{"id":1303,"date":"2025-09-28T01:02:08","date_gmt":"2025-09-27T23:02:08","guid":{"rendered":"https:\/\/dyb.fr\/?p=1303"},"modified":"2025-09-28T01:02:08","modified_gmt":"2025-09-27T23:02:08","slug":"attention-aux-regles-planifiees-dans-pfsense-elles-peuvent-couper-vos-sauvegardes-en-plein-transfert","status":"publish","type":"post","link":"https:\/\/dyb.eu\/blog\/attention-aux-regles-planifiees-dans-pfsense-elles-peuvent-couper-vos-sauvegardes-en-plein-transfert\/","title":{"rendered":"Attention aux r\u00e8gles planifi\u00e9es dans pfSense : elles peuvent couper vos sauvegardes en plein transfert"},"content":{"rendered":"\n

Chez DYB, nous voyons souvent des administrateurs utiliser des plages horaires<\/strong> (schedules<\/em>) dans pfSense. C\u2019est pratique pour restreindre certains usages (RDP, SMB, etc.), mais il existe un pi\u00e8ge m\u00e9connu<\/strong> : vos flux peuvent \u00eatre coup\u00e9s en plein milieu d\u2019une sauvegarde<\/strong>.<\/p>\n\n\n\n

Le fonctionnement du moteur pf (stateful firewall)<\/h2>\n\n\n\n

pfSense repose sur le moteur pf<\/strong> de FreeBSD, qui est stateful<\/em> :<\/p>\n\n\n\n

    \n
  • Lorsqu\u2019un flux d\u00e9marre, il est attach\u00e9 \u00e0 la r\u00e8gle qui l\u2019a autoris\u00e9<\/strong>.<\/li>\n\n\n\n
  • Une entr\u00e9e de state<\/strong> est cr\u00e9\u00e9e ; tant qu\u2019elle existe, les paquets passent sans repasser par l\u2019\u00e9valuation des r\u00e8gles.<\/li>\n\n\n\n
  • Quand la r\u00e8gle expire ou est d\u00e9sactiv\u00e9e (fin d\u2019un horaire, suppression\u2026), pf supprime imm\u00e9diatement tous les \u00e9tats cr\u00e9\u00e9s par cette r\u00e8gle<\/strong>.<\/li>\n<\/ul>\n\n\n\n

    R\u00e9sultat :<\/p>\n\n\n\n

      \n
    • La session en cours est coup\u00e9e net<\/strong>, m\u00eame si une autre r\u00e8gle plus permissive existe dans le firewall.<\/li>\n\n\n\n
    • Si cette r\u00e8gle plus permissive a \u00e9t\u00e9 ajout\u00e9e apr\u00e8s le d\u00e9but du flux, elle ne sera pas prise en compte tant que le logiciel ne relance pas la connexion<\/strong>.<\/li>\n<\/ul>\n\n\n\n

      \u26a0\ufe0f Concr\u00e8tement : une copie de fichiers Windows classique sera interrompue sans reprise, tandis qu\u2019un logiciel de sauvegarde comme SyncBack<\/strong> ou Veeam<\/strong> saura g\u00e9n\u00e9ralement relancer la connexion et continuer.<\/p>\n\n\n\n

      Exemple concret : la sauvegarde SMB<\/h2>\n\n\n\n
        \n
      1. Vous avez une r\u00e8gle qui autorise SMB uniquement en journ\u00e9e (8h\u201323h).<\/li>\n\n\n\n
      2. \u00c0 22h50, une sauvegarde d\u00e9marre.<\/li>\n\n\n\n
      3. \u00c0 23h01, la r\u00e8gle horaire s\u2019\u00e9teint \u2192 pf supprime l\u2019\u00e9tat associ\u00e9.<\/li>\n\n\n\n
      4. Le job est interrompu :\n
          \n
        • Avec une simple copie Windows \u2192 l\u2019op\u00e9ration est annul\u00e9e.<\/li>\n\n\n\n
        • Avec Veeam \u2192 la t\u00e2che repart, mais avec perte de temps et parfois fragmentation du job.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
        • Dans les logs, vous verrez un block<\/em> li\u00e9 au \u201cdefault deny rule IPv4\u201d<\/strong>.<\/li>\n<\/ol>\n\n\n\n

          Bonnes pratiques pour vos sauvegardes et flux critiques<\/h2>\n\n\n\n
            \n
          1. Anticipez l\u2019impact des schedules<\/strong>\n
              \n
            • Toute r\u00e8gle planifi\u00e9e qui expire supprime les \u00e9tats associ\u00e9s<\/strong>.<\/li>\n\n\n\n
            • V\u00e9rifiez quels flux (SMB, RDP, r\u00e9plication) risquent d\u2019\u00eatre affect\u00e9s.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
            • Cr\u00e9ez vos r\u00e8gles puis testez-les syst\u00e9matiquement<\/strong>\n
                \n
              • Cr\u00e9ez la r\u00e8gle sur l\u2019interface concern\u00e9e.<\/li>\n\n\n\n
              • Faites un flush des states<\/strong> (Diagnostics > States > Reset States<\/code>) pour repartir propre.<\/li>\n\n\n\n
              • Testez vos flux en chevauchant les plages horaires.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
              • \u00c9vitez les surprises en production<\/strong>\n
                  \n
                • Si un flux doit absolument \u00eatre continu (sauvegarde, r\u00e9plication, transfert volumineux), ne le soumettez pas \u00e0 une r\u00e8gle horaire<\/strong>.<\/li>\n\n\n\n
                • Documentez les r\u00e8gles avec horaires et pr\u00e9voyez des m\u00e9canismes de reprise c\u00f4t\u00e9 applicatif (logiciel de sauvegarde robuste).<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n
                  \n\n\n\n

                  Conclusion<\/h2>\n\n\n\n

                  Les r\u00e8gles planifi\u00e9es dans pfSense ne sont pas \u201cintelligentes\u201d : elles n\u2019attendent pas la fin d\u2019une session pour couper. Elles d\u00e9truisent les \u00e9tats d\u00e8s la fin de la plage horaire<\/strong>, quitte \u00e0 interrompre des op\u00e9rations critiques.<\/p>\n\n\n\n

                  Chez DYB, nous conseillons \u00e0 nos clients :<\/p>\n\n\n\n

                    \n
                  • de tester en environnement de pr\u00e9production<\/strong> l\u2019impact des r\u00e8gles horaires,<\/li>\n\n\n\n
                  • de forcer un reset des states<\/strong> apr\u00e8s cr\u00e9ation\/modification de r\u00e8gle pour valider le comportement,<\/li>\n\n\n\n
                  • et de s\u00e9curiser les sauvegardes<\/strong> avec des logiciels capables de relancer automatiquement une t\u00e2che en cas de coupure r\u00e9seau.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

                    Chez DYB, nous voyons souvent des administrateurs utiliser des plages horaires (schedules) dans pfSense. C\u2019est pratique pour restreindre certains usages (RDP, SMB, etc.), mais il existe un pi\u00e8ge m\u00e9connu : vos flux peuvent \u00eatre coup\u00e9s en plein milieu d\u2019une sauvegarde. Le fonctionnement du moteur pf (stateful firewall) pfSense repose sur le moteur pf de FreeBSD, […]<\/p>\n","protected":false},"author":1,"featured_media":1306,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26,24],"tags":[23],"class_list":["post-1303","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-adminsys","category-reseaux","tag-pfsense"],"_links":{"self":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1303","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/comments?post=1303"}],"version-history":[{"count":0,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1303\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media\/1306"}],"wp:attachment":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media?parent=1303"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/categories?post=1303"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/tags?post=1303"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}