OVH Community, votre nouvel espace communautaire.

pfsense en mode bridge: quelqu'un peut-il me conseiller ?


fritz2cat
29/06/2015, 10h32
Citation Envoyé par Pascal [ZR]
+1 pour un petit retour lorsque tu aura fini de te prendre la tête sur la question! ;o)
Je vais devoir plancher sur autre chose pendant 2 à 3 semaines, et pour l'instant je suis resté bloqué sur "forcer le passage par pfsense" - et je pense que LAN distinct ou VLAN ça ne change rien au problème, mais je me trompe peut-être..

Merci pour le tuyau.

Pascal [ZR]
27/06/2015, 22h00
Salut,
je ne sais pas ce que tu as finalement mis en place, mais les VLANs me paraissent pas mal dans ce cas.
En plus c'est des VM donc tu fais ce que tu veux niveau switch, tu peux tagger direct en entrée des ports et/ou n'accepter que certain tags.

Donc en théorie tu dois pouvoir laisser tes machines avec les mêmes réglages IP mais forcer leur passage par pfsense en les mettant sur des VLAN séparés (ou un commun aux 3 machines).
Tu crées ensuite des cartes virtuelles par VLAN dans pfsense et tu devrais pouvoir filtrer tes machines comme tu veux, avec un contrôle au niveau trame. Je fais ça dans mon labo avec des réseaux privés, ça devrait fonctionner avec du public.

La puissance de pfsense est vraiment dans son firewal, avec ses alias et ses règles très fines (et parfois pas évidentes ).
L'ordre est super important (je pense à ton soucis de départ, pour le faire marcher basiquement en laissant tout passer: une règle en haut et plus de filtrage pour une machine spécifique).

+1 pour un petit retour lorsque tu aura fini de te prendre la tête sur la question! ;o)

fritz2cat
22/06/2015, 23h16
ok je vais m'y mettre je te tiens au jus

redbeard
22/06/2015, 20h14
Je pense qu'il est possible d'éviter le NAT.

Il faut assigner une ip publique du bloc à la vm PfSense, déclarer dans PfSense la gateway du bloc comme gateway par défaut et sur les vm clientes déclarer l'ip publique du Pfsense comme gateway.

Donc sauf besoin spécifique le carte privée du Pfsense (du lan) servira seulement à se connecter à l'admin du firewall.

Merci de faire un retour si c'est ok sans NAT.

Bon courage.

fritz2cat
22/06/2015, 18h06
Citation Envoyé par redbeard
Salut,

ça doit marcher en utilisant la passerelle du bloc RIPE comme passerelle de la carte publique sur PfSense (et pas de passerelle pour la carte privée).

IP privée sur les vm et NAT forward ou NAT 1:1 pour redirection des ip publiques (déclarées comme ip virtuelles dans PfSense).

Si il s'agit d'un dédié sur lequel est installé ESXi cet article peut être intéressant : https://doc.pfsense.org/index.php/Pf...irtual_Machine

Sur le dedicated Cloud il suffit d'utiliser VM Network pour la carte publique et un vLAN pour la carte privée.

Vincent.
Merci, je vais essayer ça... oui c'est ESXi, justement je pensais éviter le NAT, et sur les machines que je veux mettre derrière le firewall il y a une application ancestrale qui doit envoyer et recevoir des fichiers via FTP (en pas en PASV, je le crains...)

Frédéric

redbeard
22/06/2015, 11h15
Salut,

ça doit marcher en utilisant la passerelle du bloc RIPE comme passerelle de la carte publique sur PfSense (et pas de passerelle pour la carte privée).

IP privée sur les vm et NAT forward ou NAT 1:1 pour redirection des ip publiques (déclarées comme ip virtuelles dans PfSense).

Si il s'agit d'un dédié sur lequel est installé ESXi cet article peut être intéressant : https://doc.pfsense.org/index.php/Pf...irtual_Machine

Sur le dedicated Cloud il suffit d'utiliser VM Network pour la carte publique et un vLAN pour la carte privée.

Vincent.

fritz2cat
18/06/2015, 14h09
Citation Envoyé par Freemaster
peut être que ça peut t'aider... ou pas
http://www.osnet.eu/sites/www.osnet....irewall_FR.pdf

sinon un pont linux en mode console, me parait plus simple à mettre en place
Bonjour Freemaster,

J'avais repéré ce tuto, mais il prend un peu la poussière, il est basé sur un build 1.0 de janvier 2006...
on est en 2.2.2 et beaucoup de choses ont changé.

Merci quand même

Freemaster
18/06/2015, 13h03
peut être que ça peut t'aider... ou pas
http://www.osnet.eu/sites/www.osnet....irewall_FR.pdf

sinon un pont linux en mode console, me parait plus simple à mettre en place

fritz2cat
16/06/2015, 08h41
Bonjour à tous,

Je voudrais savoir si quelqu'un parmi vous a suffisamment d'expérience pour me dire si cette configuration est faisable ou non.
En gros, dans un bloc d'IP publiques, j'ai 4 machines que je veux isoler derrière un firewall pfsense, mais sans changer leurs adresses IP.
exemple: dans le réseau 1.2.3.0/24 exposé sur internet, j'ai les machines 1.2.3.44, 1.2.3.55, 1.2.3.77 et 1.2.3.88 que je veux mettre particulièrement à l'abri.

J'ai de la virtualisation à ma disposition ce qui facilite les choses.
Code:
+--------------------+    +---------------+    +-------------+    +---------------+
|                    |    |               |    |             |    |               |
|   Public network   |----| VMware switch |----| pfSense in  |----| VMware switch |--- VM4
|                    |    |       1       |    | bridge mode |    |       2       |
|                    |    |               |    |             |    |               |
+--------------------+    +---------------+    +-------------+    +---------------+
                                                                    |      |     |
                                                                   VM1    VM2   VM3
Je ne suis pas arrivé à faire fonctionner pfsense de la manière la plus simple, c'est-à-dire tout laisser passer (comme un bête switch 8-port du magasin). C'est déjà un mauvais début... quelqu'un a-t-il une référence vers un tuto qui fonctionne avec les versions actuelles de pfsense ?

Merci !!