Règles Firewall pfSense (Multi LAN)

2

Dans cet article nous allons mettre en place des règles Firewall sous pfSense pour que les différents LAN (sous-réseaux) communiquent ensemble. Le firewall pfSense est déjà installé et configuré avec 3 interfaces LAN (4 NICS avec le WAN).

Machine virtuelle nécessaire :

Schéma réseau

Je passe donc à la mise en place des règles Firewall pour chaque réseau. Je reprends le schéma des cartes réseau de mon environnement pfSense :

em0    = WAN                = 192.168.1.0/24     = Le réseau de ma machine hôte
em1    = LAN-Serveurs       = 172.16.1.1/18      = Le réseau LAN pour les serveurs
em2    = LAN-Users          = 172.16.64.1/18     = Le réseau LAN pour les Utilisateurs
em3    = LAN-DMZ            = 172.16.128.1/18    = Le réseau pour la DMZ

J’ai donc 3 sous-réseaux LAN isolés. Le but est donc de faire en sorte que les 3 LAN puissent communiquer ensemble. Depuis le réseau LAN (LAN-Serveurs), vous pouvez normalement joindre les autres LAN sans problème, pfSense a déjà créé les règles pour cette interface sinon, on n’aurait pas accès à l’interface Web de pfSense.

Il suffit donc de créer les mêmes règles sur les autres LAN. Attention, ici on ouvre la porte entièrement, pour plus de sécurité, il faut bien sûr cibler par port/protocole… Je suis dans un environnement de test.

Sans rien configurer, voilà ce que ça donne :

LAN-Serveurs  ➡   LAN-Users     : ping ✅
LAN-Serveurs  ➡   LAN-DMZ       : ping ✅
LAN-Users     ➡   LAN-Serveurs  : ping ⛔
LAN-Users     ➡   LAN-DMZ       : ping ⛔
LAN-DMZ       ➡   LAN-Users     : ping ⛔
LAN-DMZ       ➡   LAN-Serveurs  : ping ⛔

Test Echo Request (Avant)

LAN-Serveurs  –>  LAN-Usersping 172.16.64.1

Envoi d’une requête ‘Ping’ 172.16.64.1 avec 32 octets de données :
Réponse de 172.16.64.1 : octets=32 temps<1ms TTL=64
Réponse de 172.16.64.1 : octets=32 temps<1ms TTL=64
Réponse de 172.16.64.1 : octets=32 temps<1ms TTL=64
Réponse de 172.16.64.1 : octets=32 temps<1ms TTL=64

LAN-Serveurs  –>  LAN-DMZ : ping 172.16.128.1

Envoi d’une requête ‘Ping’ 172.16.128.1 avec 32 octets de données :
Réponse de 172.16.128.1 : octets=32 temps<1ms TTL=64
Réponse de 172.16.128.1 : octets=32 temps<1ms TTL=64
Réponse de 172.16.128.1 : octets=32 temps<1ms TTL=64
Réponse de 172.16.128.1 : octets=32 temps<1ms TTL=64

LAN-Users  –>  LAN-Serveursping 172.16.1.1

Envoi d’une requête ‘Ping’ 172.16.1.1 avec 32 octets de données :
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

LAN-Users  –>  LAN-DMZ : ping 172.16.128.1

Envoi d’une requête ‘Ping’ 172.16.128.1 avec 32 octets de données :
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

LAN-DMZ  –>  LAN-Serveurs : ping 172.16.1.1

Envoi d’une requête ‘Ping’ 172.16.1.1 avec 32 octets de données :
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

LAN-DMZ  –>  LAN-Users : ping 172.16.64.1

Envoi d’une requête ‘Ping’ 172.16.64.1 avec 32 octets de données :
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

Ajout de règles

Connectez-vous à l’interface pfSense. l’utilisateur et le mot de passe par défaut : admin – pfsense.

  • Cliquez sur le menu Pare-feu puis Règles.
  • Sélectionnez l’inteface LAN.
  • On peut voir les règles déjà en place, il faut créer ces mêmes règles pour l’interface USERS et DMZ :

Cliquez sur USERS et cliquez sur le premier bouton Ajouter : 

  • Règle
    • Action : Autoriser (Pass)
    • Interface : USERS
    • Famille d’adresse : IPv4
    • Protocole : TCP
    • Sous-types ICMP : Tout (any)
  • Source
    • Source : USERS net 
    • Plage de port source : Tout / Tout
  • Destination
    • Destination : Tout
    • Plage de port source : Tout / Tout
  • Options additionnelles
    • Description : Allow LAN-Users to any
  • Enregistrer

Cliquez sur le deuxième bouton Ajouter :

  • Règle
    • Action : Autoriser (Pass)
    • Interface : USERS
    • Famille d’adresse : IPv6
    • Protocole : TCP
    • Sous-types ICMP : Tout (any)
  • Source
    • Source : USERS net 
    • Plage de port source : Tout / Tout
  • Destination
    • Destination : Tout
    • Plage de port source : Tout / Tout
  • Options additionnelles
    • Description : Allow LAN-Users to any
  • Enregistrer

Cliquez sur le bouton : Appliquer les modifications


Cliquez sur DMZ, cliquez sur le premier bouton Ajouter :

  • Règle
    • Action : Autoriser (Pass)
    • Interface : DMZ
    • Famille d’adresse : IPv4
    • Protocole : TCP
    • Sous-types ICMP : Tout (any)
  • Source
    • Source : DMZ net
    • Plage de port source : Tout / Tout
  • Destination
    • Destination : Tout
    • Plage de port source : Tout / Tout
  • Options additionnelles
    • Description : Allow LAN-DMZ to any
  • Enregistrer

Cliquez sur le deuxième bouton Ajouter :

  • Règle
    • Action : Autoriser (Pass)
    • Interface : DMZ
    • Famille d’adresse : IPv6
    • Protocole : TCP
    • Sous-types ICMP : Tout (any)
  • Source
    • Source : DMZ net
    • Plage de port source : Tout / Tout
  • Destination
    • Destination : Tout
    • Plage de port source : Tout / Tout
  • Options additionnelles
    • Description : Allow LAN-DMZ to any
  • Enregistrer

Cliquez sur le bouton : Appliquer les modifications

Test Echo Request (Après)

Mes sous-réseaux LAN communiquent ensemble. Pensez à désactiver le pare-feu Windows ou rajouter des règles pour autoriser la communication, dans mon cas, il est désactivé.

LAN-Users  –>  LAN-DMZ : ping 172.16.128.1

Vous pouvez également faire la même chose pour le réseau WAN afin d’autoriser votre machine hôte si nécessaire. Les postes utilisateurs peuvent désormais contacter le réseau LAN-Serveurs et la DMZ.

Bonne journée et à bientôt.

La rédaction de cette documentation demande beaucoup de temps, de motivation, mais surtout beaucoup de café 🙂
Vous aimez pixelabs ?
Offrez moi un petit café en cliquant sur la tasse ci-dessous.
pixelans_donation
Merci !

2 réponses

  1. Oui Barthélémy dit :

    Bonjours, moi j’ai créé mon server Radius et j’ai suivis le même processus. J’arrive à me connecter avec ma machine, mais lorsque je veux m’authentifier sur le portail captif, un message d’erreur : coule not connecte to authentification server. J’ai besoin d’aide parce que j’ai tout essayé à mon niveau.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *