl]

Le fait que tu imposes autant de limites sur ton traffic sortant t'assures un nombre de règles important et évoluant.
Par exemple, si 2 personnes jouent Warframe dans la même maison, au moins l'un de 2 va utiliser des ports différents...

Je n'ai pas vraiment l'énergie de gérer ça aussi finement et je fais confiance à mes PCs...
Par contre, j'ai isolé (VLAN) mes appareils par fonctionnalités et niveau de confiance. Inter VLAN est très limité ou inexistant quand le niveau de la source est moindre que le niveau de la destination. Accès sortant vers internet est souvent illimité.

Si tu penses avoir suffisamment de bénéfices pour cette tâche, c'est manifestement ton choix...

[valentinP]

Le fait que tu imposes autant de limites sur ton traffic sortant t'assures un nombre de règles important et évoluant.
Par exemple, si 2 personnes jouent Warframe dans la même maison, au moins l'un de 2 va utiliser des ports différents...

Je n'ai pas vraiment l'énergie de gérer ça aussi finement et je fais confiance à mes PCs...
Par contre, j'ai isolé (VLAN) mes appareils par fonctionnalités et niveau de confiance. Inter VLAN est très limité ou inexistant quand le niveau de la source est moindre que le niveau de la destination. Accès sortant vers internet est souvent illimité.

Si tu penses avoir suffisamment de bénéfices pour cette tâche, c'est manifestement ton choix...

Je comprends ton point de vue, j'ai aussi un problème avec le jeu Battlefield 5 je peut pas rejoindre le multi, j'ai du faire la regle LAN PF ou je laisse mon pc sortir open bar je trouve ca dommage, mais petite question du coup les règle flottante elle serve plus a rien ?

[EricPerl]

Le contrôle fin est toujours possible mais il requiert des recherches et un effort.
La question est de savoir si l'effort vaut le coup.
Il est impossible d'évaluer ce choix sans comprendre ce qui est obtenu (ou perçu comme obtenu) avec ce contrôle.

La fonction principale des règles flottantes est de les appliquer à plusieurs interfaces, ce qui peut être utile quand on a plusieurs réseaux internes (physique ou logique).
J'ai compris que tu les utilisais des règles flottantes parce que je ne reconnaissais pas l'icône.
J'ai un peu de mal à imaginer un scénario pour ces règles bi-directionnelles...

Je n'en n'utilise pas malgré le fait que j'ai 10 réseaux internes (VLANs).

[valentinP]

Ouais je me suis donc rabattu comme ce que tu as fait mais je n'ai pas encore déterminé le plan du réseau pour le coup.

Ta manière de faire est plus logique et plus simple.

Je n'ai presque plus de règle flottante.

J'ai fait une règle LAN PF vers tous pour mon PC

Et le reste passe par mes règles flottantes restantes.

[EricPerl]

J'ai fait une règle LAN PF vers tous pour mon PC

PF pour Pare-Feu, correct?
Parce ce que j'ai d'abord lu ça comme "Port Forward" (la plupart de mon activité est en anglais)...

Analyser le traffic est un bon moyen d'apprendre.
En contrôle fin (autorisant seulement le traffic connu), il est facile de reconnaître l'inconnu.
Juger de son utilité réclame de la recherche... Il y a des tonnes d'info mais c'est un effort quand même.

[valentinP]

Oui PF = Pare-Feu pour moi.

Oui, tu as raison, c'est comme ça que j'ai compris pour les derniers ports pour Warframe.

Oui, tu me le dis depuis le début. c'est pour ça qu'aujourd'hui je me suis rabattu sur cette règle :

et dans les règles flottantes, il y a ces règles pour le reste du réseau, mais à l'avenir (1 ou 2 semaines), ça changera : https://i.postimg.cc/NFyGjBng/R-gle-flottant.png

[EricPerl]

Vu la contrainte sur la source, ces règles flottantes sont portables sur LAN telles quelles.

Personnellement, je commence avec ça:
You cannot view this attachment.

RFC1918_networks est un alias qui contient toutes les plages définies dans ce document. Il faut au moins inclure les plages que tu utilises.
Ça n'autorise que l'accès à internet (pas les autres VLAN).
Par contre, il faut ajouter la 2eme regle pour DNS parce que "Test address" est inclus dans l'alias...
La 1ere règle peut être rendue plus granulaire en contrôlant les ports (fait attention à l'accès à OPN).

Le résultat est que je n'ai pas besoin de bloquer explicitement l'accès à Proxmox. Il n'est pas autorisé.

Il y a plein de variations. Ça dépend complètement de l'environnement.
Le traffic inter-VLAN est assez précis dans mon cas, parce que je fais en interne est connu.

[valentinP]

Je ne vois pas en quoi le l'alias RFC1918 m'importe de mon coté ? Sauf si je fais des VLANs en 10.X.X.X/8 ou 172.31.X.X/16 ?

il n'y aurait pas un autre moyen de communiquer plus facilement au lieu de passer par le TOPIC? Je ne vois pas forcément tes réponses instantanément

[EricPerl]

Je réagissais au block sur le port 8006 de ton post précédent.
Comme la destination n'est pas dans le même subnet (j'assume des /24) que ton PC, j'en conclus qu'il y a au moins 2 réseaux internes.

!private_networks au lieu de * n'inclut pas les réseaux internes, donc pas besoin de bloquer explicitement (ni de mettre les règles dans le bon ordre).

Si tu penses que le contenu est devenu si spécifique qu'il ne peut plus aider d'autres membres, on peut passer en message direct.
De mon côté, ça ne changera pas vraiment la rapidité de mes réponses. Je ne réponds que pendant que je suis devant mon PC.
Si tu veux des alertes par email pour ce topic (en gros équivalent aux alertes pour DM), tu peux changer ça avec le bouton en dessous de la dernière réponse (RECEIVE ALERTS en anglais).

[valentinP]

Au vu du sujet du topic, on a divagué sur la gestion de mon OPNsense. Ce serait peut-être mieux de passer en message privé

[EricPerl]

De ce point de vue, c'est raisonnable.