Bon je vous dois une explication, il y a des fois où on cherche loin alors que la solution est sur la première règle enfin je suppose.
Bref je suis reparti d'une configuration de base qui fonctionnait avant que j'adopte la configuration par zone.
Puis au fur et à mesure j'ai ajouté des parties de ma configuration de base qui posait problème tout en faisant régulièrement des test de débit.
Et ça fonctionne :
Jusqu'à ce que j'ajoute le filtrage lan-wan (set firewall name lan-to-wan) final :
Avec filtrage et qui me redonne les résultats de départ
firewall {
all-ping enable
broadcast-ping disable
group {
port-group Port_internet {
description "Port internet de base"
port 80
port 53
port 443
port 587
port 20-21
}
port-group Port_iperf {
description "test debit"
port 5200-5209
}
port-group Port_messagerie {
description "port messagerie"
port 25
port 465
port 993
}
name lan-to-wan {
default-action drop
description ""
rule 1 {
action accept
description "Accept established"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 100 {
action accept
description "allow iperf"
destination {
group {
port-group Port_iperf
}
}
log disable
protocol tcp
}
rule 200 {
action accept
description "Port internet de base"
destination {
group {
port-group Port_internet
}
}
log disable
protocol tcp
}
rule 300 {
action accept
description "allow icmp"
destination {
group {
}
}
log disable
protocol icmp
}
rule 400 {
action accept
description Ntp
destination {
port 123
}
log enable
protocol udp
}
rule 500 {
action accept
description "port messagerie"
destination {
group {
port-group Port_messagerie
}
}
log disable
protocol tcp
}
rule 600 {
action accept
description Dns
destination {
port 53
}
log disable
protocol udp
}
rule 800 {
action accept
description Ssh
destination {
port 22
}
log enable
protocol tcp
}
Et sans filtrage qui fonctionne:
name lan-to-wan {
default-action drop
description ""
rule 1 {
action accept
description "Accept established"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 3 {
action accept
description "Accept all"
log disable
protocol all
}
}
A priori encore un problème de filtrage avec iperf, les ports utilisés sont peut-être en udp, mais je vais m'arrêter là pour aujourd'hui, ravi que vous m'ayez guidé dans la bonne direction, mais je n'en doutait pas.
Merci encore.