Page 1 sur 1
pfSense: traffic http bloqué entre 2 interface
Publié :
21 Août 2017 17:17par cdl
Bonjour à tous,
Je chipote un peu avec pfSense. Le titre n'est peut-être pas vraiment le bon mais je fais face un problème et je ne vois pas trop comment le résoudre...
La machine à donc une carte avec 4 ports.
Port1 = WAN, 2=OPT1, 3=OPT2, 4 non assigné.
J'ai le LAN qui est sur BRIDGE0.
Le bridge contient les interfaces OPT1 et OPT2. Donc cette machine agit comme un routeur ayant un port WAN et 2 LAN.
Une configuration classique.
J'ai un switch connecté sur OPT1 et un serveur sur OPT2.
Quand je souhaite accéder au serveur web sur OPT2 sur le port 80 depuis OPT1, la connexion n'est pas établie.
En revanche, si j'accède à un service écoutant sur un autre port ça passe sans problème.
ssh sans problème, partage de fichier sans problème, un wget depuis le serveur sans problème
Avez-vous une piste qui pourrait m'aider?
Merci.
J'ai déjà essayé de tritouiller dans le pare-feu mais normalement quand les interfaces sont sur le bridge, les règles sont automatiques.
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
23 Août 2017 16:08par m3xiz
Je viens de simuler ta config dans mon lab. Je n'ai aucun soucis. Ma déduction est donc que ton pfsense doit bloquer quelque chose quelque part.
La premiere chose a faire est de logger les packet qui passent avec une regle permit ssh et une autre http. Ne pas oublier le logging!!!
Normalement dans un pfsense cela doit se faire sur les interfaces faisant partie du bridge et non sur le bridge en lui-meme.
Refaire le test et verifier les log. Attention pfsense a la mauvaise habitude de trier les logs avec les nouveaux log en bas (cela peut être changé). Regarde si tu vois tes tests dans les logs...
Autre question? Aurais tu installer qqch qui pourrait faire conflit avec le port 80: squid?
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
23 Août 2017 17:29par mackguil
cdl a écrit :Quand je souhaite accéder au serveur web sur OPT2 sur le port 80 depuis OPT1, la connexion n'est pas établie.
En revanche, si j'accède à un service écoutant sur un autre port ça passe sans problème.
Plus simple un problème d'accès via une config du serveur web ?
Qui n'aurait rien à voir avec pfsense ...
Est il possible d’accéder au serveur web depuis un environnement lan classic dans le même range ?
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
24 Août 2017 08:16par cdl
Ok, merci pour les infos. Je vais essayer ça.
J'ai effectivement installé squid.
Mais, chose que j'ai oublié de préciser, sur OPT1 j'ai également un périphérique (caméra) connecté avec une interface web sur le 80 qui elle est accessible (depuis OPT1 du moins, je n'ai pas encore l'occasion de tester depuis OPT2).
Oui mackguil, si je n'utilise pas ce routeur pfsense, le service est accessible.
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
24 Août 2017 08:58par mackguil
cdl a écrit :Ok, merci pour les infos. Je vais essayer ça.
J'ai effectivement installé squid.
Mais, chose que j'ai oublié de préciser, sur OPT1 j'ai également un périphérique (caméra) connecté avec une interface web sur le 80 qui elle est accessible (depuis OPT1 du moins, je n'ai pas encore l'occasion de tester depuis OPT2).
Oui mackguil, si je n'utilise pas ce routeur pfsense, le service est accessible.
Protocole http ou https, la caméra ?
Le serveur http ou https ?
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
24 Août 2017 10:59par cdl
Les deux en http
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
24 Août 2017 12:14par mackguil
cdl a écrit :Les deux en http
Regarde peut être du coté de la déclaration des ranges ip dans les autorisations du serveur web.
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
25 Août 2017 07:39par m3xiz
Et pourquoi un bridge plutot que 2 subnets?
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
25 Août 2017 10:10par NuxPowa
Déjà: quelles sont les allow rules ainsi que les deny rules sur chaque interface à propos du port 80, 443 et 53 ?
Example basic configuration
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
25 Août 2017 15:25par cdl
m3xiz a écrit :Et pourquoi un bridge plutot que 2 subnets?
Bah, je pensais que le bridge allait se comporter de façon transparente entre les deux interfaces. Je ne vois pas pourquoi cela bloque...
Et puis, il n'y a pas de nécessité d'avoir deux subnets.
Sur LAN j'ai un allow any rule pour la source LAN net.
OPT1 et 2, je n'ai pas mis de règle car étant donné qu'elles font partie du bridge, elle doivent se comporter de la même façon. (Du moins, il me semble...)
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
25 Août 2017 16:56par m3xiz
Sur pfsense, les rules se mettent sur les intefaces pas sur le bridge...voir manuel pour connaitre la ligne de commande pour changer ce comportement.
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
27 Août 2017 10:36par cdl
Bon, j'ai réinstallé pfSense et reconfiguré le tout.
Cette fois ça fonctionne. Je dois avoir fait une erreur lors de la première tentative.
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
27 Août 2017 20:24par NuxPowa
Parfois, c'est le plus simple à effectuer
Quelque peu H.S (quoique): tu disais au début une carte avec quatre ports? j'ignorais que ça existait. Je connaissais à deux ports (et déjà ça coûte un pont, une Intel pro 1000 PT dual port)), mais quatre ports? quelle marque? en pci(-e)?
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
27 Août 2017 20:53par mackguil
NuxPowa a écrit :Quelque peu H.S (quoique): tu disais au début une carte avec quatre ports? j'ignorais que ça existait. Je connaissais à deux ports (et déjà ça coûte un pont, une Intel pro 1000 PT dual port)), mais quatre ports? quelle marque? en pci(-e)?
https://www.amazon.fr/gp/offer-listing/ ... dition=new
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
27 Août 2017 21:15par NuxPowa
mackguil a écrit :NuxPowa a écrit :Quelque peu H.S (quoique): tu disais au début une carte avec quatre ports? j'ignorais que ça existait. Je connaissais à deux ports (et déjà ça coûte un pont, une Intel pro 1000 PT dual port)), mais quatre ports? quelle marque? en pci(-e)?
https://www.amazon.fr/gp/offer-listing/ ... dition=new
Merci pour ce lien mackguil
Dommage que le chipset RealTeck RTL 8111/8168 ne soit pas reconnu, car driver non libre/propriétaire.
H.S: sous linux:
Re: pfSense: traffic http bloqué entre 2 interface
Publié :
27 Août 2017 22:12par cdl
Salut,
C'est une carte Intel Pro 1000 PT Quad.
Elle est plus toute jeune mais elle fait le job. Achetée environ 30€ il y a deux ans sur eBay.