Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
pfsense [2015/10/05 18:37] carbodebit [interfaces] |
pfsense [2016/10/20 18:12] carbodebit |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== Pfsense ====== | ====== Pfsense ====== | ||
Le serveur Pfsense de Carbodébit (//modèle firewall FWA-3025 de chez Osnet//) n'est pas accéssible depuis l' | Le serveur Pfsense de Carbodébit (//modèle firewall FWA-3025 de chez Osnet//) n'est pas accéssible depuis l' | ||
- | ===== principe général ===== | + | ===== principe général ===== \\ |
- | Un wan (l' | + | Un wan (l' |
Pfsense fournit les adresses par dhcp sur opt1.\\ | Pfsense fournit les adresses par dhcp sur opt1.\\ | ||
Pfsense nate en nat 1:1 de la façon suivante: | Pfsense nate en nat 1:1 de la façon suivante: | ||
- | une ip privée de type 10.81.100.x = une ip publique de type 213.190.92.x | + | Une ip privée de type 10.81.100.x = une ip publique de type 213.190.92.x |
- | + | Une sauvegarde de la configuration de Pfsense est stockée sur l' | |
- | ===== interfaces ===== | + | \\ ===== interfaces ===== \\ |
**wan**: interface vers le web.\\ | **wan**: interface vers le web.\\ | ||
**opt1**: interface privée vers le 5 ghz 10.81.100.x.\\ | **opt1**: interface privée vers le 5 ghz 10.81.100.x.\\ | ||
**dmz**: interface vers Eon (serveur de supervision) 10.71.1.x.\\ | **dmz**: interface vers Eon (serveur de supervision) 10.71.1.x.\\ | ||
- | ===== règles pare feu ===== | + | \\ ===== règles pare feu =====// |
Se référer aux documentations de Pfsense.\\ | Se référer aux documentations de Pfsense.\\ | ||
Le raisonnement est le suivant:\\ | Le raisonnement est le suivant:\\ | ||
- | - pour chaque interface: laisser sortir tous les paquets | + | - pour chaque interface: laisser sortir tous les paquets\\ |
- | - ne laisser entrer sur un port xx (exemple le port 80) que vers les adresses qui doivent rester joignables depuis l' | + | - ne laisser entrer sur un port xx (exemple le port 80) que vers les adresses qui doivent rester joignables depuis l' |
- | - laisser passer la DMZ dans le LAN et OPT1 pour permettre la supervision. | + | - laisser passer la DMZ dans le LAN et OPT1 pour permettre la supervision.\\ |
- | - tout le reste est interdit (pour faire vite) | + | - tout le reste est interdit (pour faire vite) \\ |
- | + | \\ | |
- | {{: | + | \\ |
- | {{: | + | {{: |
- | {{: | + | {{: |
- | {{: | + | {{: |
- | ===== ip virtuelles ===== | + | {{: |
+ | \\ | ||
+ | \\ | ||
+ | \\ | ||
+ | \\ ===== ip virtuelles =====\\ | ||
Une seule Ip virtuelle nécessaire sur le réseau Carbodébit: | Une seule Ip virtuelle nécessaire sur le réseau Carbodébit: | ||
- | 10.70.3.1: ip nécessaire pour joindre les antennes carbes/ | + | 10.70.3.3: ip nécessaire pour joindre les antennes carbes/ |
===== dhcp ===== | ===== dhcp ===== | ||
Sur opt1.\\ | Sur opt1.\\ | ||
Ligne 35: | Ligne 39: | ||
- le client aura donc toujours la même ip privée en fonction de son adresse MAC | - le client aura donc toujours la même ip privée en fonction de son adresse MAC | ||
- cette ip (indiquée dans le [[fichier-essentiels|fichier scan-v4.xls]]) est ensuite natée vers une ip publique. | - cette ip (indiquée dans le [[fichier-essentiels|fichier scan-v4.xls]]) est ensuite natée vers une ip publique. | ||
- | ===== nat 1:1 ===== | + | \\ ===== nat 1:1 ===== \\ |
Suivre la doc de Pfsense. C'est tout bête.\\ | Suivre la doc de Pfsense. C'est tout bête.\\ | ||
+ | Une ip privée de type 10.81.100.x est natée (transformée) en une ip publique 213.190.92.x \\ | ||
{{ : | {{ : | ||
- | + | \\ | |
- | ===== nat automatic ===== | + | \\ ===== nat automatic ===== \\ |
- | Sont natés en Outbound classique et automatique: | + | Sont natés en Outbound classique et automatique: |
- | * la plage " | + | * la plage " |
- | * à compléter | + | * tout le reste passe donc vers |
- | ===== traffic shapping ===== | + | \\ ===== traffic shapping ===== \\ |
Un filtre "de base" est activé mais ne hiérarchise pas les classes.\\ | Un filtre "de base" est activé mais ne hiérarchise pas les classes.\\ | ||
Il permet d' | Il permet d' | ||
Pas de Qos donc. (pour l' | Pas de Qos donc. (pour l' | ||
- | ===== pour mémoire système 2.4 ghz ===== | + | \\ ===== pour mémoire système 2.4 ghz =====\\ |
- | Le système antérieur en 2.4 Ghz était routé de façon plus complexe. Restent 3 secteurs à ce jour (5/04/2015) qui doivent être basculés en 5 Ghz d'ici l' | + | Le système antérieur en 2.4 Ghz était routé de façon plus complexe.\\ |
- | * une passerelle par secteur (8 secteurs à l' | + | * une passerelle par secteur (8 secteurs à l' |
- | * un sous-réseau pour chaque secteur (ex: 10.81.7.x et 10.81.8.x | + | * un sous-réseau pour chaque secteur (ex: 10.81.7.x et 10.81.8.x) |
- | * pas de Dhcp; tous les clients configurés en dur. | + | * pas de Dhcp; tous les clients configurés en dur.\\ |
- | * utilisation de la techno olsr, firmware Freifunk. | + | * utilisation de la techno olsr, firmware Freifunk. |
- | * beaucoup de contraintes techniques, configuration en amont. | + | * beaucoup de contraintes techniques, configuration en amont. |
{{: | {{: |