PfSense NAT -> Problème de forwarding de port

Ce forum est dédié à PF Sense, une distribution open-source, basée sur FreeBSD et destinée à la mise en place d'un routeur firewall

Modérateur: modos Ixus

PfSense NAT -> Problème de forwarding de port

Messagepar Captaine74 » 17 Avr 2009 01:01

Bonjour,

Voici tout d'abord mon architecture :
Internet <----------> Freebox en mode bridge <----->(88.... WAN) PfSense (LAN 192.168.0.1)<--------> (192.168.0.34 HTTP)Serveur Web

Je voudrais rendre mon serveur Web accessible depuis l'extérieur et depuis l'intérieur de mon réseau avec mon nom de domaine qui pointe sur mon adresse IP publique (88.....). Je pars d'une configuration de base de PfSense dernière version, sans modifier les règles NAT et les Rules du firewall, j'ai juste modifié la plage d'adresse IP du DHCP.
Je fais ensuite une redirection NAT qui autorise tout ce qui viens de l'extérieur sur l'interface WAN en TCP sur le port 80 et je le redirige vers le port 80 TCP de l'IP 192.168.0.34. Je coche aussi l'option pour créer la règle firewall associée.

Résultat : mon serveur WEB est accessible depuis l'extérieur (OK), mais pas depuis l'intérieur (en utilisant mon domaine public) (Le serveur est accessible de l'intérieur si j'utilise sont IP privée 192.168.0.34)

J'ai essayé plein de règles, d'autorisations, mais rien n'y fait, impossible d'accéder au serveur depuis l'intérieur avec l'IP publique.

Je connais d'autres personnes qui ont le même problème que moi, mais qui n'ont pas réussi à le résoudre...

Avez-vous des idées ?

Merci d'avance.
Captaine74
Matelot
Matelot
 
Messages: 1
Inscrit le: 16 Avr 2009 23:38
Localisation: France

Messagepar ccnet » 17 Avr 2009 11:37

J'ai essayé plein de règles, d'autorisations, mais rien n'y fait, impossible d'accéder au serveur depuis l'intérieur avec l'IP publique.

En dehors du nat et de la règle associée sur l'interface Wan retirez tout ce que vous avez ajouté.
mon serveur WEB est accessible depuis l'extérieur (OK), mais pas depuis l'intérieur (en utilisant mon domaine public) (Le serveur est accessible de l'intérieur si j'utilise sont IP privée 192.168.0.34)

Il faut commencer par comprendre que ce fonctionnement est parfaitement normal. Il n'y a aucune raison pour que le firewall (que ce soir Pfsense ou un autre) accepte sur le lan des paquets comportant des ip publiques présentes sur l'interface wan. C'est un point qui revient souvent car mal compris.
Le problème à traiter est celui de la résolution dns. Il se traite en utilisant une technique simple : dns split horizon. Vous aller devoir mettre un oeuvre un mécanisme fournissant une résolution dns différente selon que le paquet source est émis depuis le réseau local ou depuis internet.
Avec Pfsense cela se réalise en allant à cette page : Services: DNS forwarder
Cocher Enable DNS forwarder
Mettre à jour la liste sous "You may enter records that override the results from the forwarders below." en y ajoutant une entrée : www.domaine.tld et l'ip privé 192.168.0.34.

Quelques observations encore.
Vous ne devriez pas mettre le serveur web sur dans le réseau Lan mais dans une zone spécifique connectée à OPT1 (une troisième interface). C'est beaucoup trop peu sûr. Sur l'interface Wan vous ne devez autoriser que strictement le trafic à destination du port 80 (443 aussi si vous employez https). Cette configuration est elle même un peu juste. Le trafic destiné à votre serveur web devrait transiter par un reverse proxy analysant les requêtes provenant d'internet avant de les transmettre au serveur Web. Reverse proxy lui même situé dans une zone séparée. Les flux externes et internes ne devrait pas partager une même zone. Il reste manifestement du travail avant de parvenir à un niveau de sécurité correct.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers pfSense

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité