SlideShare uma empresa Scribd logo

Installation et Configuration de Pfsense

Ismail Rachdaoui
Ismail Rachdaoui

Installation et configuration de Pfsense FreeBSD. un Travail de ISMAIL RACHDAOUI

Tecnologia
1 de 28
Baixar para ler offline
2013 Pfsense FreeBSD - Un Travail de: ISMAIL RACHDAOUI – GRT5 Proposé Par: MR.ANAS ABOU EL KALAM - ENSAM Pour Toute question contactez moi sur : ismail.rachdaoui@gmail.com ou via Facebook FB.com/ismael.rachdaoui Génie Réseaux et Télécommunications ENSA Marrakech
Plan : I. Introduction Générale – P.3 II. Installation de Pfsense – P.4 III. Configuration basique – P.11 IV. Pfsense Firewall – P.15 a. Découvrir l’interface de Gestion. b. Ajouter un rule c. Les Alias d. Time Based Rules e. Firewall rules Best Practices V. OpenVPN sous Pfsense – P.22 VI. Hotspot – Portail captif – P.25 1 ISMAIL RACHDAOUI – GRT5 2013
I. Introduction Générale: PfSense est un routeur / pare-feu opensource basé sur FreeBSD. PfSense peut être installé sur un simple ordinateur personnel comme sur un serveur. Basé sur PF (packet filter), comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Après une installation en mode console, il s'administre ensuite simplement depuis une interface web et gère nativement les VLAN (802.1q). Les avnatges de PFSense que :  Il est adapté pour une utilisation en tant que pare-feu et routeur  Il comprend toutes les fonctionnalités de pare-feu coûteux commerciales, et plus encore dans de nombreux cas ;  il peut être installé sur un simple ordinateur personnel comme sur un serveur ;  il est basé sur P0F (Packet Filter), comme iptables sur GNU/Linux généralemet  Il permet d’intégrer de nouveaux services tels que l’installation d’un portail captif, la mise en place d’un VPN, DHCP et bien d’autres.  Il offre des option de firewalling /routage plus évoluée qu’IPCop  Il permet en autre de réaliser :  un portail captif (Lorsqu’un utilisateur ouvre son navigateur internet il est redirigé vers une page lui proposant de s’identifier pour se connecter) : solution proposée par les hotspot.  Un serveur VPN  De réaliser du Load Balancing MultiWAN (utiliser deux connexion Internet avec 2 FAI différents pour avoir une redondance et ainsi éviter les pannes ADSL).  La configuration se fait dans l'interface web, sans rien toucher à la ligne de commande. cela implique une intervention minimum sur les machines sauf pour des maintenances matériels ou de grosse mise à jour qu'il est préférable de faire sur les machines. Pour plus d’informations sur les fonctionnalités de Pfsence visitez http://pfsense.org/index.php@option=com_content&task=view&id=40&Itemid=43.html 2 ISMAIL RACHDAOUI – GRT5 2013
II. Installation de pfSense : Version de Pfsence Pfsence 2.0.3 Platforme d’instalaltion Vmware Workstation 9 Si vous êtes habitué à l’installation des OS, cette partie n’est pas faites pour vous. Bien évidement il faut disposer d’une image ISO pour procèder à l’instalaltion, les images sont en libre téléchargement depuis http://pfsense.org/index.php@option=com_content&task=view&id=58&Itemid=46.html , de même cette section de téléchargement offre des images VMware prêtes. Notre lab va se baser sur la version 2.0.3 de Pfsence, il sera installé sur une machine virtuel VMware Workstation 9. Les pré-requis materiels pour l’installation sont :     RAM : 512M (256 min). HDD : 1Gb Processor : 100Mhz min. 2 cartes réseaux. 3 ISMAIL RACHDAOUI – GRT5 2013
L’architecture de base d’une installation Pfsence est la suivante : Avant de commencer l’installation, votre PC doit être équipé en minimum de deux cartes réseaux, pour ce TP on va utiliser deux interfaces, une de Loopback pour qu’on puisse communiquer localement avec le serveur Pfsence et la deuxième à votre choix. Voilà les étapes à suivre pour créer une interface de loopback :  Poste de Travail > Propriété > géstionnaire de péréphriques puis « Ajouter un Matériel d’ancienne génération ». 4 ISMAIL RACHDAOUI – GRT5 2013
5 ISMAIL RACHDAOUI – GRT5 2013
Suivant … Puis le deuxième choix … 6 ISMAIL RACHDAOUI – GRT5 2013
Vous choisissez Microsoft > Carte de Bouclage Microsoft Vous attendez la fin de l’instalaltion … Et voilà ! votre carte réseau de bouclage (loopback) est prêt à être utiliser. 7 ISMAIL RACHDAOUI – GRT5 2013
On commnce l’instalaltion de Pfsence sous Vmware 9 …  On crée une Machine Virtuelle sous VMware avec les spécifications suivantes : On click sur finish, puis l’instalaltion va commencer … 8 ISMAIL RACHDAOUI – GRT5 2013
 La fenêtre suivante va s’aficher et choisit le 1ère choix.  Durant l’installation Pfsence va detecter automatiquement les listes des cartes réseaux disponibles, et va y attribuer respectivemetn les noms le0, le1 et le2 Notez bien qu’il necessite au moins deux cartes pour qu’il fonctionne correctement.  La première question que nous rencontrons durant l’installation est la suivante : On va répondre tout simplement par n (No) car on aura pas besoin des Vlan.  Si tout passe très bien, Pfsence va nous demander d’affecter chaque interface ( ici le0,le1 ou le2) à une interface WAN ou bien LAN (revoir l’architecture de base de Pfsence fig1). 9 ISMAIL RACHDAOUI – GRT5 2013
La figure ci-dessus montre qu’on a affecter le0 au LAN, le1 au WLAN et le2 à l’interface OPT1.  Astuce ! utiliser la lettre ‘a’ pour l’auto affectation des interfaces.  Et voilà ! l’installation se termine ici, vous avez devant vous plein d’options à exploer…Par la suite toutes les configurations se font par l’intermediare d’une intuitive interface web.  Pour se conncter à l’interface de configuration on utilisera l’adresse ip de l’interface LAN http://192.168.2.1, le couple login/pass par défaut est admin/pfsence. 10 ISMAIL RACHDAOUI – GRT5 2013
III. Configuration Basique de Pfsence : A ce stade là, on doit configurer basiquement notre serveur, pour faire cela on choisit Setup Wizard du menu System, puis on tape Next. 11 ISMAIL RACHDAOUI – GRT5 2013
 Eclaircicement des champs demandés :  Hostname : le nom du Host  Domain : le domaine si c’est déjà établis si non on laisse le choix par défaut.  Primary (Secondary) DNS Server : l’adresse primaire (secondaire) du serveur DNS à utiliser. NB : vous pouvez très bien utiliser des serveurs DNS distant. Next …  Ici on déclare le serveur d’horloge avec lequel on doit se sychroniser, par défaut c’est 0.pfsence.pool.ntp.org Puis Next … Là, on arrive à une étape très importante, on doit configurer notre interface WAN. 12 ISMAIL RACHDAOUI – GRT5 2013
 Ici il est demandé de choisir le type de configuration de l’interface WAN, différent choix sont disponibles, soit Static,DHCP,PPoE ou PPTP, le choix est basé sur la manière avec laquelle notre interface va être utiliser.  Le champs MAC Address c’est pour définir une adresse MAC pour l’interface, Pfsence lui affecte une adresse par défaut si on le laisse vide.  MTU c’est pour la taille du fragement qui doit traverser le réseau. La suite de configuration est basé sur le type de l’interface WAN (Static,DHCP,PPoE ou PPTP).  Si le WAN est en Static on doit définir dans les champs IP Address et Gateway l’adresse IP choisit et la passerelle respectivement.  Si c’est DHCP on doit identifier notre serveur Pfsence par un nom pour qu’il puissance s’identifier auprés du serveur DHCP (optionel).  Block RFC1918 Private Networks : si cette case est cochée, le parfeu va bloquer tous le trafic issue des adresses privés ou de loopback. 13 ISMAIL RACHDAOUI – GRT5 2013
 Block bogon Networks : Pour bloquer les paquets dont l’adresse source est non définie par l’IANA. Next … Maintenant c’est le temps pour configurer l’interface LAN.  C’est simple ici, on affecte une adresse IP de notre sous réseau à l’interface LAN. Next …  Pour changer le login et le pass del’interface Web. Puis Reload pour que Pfsence prend en charge la nouvelle configuration. 14 ISMAIL RACHDAOUI – GRT5 2013
IV. Firewall rules : a. Découvrir L’interface De Gestion : L’interface de gestion des rules est joignable de Firewall > rules,  Comme vous voyez, il est possible de définir des rules pour l’interface LAN ainsi que l’interface WLAN.  Pour ajouter un rule  Pour modifier un rule  Pour suprimer un rule 15 ISMAIL RACHDAOUI – GRT5 2013
b. Ajouter un Rule :  Action : Choisir une Action Block,Reject ou Pass.  Disable This rule : cocher pour désactiver le rule.  Interface : l’interface concérné par le filtrage de packet.  Protocole : spécification du protocole concérné par le rule en question.  Source : IP source  Destination : IP destination  Log : si on veut que Pfsence sauvgarde les log de cette rule.  Description : descrption du rule. Dans cette exemple on va empêcher tout packet ICMP (ping) au sein du réseau local. 16 ISMAIL RACHDAOUI – GRT5 2013
Cette fenêtre montre que notre rule est bien ajouté. Preuve …  NB : par défaut le trafic du WAN vers le LAN est bloqué. Pour modier/suprimer le rule on click sur //fr/ Toutefois, Pfsence offre des fonctionnalités de filtrage avancé, telsque le filtrage par système d’exploitation, TCP flags …etc. Voir figure ci-dessous : 17 ISMAIL RACHDAOUI – GRT5 2013
c. Les Alias : Les Alias facilitent beaucoup la manipulation des rules, ils jouent le rôle du conteneurs, ils peuvent grouper un ensemble de hôtes, de réseaux, ou de port afin de les d’affecter un traitement groupé. On va commencer tout d’abord par la création d’un Alias, pour se faire, on click sur Alias du menu Firewall. Puis sur l’icone ajouter 18 ISMAIL RACHDAOUI – GRT5 2013
On a les champs suivants :  Name : le nom de l’Alias  Description : une déscription  Type : on distingue entre 5 types d’Alias, Host, Network, Port et URL.  Network(s) (ça dépend du type d’alias): par exemple ici on dois spécifier l’adresse du réseau sous format CIDR. Save … l’exemple montré ci-dessus va crèer un Alias portant le nom Alias1, qui va regrouper tous les adresses du sous réseau 192.1682.0/24, par la suite on peut utiliser juste le nom de l’Alias pour lui appliquer une politique de filtrage (voir démo). d. Time Based rules : Parfois on a interêt à ativer une politique de filtrage durant une période spécifique, par exemple on souhaite désactiver tous flux sortant de type HTTP durant les périodes de repos, pour faire cela on fait appel aux Time Based rules (TBR). Pour créer une TBR on doit commencer par la création du Schedule, pour se faire on click sur Schedules du menu Firewall. 19 ISMAIL RACHDAOUI – GRT5 2013
 On nomme notre Schedule et on définis la période de validité, après on sauvgarde. Pour pouvoir l’utiliser, on choisis de modifier le rule en question ( qui bloque le traffic http du LAN vers le WAN, on peut se base sur l’alias créer auparavant), puis Advanced Settings et Schedules. 20 ISMAIL RACHDAOUI – GRT5 2013
On sauvgarde les nouveaux changements, désormais le parfeu va interdir tout accès à internet du réseau LAN durant la periode du repos. e. Firewall Rules Best Practices :  Default Deny  Keep it Short  Document Your Configuration  Reducing Log Noise  Logging Practices 21 ISMAIL RACHDAOUI – GRT5 2013
V. OpenVPN sous Pfsence : il est possible de configurer facilement Pfsence pour qu’il fonctionne comme un serveur VPN, on va voir ensemble comment le configurer pour le cas du serveur OpenVPN. L’objectif étant de créer un tunnel client-to-site avec une clé secret partagé.  Par le menu principale on choisis VPN > OpenVPN. On va configurer notre serveur en mode Peer to Peer (Shared Key), Protocole UDP, Device Mode > tun et l’interface LAN,donc c’est les utilisateurs locaux qui vont pouvoir établir le tunnel VPN avec le serveur Pfsence. Pour la clé partagé on peut la générer par OpenVPN par la commande Openvpn –genkey –secret /tmp/shared.key et on la copie dans l’emplacement Shared Key. 22 ISMAIL RACHDAOUI – GRT5 2013
Maintenant on doit spécifier l’adresse du tunnel, ici c’est 10.0.8.0/24, par défaut la première adresse sera affecté au serveur VPN et le reste pour les client.  NB : on doit ajouter un rule au LAN pour permettre la connexion UDP via le port 1195 d’OpenVPN.  Côté client, il est primordial que le client OpenVPN est installé, on va simplement placer le fichier de configuration et la clé partagé dans le même répertoire. 23 ISMAIL RACHDAOUI – GRT5 2013
Fichier de configuration static.key : remote 192.168.2.1 proto udp dev tun ifconfig 10.0.8.2 10.0.8.1 secret static.key cipher none verb 2 on lance OpenVPN … Voilà ! le tunnel est établis, il est aussi possible d’établir une architecture PKI. 24 ISMAIL RACHDAOUI – GRT5 2013
VI. Hotspot – Portail Captif : Les Hotspot sont parmi les solutions les plus solicités surtout chez les entreprises, Pfsence fait bien l’affaire, on va découvrir ensemble comment mettre en place un portail captif pour un réseau Wifi. Tout d’abord on aura besoin de deux interfaces, une connectée à internet et l’autre à un point d’accès qui va jouer le relais entre les utilisateurs qui viennent pour se connecter et le réseau internet. Voilà notre architecture de base. otre Serveur Pfsense eth0 : LAN eth1 : WAN Pour démarrer la configuration, on choisis Captive Portal du menu Services Services. NB : On va faire ici une configuration basique.  Il faut tout d’abord l’activation de service, pour cela cocher ‘Enable captive portal’.  Ainsi, on choisis l’interface sur l’aquelle on va démarrer le service, dans notre cas c’est le LAN. Vous pouvez s’amuser à explorer les autres options, ils sont simple à comprendre … Maintenant on passe à la phase d’authentification, Pfsense met entre nos mains trois méthodes, à savoir (voir figure ci desous) desous):  No Auhentification : rediriction du client vers internet sans contrôle d’accès.  Local user Manager : définir des utilisateur Pf Pfsense.  RADIUS : un contrôle d’accès basé sur le serveur RADIUS.  NB : Pour installer le plugin qui intègre RADIUS à Pfsense, allez à System > Packages 25 ISMAIL RACHDAOUI – GRT5 2013
On va choisir l’option ‘Local user Manager’.  NB : il faut désactiver le srveur DHCP du point d’accès utilisé au niveau du LAN, car l’affectaton des adresses sera prise en charge par Pfsence. Puis on sauvgarde la configuration.  Activation du DHCP à l’interface LAN : o Sur la console de Pfsense chosir l’option 1 ‘Set Interface ip address’. o Puis vous choisissez l’interface LAN, et vous continuer comme ci-dessous Vous saisissez l’adresse IP (ici c’est 192.168.2.1) , le Mask (ici c’est 24), ‘y’ pour activer DHCP et finalement le pool DHCP (ici c’est 192.168.2.2 - 192.168.2.254). Voilà c’est tout ! votre portail captif est prêt à être utiliser. Si un client tente de se connecter à votre point d’accès, il aura l’impression qu’il est connecter à internet mais une fois il ouvre son navigateur il sera redériger vers une page d’authentification comme celle-ci : 26 ISMAIL RACHDAOUI – GRT5 2013
N’oubliez pas que c’est une configuration très basique du portail captif, il ya plein d’options à découvrir … VII. Conclusion : Pfsence permet plein d’autres options comme le routage, IP sec, traffic shaping … etc, mais on va se limiter à ce point là. Je vous invite à lire le livre ‘The Definitive Guide to the pfSense Open-Source Firewall and Router’ de Christopher M. Buechler et Jim Pingle. 27 ISMAIL RACHDAOUI – GRT5 2013

Recomendados

Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finialemarwenbencheikhali
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosAziz Rgd
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Mohamed Houssem
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 

Recomendados

Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finialemarwenbencheikhali
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosAziz Rgd
 
Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Pfsense 121202023417-phpapp02
Pfsense 121202023417-phpapp02Mohamed Houssem
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Bamoussa Bamba
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosErwan 'Labynocle' Ben Souiden
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedTECOS
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagioshindif
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdfgorguindiaye
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Abdallah YACOUBA
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAOusmane BADJI
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWANMed Amine El Abed
 
Tuto pfsense
Tuto pfsenseTuto pfsense
Tuto pfsenseAngelito Mandimbihasina
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008Sonny Brabez
 
2020 (1)
2020 (1)2020 (1)
2020 (1)MarouaneBelmallem
 

Mais conteúdo relacionado

Mais procurados

Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Bamoussa Bamba
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosErwan 'Labynocle' Ben Souiden
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedTECOS
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagioshindif
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdfgorguindiaye
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Abdallah YACOUBA
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAOusmane BADJI
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 

Mais procurados (20)

Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de Nagios
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec Openstack
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamed
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagios
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Tuto pfsense
Tuto pfsenseTuto pfsense
Tuto pfsense
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 

Semelhante a Installation et Configuration de Pfsense

SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008Sonny Brabez
 
Reseau entreprise
Reseau entrepriseReseau entreprise
Reseau entrepriseSAIDRAISS2
 
Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Hichem Chehida
 
Tutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme WindowsTutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme Windowsemmanuel minjoe
 
Installation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaInstallation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaPape Moussa SONKO
 
Mettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdfMettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdfjupiter63
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snortFathi Ben Nasr
 
Rapport TME_semaine_7_KAID_NHEK
Rapport TME_semaine_7_KAID_NHEKRapport TME_semaine_7_KAID_NHEK
Rapport TME_semaine_7_KAID_NHEKBelkacem KAID
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...ronanlebalch
 
Rapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
Rapport d’installation d’un serveur de messagerie avec le Webmail RoundcubeRapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
Rapport d’installation d’un serveur de messagerie avec le Webmail RoundcubeBalla Moussa Doumbouya
 
Gestion des LOGS savec syslog+loganalyzer
Gestion des LOGS savec syslog+loganalyzerGestion des LOGS savec syslog+loganalyzer
Gestion des LOGS savec syslog+loganalyzerMohamet Lamine DIOP
 
Serveur sms avec traitement de contenu, avec Gammu
Serveur sms avec traitement de contenu, avec GammuServeur sms avec traitement de contenu, avec Gammu
Serveur sms avec traitement de contenu, avec GammuFabrice Sonzahi
 
Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Stephen Salama
 

Semelhante a Installation et Configuration de Pfsense (20)

SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008
 
2020 (1)
2020 (1)2020 (1)
2020 (1)
 
TomatoUSB asus rtn66
TomatoUSB asus rtn66TomatoUSB asus rtn66
TomatoUSB asus rtn66
 
Reseau entreprise
Reseau entrepriseReseau entreprise
Reseau entreprise
 
Adsl cisco
Adsl ciscoAdsl cisco
Adsl cisco
 
Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2
 
Tutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme WindowsTutoriel sur Installation de Cacti sous plateforme Windows
Tutoriel sur Installation de Cacti sous plateforme Windows
 
Installation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaInstallation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec serva
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Mettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdfMettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdf
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
 
Rapport TME_semaine_7_KAID_NHEK
Rapport TME_semaine_7_KAID_NHEKRapport TME_semaine_7_KAID_NHEK
Rapport TME_semaine_7_KAID_NHEK
 
Rapport du stage
Rapport du stageRapport du stage
Rapport du stage
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
 
Rapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
Rapport d’installation d’un serveur de messagerie avec le Webmail RoundcubeRapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
Rapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
 
Gestion des LOGS savec syslog+loganalyzer
Gestion des LOGS savec syslog+loganalyzerGestion des LOGS savec syslog+loganalyzer
Gestion des LOGS savec syslog+loganalyzer
 
Serveur sms avec traitement de contenu, avec Gammu
Serveur sms avec traitement de contenu, avec GammuServeur sms avec traitement de contenu, avec Gammu
Serveur sms avec traitement de contenu, avec Gammu
 
Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2
 
Apache Open SSL
Apache Open SSLApache Open SSL
Apache Open SSL
 

Installation et Configuration de Pfsense

  • 1. 2013 Pfsense FreeBSD - Un Travail de: ISMAIL RACHDAOUI – GRT5 Proposé Par: MR.ANAS ABOU EL KALAM - ENSAM Pour Toute question contactez moi sur : ismail.rachdaoui@gmail.com ou via Facebook FB.com/ismael.rachdaoui Génie Réseaux et Télécommunications ENSA Marrakech
  • 2. Plan : I. Introduction Générale – P.3 II. Installation de Pfsense – P.4 III. Configuration basique – P.11 IV. Pfsense Firewall – P.15 a. Découvrir l’interface de Gestion. b. Ajouter un rule c. Les Alias d. Time Based Rules e. Firewall rules Best Practices V. OpenVPN sous Pfsense – P.22 VI. Hotspot – Portail captif – P.25 1 ISMAIL RACHDAOUI – GRT5 2013
  • 3. I. Introduction Générale: PfSense est un routeur / pare-feu opensource basé sur FreeBSD. PfSense peut être installé sur un simple ordinateur personnel comme sur un serveur. Basé sur PF (packet filter), comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Après une installation en mode console, il s'administre ensuite simplement depuis une interface web et gère nativement les VLAN (802.1q). Les avnatges de PFSense que :  Il est adapté pour une utilisation en tant que pare-feu et routeur  Il comprend toutes les fonctionnalités de pare-feu coûteux commerciales, et plus encore dans de nombreux cas ;  il peut être installé sur un simple ordinateur personnel comme sur un serveur ;  il est basé sur P0F (Packet Filter), comme iptables sur GNU/Linux généralemet  Il permet d’intégrer de nouveaux services tels que l’installation d’un portail captif, la mise en place d’un VPN, DHCP et bien d’autres.  Il offre des option de firewalling /routage plus évoluée qu’IPCop  Il permet en autre de réaliser :  un portail captif (Lorsqu’un utilisateur ouvre son navigateur internet il est redirigé vers une page lui proposant de s’identifier pour se connecter) : solution proposée par les hotspot.  Un serveur VPN  De réaliser du Load Balancing MultiWAN (utiliser deux connexion Internet avec 2 FAI différents pour avoir une redondance et ainsi éviter les pannes ADSL).  La configuration se fait dans l'interface web, sans rien toucher à la ligne de commande. cela implique une intervention minimum sur les machines sauf pour des maintenances matériels ou de grosse mise à jour qu'il est préférable de faire sur les machines. Pour plus d’informations sur les fonctionnalités de Pfsence visitez http://pfsense.org/index.php@option=com_content&task=view&id=40&Itemid=43.html 2 ISMAIL RACHDAOUI – GRT5 2013
  • 4. II. Installation de pfSense : Version de Pfsence Pfsence 2.0.3 Platforme d’instalaltion Vmware Workstation 9 Si vous êtes habitué à l’installation des OS, cette partie n’est pas faites pour vous. Bien évidement il faut disposer d’une image ISO pour procèder à l’instalaltion, les images sont en libre téléchargement depuis http://pfsense.org/index.php@option=com_content&task=view&id=58&Itemid=46.html , de même cette section de téléchargement offre des images VMware prêtes. Notre lab va se baser sur la version 2.0.3 de Pfsence, il sera installé sur une machine virtuel VMware Workstation 9. Les pré-requis materiels pour l’installation sont :     RAM : 512M (256 min). HDD : 1Gb Processor : 100Mhz min. 2 cartes réseaux. 3 ISMAIL RACHDAOUI – GRT5 2013
  • 5. L’architecture de base d’une installation Pfsence est la suivante : Avant de commencer l’installation, votre PC doit être équipé en minimum de deux cartes réseaux, pour ce TP on va utiliser deux interfaces, une de Loopback pour qu’on puisse communiquer localement avec le serveur Pfsence et la deuxième à votre choix. Voilà les étapes à suivre pour créer une interface de loopback :  Poste de Travail > Propriété > géstionnaire de péréphriques puis « Ajouter un Matériel d’ancienne génération ». 4 ISMAIL RACHDAOUI – GRT5 2013
  • 7. Suivant … Puis le deuxième choix … 6 ISMAIL RACHDAOUI – GRT5 2013
  • 8. Vous choisissez Microsoft > Carte de Bouclage Microsoft Vous attendez la fin de l’instalaltion … Et voilà ! votre carte réseau de bouclage (loopback) est prêt à être utiliser. 7 ISMAIL RACHDAOUI – GRT5 2013
  • 9. On commnce l’instalaltion de Pfsence sous Vmware 9 …  On crée une Machine Virtuelle sous VMware avec les spécifications suivantes : On click sur finish, puis l’instalaltion va commencer … 8 ISMAIL RACHDAOUI – GRT5 2013
  • 10.  La fenêtre suivante va s’aficher et choisit le 1ère choix.  Durant l’installation Pfsence va detecter automatiquement les listes des cartes réseaux disponibles, et va y attribuer respectivemetn les noms le0, le1 et le2 Notez bien qu’il necessite au moins deux cartes pour qu’il fonctionne correctement.  La première question que nous rencontrons durant l’installation est la suivante : On va répondre tout simplement par n (No) car on aura pas besoin des Vlan.  Si tout passe très bien, Pfsence va nous demander d’affecter chaque interface ( ici le0,le1 ou le2) à une interface WAN ou bien LAN (revoir l’architecture de base de Pfsence fig1). 9 ISMAIL RACHDAOUI – GRT5 2013
  • 11. La figure ci-dessus montre qu’on a affecter le0 au LAN, le1 au WLAN et le2 à l’interface OPT1.  Astuce ! utiliser la lettre ‘a’ pour l’auto affectation des interfaces.  Et voilà ! l’installation se termine ici, vous avez devant vous plein d’options à exploer…Par la suite toutes les configurations se font par l’intermediare d’une intuitive interface web.  Pour se conncter à l’interface de configuration on utilisera l’adresse ip de l’interface LAN http://192.168.2.1, le couple login/pass par défaut est admin/pfsence. 10 ISMAIL RACHDAOUI – GRT5 2013
  • 12. III. Configuration Basique de Pfsence : A ce stade là, on doit configurer basiquement notre serveur, pour faire cela on choisit Setup Wizard du menu System, puis on tape Next. 11 ISMAIL RACHDAOUI – GRT5 2013
  • 13.  Eclaircicement des champs demandés :  Hostname : le nom du Host  Domain : le domaine si c’est déjà établis si non on laisse le choix par défaut.  Primary (Secondary) DNS Server : l’adresse primaire (secondaire) du serveur DNS à utiliser. NB : vous pouvez très bien utiliser des serveurs DNS distant. Next …  Ici on déclare le serveur d’horloge avec lequel on doit se sychroniser, par défaut c’est 0.pfsence.pool.ntp.org Puis Next … Là, on arrive à une étape très importante, on doit configurer notre interface WAN. 12 ISMAIL RACHDAOUI – GRT5 2013
  • 14.  Ici il est demandé de choisir le type de configuration de l’interface WAN, différent choix sont disponibles, soit Static,DHCP,PPoE ou PPTP, le choix est basé sur la manière avec laquelle notre interface va être utiliser.  Le champs MAC Address c’est pour définir une adresse MAC pour l’interface, Pfsence lui affecte une adresse par défaut si on le laisse vide.  MTU c’est pour la taille du fragement qui doit traverser le réseau. La suite de configuration est basé sur le type de l’interface WAN (Static,DHCP,PPoE ou PPTP).  Si le WAN est en Static on doit définir dans les champs IP Address et Gateway l’adresse IP choisit et la passerelle respectivement.  Si c’est DHCP on doit identifier notre serveur Pfsence par un nom pour qu’il puissance s’identifier auprés du serveur DHCP (optionel).  Block RFC1918 Private Networks : si cette case est cochée, le parfeu va bloquer tous le trafic issue des adresses privés ou de loopback. 13 ISMAIL RACHDAOUI – GRT5 2013
  • 15.  Block bogon Networks : Pour bloquer les paquets dont l’adresse source est non définie par l’IANA. Next … Maintenant c’est le temps pour configurer l’interface LAN.  C’est simple ici, on affecte une adresse IP de notre sous réseau à l’interface LAN. Next …  Pour changer le login et le pass del’interface Web. Puis Reload pour que Pfsence prend en charge la nouvelle configuration. 14 ISMAIL RACHDAOUI – GRT5 2013
  • 16. IV. Firewall rules : a. Découvrir L’interface De Gestion : L’interface de gestion des rules est joignable de Firewall > rules,  Comme vous voyez, il est possible de définir des rules pour l’interface LAN ainsi que l’interface WLAN.  Pour ajouter un rule  Pour modifier un rule  Pour suprimer un rule 15 ISMAIL RACHDAOUI – GRT5 2013
  • 17. b. Ajouter un Rule :  Action : Choisir une Action Block,Reject ou Pass.  Disable This rule : cocher pour désactiver le rule.  Interface : l’interface concérné par le filtrage de packet.  Protocole : spécification du protocole concérné par le rule en question.  Source : IP source  Destination : IP destination  Log : si on veut que Pfsence sauvgarde les log de cette rule.  Description : descrption du rule. Dans cette exemple on va empêcher tout packet ICMP (ping) au sein du réseau local. 16 ISMAIL RACHDAOUI – GRT5 2013
  • 18. Cette fenêtre montre que notre rule est bien ajouté. Preuve …  NB : par défaut le trafic du WAN vers le LAN est bloqué. Pour modier/suprimer le rule on click sur //fr/ Toutefois, Pfsence offre des fonctionnalités de filtrage avancé, telsque le filtrage par système d’exploitation, TCP flags …etc. Voir figure ci-dessous : 17 ISMAIL RACHDAOUI – GRT5 2013
  • 19. c. Les Alias : Les Alias facilitent beaucoup la manipulation des rules, ils jouent le rôle du conteneurs, ils peuvent grouper un ensemble de hôtes, de réseaux, ou de port afin de les d’affecter un traitement groupé. On va commencer tout d’abord par la création d’un Alias, pour se faire, on click sur Alias du menu Firewall. Puis sur l’icone ajouter 18 ISMAIL RACHDAOUI – GRT5 2013
  • 20. On a les champs suivants :  Name : le nom de l’Alias  Description : une déscription  Type : on distingue entre 5 types d’Alias, Host, Network, Port et URL.  Network(s) (ça dépend du type d’alias): par exemple ici on dois spécifier l’adresse du réseau sous format CIDR. Save … l’exemple montré ci-dessus va crèer un Alias portant le nom Alias1, qui va regrouper tous les adresses du sous réseau 192.1682.0/24, par la suite on peut utiliser juste le nom de l’Alias pour lui appliquer une politique de filtrage (voir démo). d. Time Based rules : Parfois on a interêt à ativer une politique de filtrage durant une période spécifique, par exemple on souhaite désactiver tous flux sortant de type HTTP durant les périodes de repos, pour faire cela on fait appel aux Time Based rules (TBR). Pour créer une TBR on doit commencer par la création du Schedule, pour se faire on click sur Schedules du menu Firewall. 19 ISMAIL RACHDAOUI – GRT5 2013
  • 21.  On nomme notre Schedule et on définis la période de validité, après on sauvgarde. Pour pouvoir l’utiliser, on choisis de modifier le rule en question ( qui bloque le traffic http du LAN vers le WAN, on peut se base sur l’alias créer auparavant), puis Advanced Settings et Schedules. 20 ISMAIL RACHDAOUI – GRT5 2013
  • 22. On sauvgarde les nouveaux changements, désormais le parfeu va interdir tout accès à internet du réseau LAN durant la periode du repos. e. Firewall Rules Best Practices :  Default Deny  Keep it Short  Document Your Configuration  Reducing Log Noise  Logging Practices 21 ISMAIL RACHDAOUI – GRT5 2013
  • 23. V. OpenVPN sous Pfsence : il est possible de configurer facilement Pfsence pour qu’il fonctionne comme un serveur VPN, on va voir ensemble comment le configurer pour le cas du serveur OpenVPN. L’objectif étant de créer un tunnel client-to-site avec une clé secret partagé.  Par le menu principale on choisis VPN > OpenVPN. On va configurer notre serveur en mode Peer to Peer (Shared Key), Protocole UDP, Device Mode > tun et l’interface LAN,donc c’est les utilisateurs locaux qui vont pouvoir établir le tunnel VPN avec le serveur Pfsence. Pour la clé partagé on peut la générer par OpenVPN par la commande Openvpn –genkey –secret /tmp/shared.key et on la copie dans l’emplacement Shared Key. 22 ISMAIL RACHDAOUI – GRT5 2013
  • 24. Maintenant on doit spécifier l’adresse du tunnel, ici c’est 10.0.8.0/24, par défaut la première adresse sera affecté au serveur VPN et le reste pour les client.  NB : on doit ajouter un rule au LAN pour permettre la connexion UDP via le port 1195 d’OpenVPN.  Côté client, il est primordial que le client OpenVPN est installé, on va simplement placer le fichier de configuration et la clé partagé dans le même répertoire. 23 ISMAIL RACHDAOUI – GRT5 2013
  • 25. Fichier de configuration static.key : remote 192.168.2.1 proto udp dev tun ifconfig 10.0.8.2 10.0.8.1 secret static.key cipher none verb 2 on lance OpenVPN … Voilà ! le tunnel est établis, il est aussi possible d’établir une architecture PKI. 24 ISMAIL RACHDAOUI – GRT5 2013
  • 26. VI. Hotspot – Portail Captif : Les Hotspot sont parmi les solutions les plus solicités surtout chez les entreprises, Pfsence fait bien l’affaire, on va découvrir ensemble comment mettre en place un portail captif pour un réseau Wifi. Tout d’abord on aura besoin de deux interfaces, une connectée à internet et l’autre à un point d’accès qui va jouer le relais entre les utilisateurs qui viennent pour se connecter et le réseau internet. Voilà notre architecture de base. otre Serveur Pfsense eth0 : LAN eth1 : WAN Pour démarrer la configuration, on choisis Captive Portal du menu Services Services. NB : On va faire ici une configuration basique.  Il faut tout d’abord l’activation de service, pour cela cocher ‘Enable captive portal’.  Ainsi, on choisis l’interface sur l’aquelle on va démarrer le service, dans notre cas c’est le LAN. Vous pouvez s’amuser à explorer les autres options, ils sont simple à comprendre … Maintenant on passe à la phase d’authentification, Pfsense met entre nos mains trois méthodes, à savoir (voir figure ci desous) desous):  No Auhentification : rediriction du client vers internet sans contrôle d’accès.  Local user Manager : définir des utilisateur Pf Pfsense.  RADIUS : un contrôle d’accès basé sur le serveur RADIUS.  NB : Pour installer le plugin qui intègre RADIUS à Pfsense, allez à System > Packages 25 ISMAIL RACHDAOUI – GRT5 2013
  • 27. On va choisir l’option ‘Local user Manager’.  NB : il faut désactiver le srveur DHCP du point d’accès utilisé au niveau du LAN, car l’affectaton des adresses sera prise en charge par Pfsence. Puis on sauvgarde la configuration.  Activation du DHCP à l’interface LAN : o Sur la console de Pfsense chosir l’option 1 ‘Set Interface ip address’. o Puis vous choisissez l’interface LAN, et vous continuer comme ci-dessous Vous saisissez l’adresse IP (ici c’est 192.168.2.1) , le Mask (ici c’est 24), ‘y’ pour activer DHCP et finalement le pool DHCP (ici c’est 192.168.2.2 - 192.168.2.254). Voilà c’est tout ! votre portail captif est prêt à être utiliser. Si un client tente de se connecter à votre point d’accès, il aura l’impression qu’il est connecter à internet mais une fois il ouvre son navigateur il sera redériger vers une page d’authentification comme celle-ci : 26 ISMAIL RACHDAOUI – GRT5 2013
  • 28. N’oubliez pas que c’est une configuration très basique du portail captif, il ya plein d’options à découvrir … VII. Conclusion : Pfsence permet plein d’autres options comme le routage, IP sec, traffic shaping … etc, mais on va se limiter à ce point là. Je vous invite à lire le livre ‘The Definitive Guide to the pfSense Open-Source Firewall and Router’ de Christopher M. Buechler et Jim Pingle. 27 ISMAIL RACHDAOUI – GRT5 2013