Escolar Documentos
Profissional Documentos
Cultura Documentos
Guide « PfSense »
1 Installation de la PfSense
Schéma de principe
Avant tout, voici le schéma général de l’installation mis en place pour cette documentation (bien entendu, toutes
les adresses IP sont à adapter) :
Préalable
Installation
Débranchez les câbles réseau de votre futur firewall pfSense (ils seront rebranchés plus tard).
Bootez l’ordinateur avec le CD pfSense.
Vous allez ensuite avoir l'écran de démarrage de FreeBSD. Vous avez plusieurs choix possibles.
Vous allez choisir ici l'option 1 (défaut) :
Ensuite vient la configuration des interfaces réseau. Choisissez quelle interface sera le LAN et l'autre le WAN.
A la question « enter the Lan interface name or ‘a’ for auto-detection: », tapez « a ». Ne faites pas « Entrer »
pour le moment, mais branchez votre câble réseau sur votre carte réseau destinée au LAN (dans notre exemple :
lnc0). Ensuite, vous pouvez faire « Entrer ». Faites de même pour la carte réseau qui sera reliée au WAN (dans
notre exemple lnc1) :
FreeBSD se charge ensuite et nous entrons dans le menu. Nous allons donc passer à l'installation sur le disque
dur en tapant le choix "99" :
Les réseaux des EPLEFPA – Guide PfSense 6
Nous allons voir en détail comment se décompose l'installation de pfSense (le choix à faire est celui surligné en
bleu)
Le changement de confiiguration du clavier en français ne fonctionne pas, la modification pourra être faite
après l’installation.
Choisissez le disque dur sur lequel vous souhaitez installer votre pfSense :
Si nécessaire, nous allons voir comment formater le disque dur, pour cela allez sur « Format this Disk », sinon
vous pouvez sauter l'étape en allant sur « Skip this step » :
Ici allez directement à « Use this geometry », « Format ad0 », puis « Partition Disk » :
Les réseaux des EPLEFPA – Guide PfSense 7
Vous pouvez ici soit garder la taille de la partition (par défaut il utilisera tout le disque dur), ou bien lui définir
une taille. Allez ensuite sur « Accept and Create », « Yes partition ad0 », puis OK:
Sélectionnez la partition sur laquelle installer pfSense, faites OK, puis « Accept and Create » pour établir le
Swap :
Les réseaux des EPLEFPA – Guide PfSense 8
Nous allons maintenant créer le "BOOT" du disque dur. Cela va permettre de démarrer la machine directement
sur pfSense.
Faites « Accept and install Bootblocks », OK et « Uniprocessor kernel » :
A la fin de l’installation de pfSense, vous pouvez retirer le CD et redémarrer la machine en allant sur « reboot »
Les réseaux des EPLEFPA – Guide PfSense 9
2 Configuration de la PfSense
Pour une configuration permanente, il faudra placer la ligne dans le service « shellcmd » qu’il est possible
d’ajouter à partir des packages disponibles.
Ensuite, il faut changer l'IP sur la carte réseau LAN (réseau admin) de pfSense. Pour cela, dans le menu, tapez
le choix 2 (« Set LAN IP address »). Entrez l'adresse IP correspondante à votre LAN ainsi que le masque (24 en
général) :
Après avoir configuré les cartes réseau, vous devriez avoir une étoile près du nom des interfaces, indiquant la
bonne connexion des câbles réseau.
Les réseaux des EPLEFPA – Guide PfSense 10
Connectez une machine sur la carte réseau de pfSense (côté LAN : réseau admin). Ouvrez ensuite votre
navigateur Web, puis entrez http://10.21.201.254 (dans notre cas).
Entrez ensuite le login (par défaut admin, mdp : pfsense).
Au premier écran, faites NEXT, tapez ensuite le nom de la machine, le domaine et l'IP du DNS, Exemple :
Nous allons maintenant configurer l’interface WAN. Sélectionnez le « SelectedType » « Static », l’adresse IP de
la carte WAN (en direction d’internet)
IP : 80.80.80.33
Décochez les deux cases « block… » tout en bas :
Vérifiez ensuite la configuration de la carte LAN qui doit être correcte puis faire NEXT.
Pour finir, modifier votre mot de passe pour l’accès à pfSense, faites NEXT, puis RELOAD, et relancez ensuite
votre navigateur :
Les réseaux des EPLEFPA – Guide PfSense 12
Une fois l’interface graphique de pfSense chargée, branchez physiquement votre carte réseau reliée au réseau
Pedago.
Allez à l’onglet « Interfaces », puis « assign », et cliquez sur la case « + » à droite.
Sélectionnez la carte réseau correspondant à la nouvelle interface OPT1 et pour finir, cliquez sur « Save ».
Ensuite retournez sur l’onglet « Interface », puis « OPT1 », et configurez l’interface :
Il est possible de la même manière d’ajouter d’autres interfaces pour des réseaux supplémentaires comme une
zone wifi, une zone DMZ, une zone …
Les réseaux des EPLEFPA – Guide PfSense 13
Schéma de Principe
Voici le schéma du réseau que nous allons configurer :
Installation de Slave-pfSense
Configuration de Slave-pfSense
Connectez une machine sur la carte réseau de pfSense (côté LAN : réseau Admin).
Entrez http://10.21.203.254 (dans notre cas) dans votre navigateur Web.
Entrez ensuite le login (par défaut admin, mdp : pfsense).
Au premier écran, faites NEXT.
Tapez ici le nom de la machine, le domaine et l'IP du DNS:
Les réseaux des EPLEFPA – Guide PfSense 15
Faites de même pour les configurations des cartes WAN, LAN (elle doit être normalement bien configurée) et
Pedago, en l’adaptant selon le paramétrage de votre réseau :
Les réseaux des EPLEFPA – Guide PfSense 16
Interface : WAN.
Local subnet : LAN subnet (sous réseau LAN de Master-pfSense).
Remote subnet : 10.21.203.0/24 (sous réseau LAN de Slave-pfSense).
Remote gateway : 8.80.81.33 (@IP WAN Slave-pfSense).
Description : Ici votre description, par exemple Tunnel Master-Slave pfSense.
Après la configuration du tunnel, la commande « Status : Ipsec » permet de vérifier que la configuration est
correcte.
L’onglet « SAD » permet de vérifier le bon fonctionnement du tunnel après avoir tenté un ping sur une machine
du réseau distant.
Les réseaux des EPLEFPA – Guide PfSense 17
4 Règles du Firewall
La logique de fonctionnement du pare-feu peut différer suivant les objectifs de l’administrateur réseau de
l’établissement. Dans le cas où la simplicité de mise en place est recherchée, il est possible d’autoriser tous les
ports en sortie pour les protocoles TCP et UDP pour la navigation vers Internet. Pour un fonctionnement plus
sûr et mieux maitrisé, seuls les ports nécessaires seront ouverts. Il sera alors nécessaire de faire l’inventaire
exhaustif de tous les services nécessaires, ce qui représente un travail important.
Les règles permettent de mettre en place les différents services autorisés sur chaque interface.
Il est possible d’autoriser tout le trafic en sortie dans le cas où les contraintes d’ouverture de ports
La logique de création consiste à les créer sur l’interface qui représente la source du traffic. Par exemple pour la
navigation sur internet d’un poste du LAN sur le port 80, le trafic part du poste puis passe par l’interface LAN
avant de sortir par l’interface Wan. La règle permettant ce service sera écrite sur l’interface LAN.
Pour créer une règle, il suffit de cliquer sur Firewall -> Rules, puis sur l’onglet voulu par exemple LAN.
Trafic Internet
Pour naviguer sur Internet, il faudra créer les règles de base pour les ports 53 (DNS), 80 (http), 443 (HTTPS),
21 (FTP). Le protocole ICMP permettra d’utiliser la commande « Ping » pour des tests de certaines adresses IP.
Par la suite, il sera certainement nécessaire d’ajouter des ports correspondants aux autres services nécessaires
( serveur de messagerie, FirstClass, Nocia, ….). Ce point sera abordé dans un document annexe indépendant, le
travail de configuration des ports n’est pas spécifique à Pfsense.
Après avoir déclaré les ports ouverts pour la zone admin (LAN), il sera nécessaire de faire la même chose pour
la zone PEDAGO (OPT1) en modifiant la liste des ports pour l’adapter aux nécessités de la zone pédagogique.
L’accès aux serveurs de messagerie, à FirsClass, à nocia ne sera peut-être pas nécessaire alors que l’accès à
MSN pourra l’être.
Les réseaux des EPLEFPA – Guide PfSense 18
Pour autoriser l’accès depuis l’extérieur, il est nécessaire de mentionner les ports à ouvrir suivant les services
concernés. Ainsi, l’accès depuis des clients nomades OpenVpn, le port 1194 devra être ouvert pour l’interface
WAN vers le réseau Admin.
Suivant la configuration de l’établissement, il sera peut-être nécessaire d’autoriser des liaisons entre les réseaux.
Par exemple, l’accès aux partages de fichier ou d’imprimantes peut-être établi de la zone « Admin » vers la
zone « PEDAGO ».
Les réseaux des EPLEFPA – Guide PfSense 19
Pour une utilisation courante, les services TSE (3389 MS RDP) et partage de fichiers (445MS DS) sont
nécessaires pour accéder aux serveurs LGA du site principal. L’accès au ping (ICMP echo) est également une
bonne précaution en cas de doute sur l’accès. Pour autoriser ces services, il est nécessaire de les mentionner au
niveau de l’interface LAN de la Slave Pfsense (interface source du trafic).
Au niveau de l’interface Ipsec de la Master Pfsense ils seront également nécessaires. Pour des raisons de
sécurité, il est préférable de n’autoriser que ce qui est strictement nécessaire, donc ces services seront
configurés des adresses de l’interface LAN vers l’adresse du serveur de traitement. Il peut être nécessaire
détendre les autorisations vers le serveur de données si des postes du site distant ont besoin d’accéder aux
données en utilisant le driver ODBC.
Pour autoriser des accès de la zone LAN du site principal vers le site distant, il sera nécessaire d’ajouter des
ports dans la zone LAN de la Master pfsense et dans la zone IPSEC de la Slave Pfsense. Ce sens de
communication est assez rarement utilisé, il est donc préférable de ne le configurer qu’en cas de nécessité.
Les réseaux des EPLEFPA – Guide PfSense 20
Pour pouvoir utiliser les fonctionnalités de proxy, il faut ajouter les packages « squid » et « squidgard » puis
configurer les blacklist, les différentes restrictions et éventuellement des règles d’accès supplémentaires (ACL)
Après l’installation l’onglet InstalledPackages permet de vérifier que les deux modules sont bien installés.
Les réseaux des EPLEFPA – Guide PfSense 21
Configuration de squid
Proxy interface : PEDAGO (dans notre cas). Pour sélectionner plusieurs interfaces utiliser la touche control
Allow user on interface : valider.
Transparent proxy : valider.
Log store directory : /var/log : dossier contenant dèjà les autres logs.
Proxy port : 3128 : port classique pour proxy.
Language : French
Au niveau de l’onglet Access control -> Blacklist, il est possible d’indiquer des sites en complément des
Blacklist de squidGuard.
Configuration de squidGuard
Enable : valider.
Blacklist : valider.
Blacklist url : http://www.shallalist.de/Downloads/shallalist.tar.gz
Actuellement, les listes de l’université de Toulouse ne fonctionnent pas correctement avec la pfSense.
Cliquer ensuite sur sauvegarder puis sur Upload url pour charger la blacklist.
Les réseaux des EPLEFPA – Guide PfSense 22
Il faut ensuite cliquer sur l’onglet « Default » puis sur le triangle vert pour afficher la blacklist.
Sur chaque élément que vous souhaitez autoriser, choisissez allow, et deny pour ceux que vous voulez interdire
Not to allow IP addresses in URL : cocher si vous souhaitez interdire les adresses IP tapées directement
dans l’URL.
Redirect mode : laisser l’option par défaut int error page
Redirect info : entrer un message d’erreur personnalisé, par exemple « Accès interdit, contacter votre
administrateur »
Enable log : cocher la case pour enregistrer l’activité du service
Cliquer enfin sur Save pour enregistrer la configuration. A noter qu’il faut également cliquer sur Apply
au niveau de l’onglet General settings pour mettre en œuvre les options paramétrées .
Une ACL (Access Control List) permet de définir des règles d’accès pour certaines adresses IP.
Sélectionner Services -> Proxy filter -> ACL puis cliquer sur +.
La suite de la configuration du serveur et des ses clients est détaillée dans le guide « Les réseaux des EPLEFPA
- Clients OpenVPN » au chapitre traitant de la pfsense.
Les réseaux des EPLEFPA – Guide PfSense 24
7 Annexe 1
Schéma vierge :
Les réseaux des EPLEFPA – Guide PfSense 25