17/05/2019

Mise en place Pare feu (Pfsense) Stage de première année

Soudaissi Bacar

Sommaire :

I) Présentation Pfsense

II) Installation et configuration de base Pfsense

1- Présentation de Pfsense

2- Lancement de l’installation

3- Installation post-reboot

4- Terminer l’installation via l’interface

web

I) Présentation Pfsense

PFSENSE, un routeur/ Pare-feu de la distribution FreeBSD

OpenSource, permettant de sécuriser le réseau d’un département du

monde externe, il est considéré comme un fournisseur de service

comme exemple le serveur de temps NTDP, un relais DNS, il peut

distribuer des adresses Ip via le protocole DHCP. De plus, c’est un

routeur permettant de relier le Réseau WAN au réseau LAN. Il

implémente des protocoles de routage tels que : RIP, OLSR, BGP.

- Son atout est la mise en place de VPN’s : OpenVPN, IPSEC, PPTP.

Par ailleurs, le firewall est capable de traduire des adresses : NAT,

SNAT, DNAT. Capable de filtrer les paquets entre deux réseaux (Soit

WAN et LAN) et même entre deux départements reliés en VPN.

Ainsi, il permet de faire du load balancing entre plusieurs connexions

Internet.

II) Installation et configuration de base

Pfsense

L’installation de pfSense se fait via son CD, très léger. Il ne vous faudra qu’une

dizaine de minutes pour effectuer l’installation !

J’ai créé une machine virtuelle sur Proxmox, de type « KVM ».

Voici la configuration de la machine :

Explications

• 512Mo de RAM est suffisant pour avoir un pfSense fiable et rapide –

l’allocation dans Proxmox est dynamique, la VM peut utiliser jusqu’à 1

Go de mémoire. Avec un peu de supervision, un pfSense « supportant »

400 visites par jour (sans robots) utilise 200Mo de RAM… !

• L’espace disque est de 15 Go, ce qui laisse de la place pour stocker des

logs.

• Il y a deux cartes réseaux sur cette VM :

o La première carte (net0) est la carte qui accèdera à l’internet

o La seconde carte (net1) est le lien vers le « LAN » (fictif)

1- Lancement de l’installation

Le démarrage de l’ISO se fait très rapidement – pfSense se base sur FreeBSD, il

n’y a que le strict minimum dans le noyau pour faire fonctionner le système.

Au démarrage, l’ISO va automatiquement démarrer sur l’option n°2 (Boot

Single User). S’en suit le chargement de tous les modules du noyau, nécessaires

pour le fonctionnement du système.

Une nouvelle option va devoir être choisie rapidement :

• Démarrer le mode « recovery » si votre pfSense est HS

• Lancer l’installation

Par défaut, c’est l’option « installer » qui va s’initier. Vous pouvez appuyer sur

la touche « i » pour passer ce menu.

Vous noterez ici que l’assistant d’installation détecte bien les deux cartes

réseaux, qui sont nommées « em0 » et « em1 ».

Un premier menu va s’afficher, pour personnaliser la police d’écriture de la

console, le keymap du clavier (Azerty ou Qwerty ou Dvorak et autres…)

Je n’ai pas modifié les configurations ici, tout est laissé par défaut – clavier

Qwerty, police d’écriture par défaut et taille de la console aussi par défaut ; vous

pouvez donc continuer l’installation en cliquant sur « Accept these settings« .

L’installation va enfin pouvoir s’effectuer !

Appuyez sur la touche « Entrée » du clavier sur l’option « Quick/Easy install »

pour pouvoir installer pfSense sur votre disque dur.

L’installation se fait rapidement, pfSense est une distribution légère.

Un nouveau choix va alors se mettre à vous : le choix du kernel.

Le « Standard Kernel » est celui sélectionné par défaut – c’est le plus simple à

utiliser.

En effet, le second kernel (Embedded kernel) ne dispose pas d’accès à la

console, tout doit se faire via SSH / cli, je ne sais même pas si vous avez accès à

l’interface web avec ce kernel… Donc pour éviter les problèmes, il vaut mieux

continuer d’utiliser le « Standard Kernel ».

Après quelques minutes, pfSense sera intégralement installé, il faut

obligatoirement redémarrer votre machine.

2- Installation post-reboot

L’accès LAN de pfSense se fera via l’ip « https://192.168.1.1 » – Il n’y a pas

encore de DHCP, alors n’oubliez pas d’attribuer une IP fixe sur votre machine

cliente qui aura l’accès à l’interface web de pfSense.

Les identifiants par défaut sont « admin » et le mot de passe « pfsense » – ces

informations pourront être modifiées ultérieurement, dans l’interface web.

Après le premier redémarrage, bien entendu, ne retournez pas sur le fichier .ISO.

Vous risquez d’être bloqué pendant quelques minutes sur le panneau ci-dessous

:

« Configuring WAN interface… » > votre interface vers l’internet essaie

d’obtenir une IP, via DHCP – Or, si vous êtes chez un hébergeur type Online.net

ou OVH, il n’y a pas de DHCP sur le réseau… Donc vous ne pourrez pas

obtenir d’IP sur votre partie « WAN » – vous comprendrez pourquoi un peu plus

loin dans la documentation.

Vous voilà maintenant sur la console principale de pfSense > il s’agit d’un menu

vous donnant accès à certaines options pour configurer votre routeur/pare-feu. Il

est possible de tout configurer via ligne de commandes, mais prenez 2 semaines

de congés pour tout configurer… Fort heureusement, il y a une interface web à

disposition, sur l’interface LAN !

3- Terminer l’installation via l’interface web

A partir de ce point, votre pfSense est installé et fonctionnel. Toutefois, il ne

peut pas distribuer l’accès internet, ni d’adressage IP pour vos postes bref… La

configuration n’est donc pas du tout terminée.

Dans un premier temps, mettez une adresse IP fixe à votre machine cliente –

celle qui se connectera sur le pfSense côté LAN. Via votre navigateur, il faut

saisir l’ip par défaut de pfSense, soit « 192.168.1.1 » :

Pour rappel, les identifiants de base post-installation sont « admin » pour le

compte utilisateur et « pfsense » pour le mot de passe. Il est bien entendu

possible de modifier ce mot de passe un peu plus tard dans la configuration de

pfSense.

Si vous perdez ce mot de passe, vous pourrez le réinitialiser directement via la

console pfSense.

Une fois la connexion établie, la première fenêtre est une mise en bouche – en

cliquant sur le bouton « next », vous lancerez l’assistant d’installation. Si vous

ne souhaitez pas utiliser cet utilitaire, il faut cliquer sur le logo pfSense en haut à

gauche de la page web pour arriver directement sur l’index de l’interface web.

Prochaine étape, l’acquisition d’un support « gold » – depuis la mise à jour 2.3

de pfSense, vous pouvez souscrire dès l’installation à un support (une licence)

intitulée « Gold ». Comme nous sommes bons, pas besoin d’avoir ce support –

de plus, il est facile de trouver des articles pour résoudre les quelques problèmes

qui peuvent surgir dans la distribution.

La fenêtre peut être passée rapidement en cliquant sur le bouton bleu « Next ».

Les premières informations à saisir concernent :

• Le nom de la machine (alias le nom de votre pfSense)

• Le nom du domaine

• Les serveurs DNS utilisés aussi bien pour le côté WAN que LAN.

A vous de saisir vos serveurs DNS favoris. La case « Allow DNS servers to be

[…] » est facultative – elle vous permet d’écraser votre configuration de serveur

DNS si des serveurs DNS de votre FAI/Hébergeur répondent sur votre « WAN

».

L’étape ci-dessous est importante, il s’agit de l’heure et de la date de votre

routeur.

Réglez correctement les informations dans cette partie – si votre pfSense n’est

pas à l’heure ou à la bonne date où vous êtes, vous risquez d’avoir des difficultés

pour aller sur le net et naviguer sur les sites web. Puisque mon serveur est en

France, j’ai donc mis les paramètres correspondant au méridien européen pour

Paris. L’heure et la date seront synchronisés sur un serveur de temps (serveur

NTP). Par défaut, ce sont les serveurs NTP de l’équipe de développement de

pfSense qui répondent – libre à vous de modifier l’option et de mettre le serveur

de votre choix. Vous ne pouvez pas mettre deux serveurs NTP.

Une nouvelle phase importante ci-dessous : la configuration de l’interface «

WAN ».

Il ne faut pas vous tromper dans cette configuration, sans quoi vous ne pourrez

pas accéder à internet dans vos VM – de même que pfSense n’aura pas non plus

d’accès internet.

L’attribut « MAC Address » doit être modifié : il faut y saisir l’adresse MAC

virtuelle qui vous a été fournie par votre hébergeur. Les autres paramètres ne

doivent pas être modifiés, vous pouvez les laisser par défaut.

Vous devrez aussi entrer l’adresse IP Failover dans cette partie, avec un masque

de sous-réseau en « /32 » un peu plus bas dans la même fenêtre.

Les plus grosses configurations sont maintenant effectuées ! Pour que toutes les

modifications puissent être prise en compte et activé, il faut lancer le

redémarrage de pfSense – en cliquant sur « click here to continue on pfSense

webConfigurator« , votre machine va redémarrer automatiquement.

pfSense est dès à présent installé et configuré dans un environnement « de base

» – le principal, c’est l’accès à l’internet dans pfSense, dans un premier temps. Il

faut toutefois mettre en place le NAT pour que vos machines virtuelles dans le

LAN privé puisse avoir l’accès à l’internet…