Discussion :

[Invité(e)]

Bonjour,
Actuellement en stage, je dois implémenter un NAC pour le réseau (filaire et sans fil). Pour le NAC, je dois utiliser le LDAP de la société. Pour répondre à ce besoin, j'ai trouvé PFsense. Par contre, peut-on faire un NAC avec pfsense ?
Merci
Cordialement,
RoRo

[geegee13]

Bonjour,


l faut commencer par comprendre que ce fonctionnement est parfaitement normal. Il n'y a aucune raison pour que le firewall (que ce soir Pfsense ou un autre) accepte sur le lan des paquets comportant des ip publiques présentes sur l'interface wan. C'est un point qui revient souvent car mal compris.
Le problème à traiter est celui de la résolution dns. Il se traite en utilisant une technique simple : dns split horizon. Vous aller devoir mettre un oeuvre un mécanisme fournissant une résolution dns différente selon que le paquet source est émis depuis le réseau local ou depuis internet.
Avec Pfsense cela se réalise en allant à cette page : Services: DNS forwarder
Cocher Enable DNS forwarder
Mettre à jour la liste sous "You may enter records that override the results from the forwarders below." en y ajoutant une entrée : www.domaine.tld et l'ip privé 192.168.0.34.

Quelques observations encore.
Vous ne devriez pas mettre le serveur web sur dans le réseau Lan mais dans une zone spécifique connectée à OPT1 (une troisième interface). C'est beaucoup trop peu sûr. Sur l'interface Wan vous ne devez autoriser que strictement le trafic à destination du port 80 (443 aussi si vous employez https). Cette configuration est elle même un peu juste. Le trafic destiné à votre serveur web devrait transiter par un reverse proxy analysant les requêtes provenant d'internet avant de les transmettre au serveur Web. Reverse proxy lui même situé dans une zone séparée. Les flux externes et internes ne devrait pas partager une même zone. Il reste manifestement du travail avant de parvenir à un niveau de sécurité correct.