Newbie Kit Monowall & dérivés

Ce forum traite des autres distributions spécialisées, notamment les distributions sécurisées comme ASTARO ou COYOTE LINUX.

Modérateur: modos Ixus

Publier une réponse

Newbie Kit Monowall & dérivés

Messagepar Muzo » 11 Juil 2006 19:18

Bonjour,

Voici le Newbie Kit dédié à Monowall et ses dérivés (pfSense).

Ce post ne devra recenser que des réponses à des questions, une sorte de FAQ, tout autre type de message se verra systématiquement supprimé.

Voici le gabarit type à utiliser (faites un bête copier/coller pour votre nouvelle question/réponse):

Code: Tout sélectionner
[b]Question :[/b]
[b]Mots Clefs :[/b]
[b]Réponse :[/b]


Exemple :

Question : Comment utiliser le Newbie Kit Monowall & dérivés
Mots Clefs :débutants, noob, newbie
Réponse :
Vous avez copier le gabarit précédent, maintenant il faut remplir les informations suivantes:
Dans la partie Question, mettez la question la plus souvent posée.
Dans la partie Mots Clefs, les mots qui permettront de retrouver cette réponse dans le moteur de recherche Ixus
Dans la partie Réponse la, mettez réponse à la question, avec les liens vers les sites, les codes utilisés (les balises bbcodes sont là pour ca)

Ne mettez une Question/Réponse QUE si vous en avez la réponse. Si vous ne l'avez pas, posez avant votre question dans le forum, puis si cela fonctionne, mettez la démarche utilisée, les trucs et astuces que vous avez du utilisé pour arriver à la réponse.

Pour ceux qui se veulent un exemple, il existe d'autres Newbie Kit :
- Newbie Kit SME (RPM, HowTo, ... )
- Newbie Kit IpCop
- [TUTORIAL] Guide du newbie sous Debian
- [TUTORIAL] Guide de Survie Iptable/Netfilter <-- Bon exemple à suivre
- Newbie Kit Ixus: le guide du débutant sur Ixus :wink:
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.
Haut

Messagepar Pabze » 13 Juil 2006 15:06

Merci Muzo pour ce post-it !

Premier lien à lire avant de poster tout et n'importe quoi sur MonoWall et PFsense :

Installation et paramétrage :

http://doc.m0n0.ch/handbook/ --> Pour tout paramétrer
http://www.m0n0.ch/wall/quickstart.php --> Pour l'installation

Mailing List - Archive :

http://m0n0.ch/wall/list/

La doc est super bien faite, clair, simple, elle permet de configurer MonoWall sans auncun soucis !
Je rappel également que PFSense est un clone de MonoWall, donc la doc est valable pour les deux !
Que l'on vienne pas nous dire, "Bah, euh, non moi l'interface est rouge, pas bleu ..."

Pabze [MODE MUZO POWER] :wink:
L'or c'est bien, les platines c'est mieux.
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille
Haut

Messagepar ccnet » 11 Mars 2008 13:17

Question : Comment créer une dmz en bridge.
Mots Clefs : Filtrage, Pont filtrant, Filtering bridge, dmz
Réponse:
Remarque liminaire :
Lors d'évolutions de l'architecture il est parfois fort pénible de devoir modifier le plan d'adressage, la création d'une dmz sur un réseau existant est un cas parmi d'autres. L'héritage ou l'existant nous empêche parfois de modifier tout ou partie d'un plan d'adressage, ou encore ces modifications sont longues donc couteuses. L'utilisation des capacités de filtrage en bridge de Pfsense peut être une solution à ces problèmes.
Prérequis :
On suppose une configuration Pfsense de base avec trois interfaces physiques opérationnelles. Dans l'exemple le LAN est le réseau 192.168.1.0/24. L'interface Wan est une ip publique au moins ou une ip privée (cas des box routeur impossible à mettre en bridge) dans un réseau différent du LAN, par exemple 192.168.2.0/24. L'ensemble est opérationnel, une machine du lan accède à internet et l'on peut se connecter depuis le LAN à l'interface d'administration de Pfsense.
On suppose par ailleurs que l'utilisateur à une connaissance minimale du fonctionnement de Pfsense en ce qui concerne son interface et plus spécifiquement l'organisation des règles dans Pfsense.
Enfin vous devez vous assurez que la carte réseau sur OPT1 supporte le mode promiscuité.

La solution va nous permettre de constituer une dmz avec des machines comportant une ip dans le même sous réseau que notre LAN. Il n'y aura pas de NAT entre le LAN et la DMZ, mais nous pourrons appliquer des règles de filtrage du LAN vers la DMZ et de la DMZ vers le LAN.
Par ailleurs des règles de NAT et d'accès pourront être créées de WAN vers la DMZ pour rendre accessibles certaines machines de la DMZ depuis l'extérieur (Internet).

Connectivité:
Chaque interface de Pfsense est connectée à un hub ou un switch. En particulier le switch (ou hub) de la dmz est physiquement isolé du lan.

Configuration Pfense:
Opérations à réaliser sur l'interface d'administration de Pfsense.

1.Interfaces -> Opt1 :
Cocher Enable Optional 1 interface
Dans General configuration Type reste sur Static
Dans IP Configuration mettre Brige with sur LAN
Cliquer Save

2.System -> Advanced
Dans la zone Filtering Bridge : cocher Enable filtering bridge.
Cliquer sur Save

3.Firewall -> Aliases
Dans Pfsense un alias est utilisé pour grouper des éléments sous un nom commun. Ce nom est utilisable dans certaines zones, lors de la création de règles par exemple. Un alias (ou “groupe”) peut être constitués de ports, d'adresses ip, ou de réseaux. Ces éléments, de différentes natures, ne peuvent pas être mélangés au sein d'un même alias.
Créer un nouvel alias pour les machines se trouvant dans la Dmz connectée à OPT 1. Cette opération n'est pas indispensable mais elle est nettement préférable pour faciliter l'administration et éviter de revoir toutes les règles en cas d'ajout ou de modification d'une machine en Dmz. Le nombre de règles à créer sera plus faible. La lisibilité des règles est grandement améliorée.
Nommer l'alias, par exemple, DmzServers. Y ajouter toutes las machines de la Dmz.
Cliquer Save
Ne pas oublier ensuire de cliquer le bouton “Apply changes” en haut de la page si vous voulez que vos modifications soient effectives.

4.Firewall -> Rules
Pour tester le bon fonctionnement de la dmz en bridge nous allons créer deux règles sur l'interface LAN.

Règle 1 (la première dans la liste lue de haut en bas)
Action : Block
Interface LAN
Protocol : Any
Source -> Type : LAN Subnet
Destination -> Type Single host or alias
Destination -> Address : DmzServers (le nom ed l'alias créé précédement)
Cocher “Log packets that are handled by this rule” pour pouvoir visualiser le résultat dans les logs.
Cliquer Save et ne pas Oublier de cliquer “Apply changes” ensuite.

Régle 2
Action : Pass
Interface LAN
Protocol : Any
Source -> Type : LAN Subnet
Destination -> Any

Cliquer Save et ne pas Oublier de cliquer “Apply changes” ensuite.

Important :
Le règle 1 doit être en haut, la règle 2 en dessous.

Ne jamais oublier de cliquer l'option "Apply chnages” sinon vos modifications sont inopérantes.

Test :
Modifier la règle 1 de Pass à Block (Action) doit vous permettre (Pass) – empêcher (Block) de pinguer depuis le lan une machine de la dmz. Dans le journal du firewall vous devriez voir les paquest icmp acceptés, refusés suivant le réglage de la première règle.

Ces informations ne constituent pas une recommandation de règles à appliquer, elles ont simplement pour but de montrer le principe de mise en oeuvre d'une dmz en avec un pont filtrant dans Pfsense. Il est bien évident que vous devez avoir défini les règles propres au réseau que vous administrez.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris
Haut
Publier une réponse

Retour vers Autres distributions

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron