International Forums > French - Français

Interdire la communication entre les interfaces

(1/2) > >>

Baliste:
Bonjour,

Chez un client pour une nouvelle configuration réseau je vais monter un OPNsense avec plusieurs pattes (cartes réseaux) qui géreront différents LANs.
Le but est que ces différentes interfaces accédent au WAN mais ne communiquent pas entre elles.
Par exemple l'une des interfaces gère des bornes Wi-Fi et l'on ne veut pas qu'elles accédent au LAN principal.

La règle de base créée par OPNSense est :
IPv4 *    LAN    *    *    *    *       Default allow LAN to any rule

Les postes sur cette interface communiquent bien avec le WAN. C'est OK.

J'ai voulu restreindre la règle en lui disant que le LAN ne peut communiquer qu'avec le WAN, mais ça ne marche pas ou pas bien, je perds la connection avec le WAN.
IPv4 *    LAN    *    WAN    *    *       Allow LAN to WAN only

Mon OPNsense est également serveur DHCP et passerelle, est-ce que cela joue ?
Qu'ai-je oublié ?

Et sinon, ais-je besoin de vouloir restreindre la communication entre les interfaces ou est-ce là règle de base ?

Merci de votre aide ...

Frédéric

tatave:
segment 1

carte 1
- sources carte 1, > wan
- ! sources carte 2 > carte 1
- ! sources carte 3 > carte 1
- ! sources carte 4 > carte 1
- ! sources carte ... > carte 1...

carte 2
- sources carte 2, > wan
- ! sources carte 1 > carte 2
- ! sources carte 3 > carte 2
- ! sources carte 4 > carte 2
- ! sources carte ... > carte 2...

...
normalement aucune carte autre que le segment que vous avez ne pourra pas aller ailleur que sur le wan

dans les grandes lignes c'est ca.

Baliste:
Bonjour,

Justement cette configuration ne fonctionne pas.

La règle :
IPv4 *    LAN2    *    WAN    *    *       Allow LAN2 to WAN only
bloque la communication avec le WAN. Je ne sais pas pourquoi, un pb de passerelle ? Ce n'est pas un pb de DNS car je fait mes tests avec des IPs (1.1.1.1 ou 8.8.8.8)

La règle :
IPv4 *    LAN2    *    *         *    *       Allow LAN2 to ALL
Permet la communication avec le WAN mais avec les autres interfaces également.

Le truc bizarre est que si je mets la règle
IPv4 *    LAN2    *    *         *    *       Allow LAN2 to ALL
et fait un ping vers 1.1.1.1 la connectivité est OK

Mais si je remets la règle
IPv4 *    LAN2    *    WAN    *    *       Allow LAN2 to WAN only
Le ping déjà en cours continue de fonctionner mais un ping vers une autre adresse lui ne passe pas.
Ensuite, si je stoppe le ping qui est fonctionel que j'attends plus de 10 secondes (environ) et que je le relance, alors là il ne passe plus ...
Un problème de persistance des connexions ?

J'aimerais bien comprendre ...

Merci,

Frédéric

milou:
Il faut avoir une vision inverse

La première règle sur le LAN2 doit etre
Block .....IPv4+6......source *......port *.......destination lan_net1......port *......passerelle *.....
Block .....IPv4+6......source *......port *.......destination lan_net3......port *......passerelle *.....
Block .....IPv4+6......source *......port *.......destination lan_net4......port *......passerelle *.....


La première règle sur le LAN3 doit etre
Block .....IPv4+6......source *......port *.......destination lan_net1......port *......passerelle *.....
Block .....IPv4+6......source *......port *.......destination lan_net2......port *......passerelle *.....
Block .....IPv4+6......source *......port *.......destination lan_net4......port *......passerelle *.....


Et tu fais ca sur chaque port LAN

Baliste:
Donc,

Pour chacune de mes interfaces (sauf le WAN), je met :

1) Les règles d'autorisation spécifiques
2) Les règles d'interdiction aux autres LAN
3) La règle d'accès au WAN

Donc par exemple, si je veux laisser l'accès au "Serveur1" sur le LAN1 depuis les autres LAN :

LAN1
Autoriser : IPv4+6......source *......port *.......destination Serveur1......port *......passerelle *.....
Bloquer   : IPv4+6......source *......port *.......destination lan_net2......port *......passerelle *.....
Bloquer   : IPv4+6......source *......port *.......destination lan_net3......port *......passerelle *.....
Autoriser : IPv4+6......source *......port *.......destination *................port *......passerelle *.....

LAN2
Autoriser : IPv4+6......source *......port *.......destination Serveur1......port *......passerelle *.....
Bloquer   : IPv4+6......source *......port *.......destination lan_net1......port *......passerelle *.....
Bloquer   : IPv4+6......source *......port *.......destination lan_net3......port *......passerelle *.....
Autoriser : IPv4+6......source *......port *.......destination *................port *......passerelle *.....

LAN3
Autoriser : IPv4+6......source *......port *.......destination Serveur1......port *......passerelle *.....
Bloquer   : IPv4+6......source *......port *.......destination lan_net1......port *......passerelle *.....
Bloquer   : IPv4+6......source *......port *.......destination lan_net2......port *......passerelle *.....
Autoriser : IPv4+6......source *......port *.......destination *................port *......passerelle *.....

Ça fait sens ...

Par contre, ce que je ne comprend toujours pas c'est pourquoi ma règle d'accès au WAN doit être (pour LAN1) :
Autoriser : IPv4+6......source *......port *.......destination *................port *......passerelle *.....

Au lieu de :
Autoriser : IPv4+6......source LAN1......port *.......destination WAN ................port *......passerelle *.....

Merci de m'aider à comprendre cette étape !

Frédéric

Navigation

[0] Message Index

[#] Next page

Go to full version