j'ai récemment mis en place une box fpSense avec 3 wan (freebox). J'ai de multiple machines en DMZ avec des routes statiques en sorties. J'aimerai accéder depuis une machine de la DMZ vers une autre machine du LAN ou de la DMZ en passant par internet. Le but est de monitorer un réseau avec Nagios; il serait donc judicieux que les connexions effectuées passent par le réseau internet plutôt que par le réseau local ...
- Code: Tout sélectionner
WAN2 WAN3
\ /
pfSense
/ \
/ \
/ \
/ \
DMZ M1 LAN M2
La Machine M1 passe en sortie par la connexion WAN2, la Machine M2 par le WAN3.
Le port X est NATé sur la machine M2 depuis l'adresse du WAN3.
Le but est de me connecter depuis M1 via l'adresse publique WAN3 et d'arriver sur la machine M2.
En gros :
M1 $> telnet @WAN3 X
doit répondre.
J'ai créé plusieurs règles de firewall afin d'essayer d'y parvenir :
- Autorisation de la DMZ à sortir (avec la gateway du WAN2) - onglet DMZ
- Autorisation en entrée du port X (source : any, destination : M2) - onglet WAN3
- Création d'une règle NAT afin de rediriger le port X de l'interface WAN3 vers la machine M2 (NAT > port forward)
J'ai également activé les logs sur les 2 règles firewall afin de mieux comprendre pourquoi la connexion ne se fait pas.
Résultat d'une tentative :
- Code: Tout sélectionner
> Sep 1 16:07:34 WAN3 @WAN2:57485 M2:22 TCP
> Sep 1 16:07:34 DMZ 192.168.200.2:35105 @WAN3:22 TCP
Les 2 règles laissent bien passer les paquets, pourtant la connexion ne se fait pas (timeout au bout d'un certain temps).
Note : Pour les râleurs, le serveur SSH dans le LAN n'est là que temporairement, il sera déplacé en DMZ très bientôt.
Note2 : L'accès au serveur SSH se fait correctement depuis n'importe quel autre machine externe.
Note3 : Dans la partie NAT > Outbound, j'ai créé les règles AON suivantes (correspondante au WAN2 et WAN3) :
- Code: Tout sélectionner
Iface Source Src_Port Dest Dest_Port NAT_Adr NAT_Port Static_Port Description
WAN2 192.168.10.0/24 * * * * * NO LAN -> WAN2
WAN2 192.168.200.0/24 * * * * * NO DMZ -> WAN2
WAN3 192.168.10.0/24 * * * * * NO LAN -> WAN3
WAN3 192.168.200.0/24 * * * * * NO DMZ -> WAN3
Quelqu'un aurait-il une idée sur la manière de procéder si toutefois c'est possible
Merci