Mise en place Pare feu (Pfsense) - Stage.pdf · 2020. 6. 6. · PFSENSE, un routeur/ Pare-feu de la...
Transcript of Mise en place Pare feu (Pfsense) - Stage.pdf · 2020. 6. 6. · PFSENSE, un routeur/ Pare-feu de la...
17/05/2019
Mise en place Pare feu (Pfsense) Stage de première année
Soudaissi Bacar
Sommaire :
I) Présentation Pfsense
II) Installation et configuration de base Pfsense
1- Présentation de Pfsense
2- Lancement de l’installation
3- Installation post-reboot
4- Terminer l’installation via l’interface
web
I) Présentation Pfsense
PFSENSE, un routeur/ Pare-feu de la distribution FreeBSD
OpenSource, permettant de sécuriser le réseau d’un département du
monde externe, il est considéré comme un fournisseur de service
comme exemple le serveur de temps NTDP, un relais DNS, il peut
distribuer des adresses Ip via le protocole DHCP. De plus, c’est un
routeur permettant de relier le Réseau WAN au réseau LAN. Il
implémente des protocoles de routage tels que : RIP, OLSR, BGP.
- Son atout est la mise en place de VPN’s : OpenVPN, IPSEC, PPTP.
Par ailleurs, le firewall est capable de traduire des adresses : NAT,
SNAT, DNAT. Capable de filtrer les paquets entre deux réseaux (Soit
WAN et LAN) et même entre deux départements reliés en VPN.
Ainsi, il permet de faire du load balancing entre plusieurs connexions
Internet.
II) Installation et configuration de base
Pfsense
L’installation de pfSense se fait via son CD, très léger. Il ne vous faudra qu’une
dizaine de minutes pour effectuer l’installation !
J’ai créé une machine virtuelle sur Proxmox, de type « KVM ».
Voici la configuration de la machine :
Explications
• 512Mo de RAM est suffisant pour avoir un pfSense fiable et rapide –
l’allocation dans Proxmox est dynamique, la VM peut utiliser jusqu’à 1
Go de mémoire. Avec un peu de supervision, un pfSense « supportant »
400 visites par jour (sans robots) utilise 200Mo de RAM… !
• L’espace disque est de 15 Go, ce qui laisse de la place pour stocker des
logs.
• Il y a deux cartes réseaux sur cette VM :
o La première carte (net0) est la carte qui accèdera à l’internet
o La seconde carte (net1) est le lien vers le « LAN » (fictif)
1- Lancement de l’installation
Le démarrage de l’ISO se fait très rapidement – pfSense se base sur FreeBSD, il
n’y a que le strict minimum dans le noyau pour faire fonctionner le système.
Au démarrage, l’ISO va automatiquement démarrer sur l’option n°2 (Boot
Single User). S’en suit le chargement de tous les modules du noyau, nécessaires
pour le fonctionnement du système.
Une nouvelle option va devoir être choisie rapidement :
• Démarrer le mode « recovery » si votre pfSense est HS
• Lancer l’installation
Par défaut, c’est l’option « installer » qui va s’initier. Vous pouvez appuyer sur
la touche « i » pour passer ce menu.
Vous noterez ici que l’assistant d’installation détecte bien les deux cartes
réseaux, qui sont nommées « em0 » et « em1 ».
Un premier menu va s’afficher, pour personnaliser la police d’écriture de la
console, le keymap du clavier (Azerty ou Qwerty ou Dvorak et autres…)
Je n’ai pas modifié les configurations ici, tout est laissé par défaut – clavier
Qwerty, police d’écriture par défaut et taille de la console aussi par défaut ; vous
pouvez donc continuer l’installation en cliquant sur « Accept these settings« .
L’installation va enfin pouvoir s’effectuer !
Appuyez sur la touche « Entrée » du clavier sur l’option « Quick/Easy install »
pour pouvoir installer pfSense sur votre disque dur.
L’installation se fait rapidement, pfSense est une distribution légère.
Un nouveau choix va alors se mettre à vous : le choix du kernel.
Le « Standard Kernel » est celui sélectionné par défaut – c’est le plus simple à
utiliser.
En effet, le second kernel (Embedded kernel) ne dispose pas d’accès à la
console, tout doit se faire via SSH / cli, je ne sais même pas si vous avez accès à
l’interface web avec ce kernel… Donc pour éviter les problèmes, il vaut mieux
continuer d’utiliser le « Standard Kernel ».
Après quelques minutes, pfSense sera intégralement installé, il faut
obligatoirement redémarrer votre machine.
2- Installation post-reboot
L’accès LAN de pfSense se fera via l’ip « https://192.168.1.1 » – Il n’y a pas
encore de DHCP, alors n’oubliez pas d’attribuer une IP fixe sur votre machine
cliente qui aura l’accès à l’interface web de pfSense.
Les identifiants par défaut sont « admin » et le mot de passe « pfsense » – ces
informations pourront être modifiées ultérieurement, dans l’interface web.
Après le premier redémarrage, bien entendu, ne retournez pas sur le fichier .ISO.
Vous risquez d’être bloqué pendant quelques minutes sur le panneau ci-dessous
:
« Configuring WAN interface… » > votre interface vers l’internet essaie
d’obtenir une IP, via DHCP – Or, si vous êtes chez un hébergeur type Online.net
ou OVH, il n’y a pas de DHCP sur le réseau… Donc vous ne pourrez pas
obtenir d’IP sur votre partie « WAN » – vous comprendrez pourquoi un peu plus
loin dans la documentation.
Vous voilà maintenant sur la console principale de pfSense > il s’agit d’un menu
vous donnant accès à certaines options pour configurer votre routeur/pare-feu. Il
est possible de tout configurer via ligne de commandes, mais prenez 2 semaines
de congés pour tout configurer… Fort heureusement, il y a une interface web à
disposition, sur l’interface LAN !
3- Terminer l’installation via l’interface web
A partir de ce point, votre pfSense est installé et fonctionnel. Toutefois, il ne
peut pas distribuer l’accès internet, ni d’adressage IP pour vos postes bref… La
configuration n’est donc pas du tout terminée.
Dans un premier temps, mettez une adresse IP fixe à votre machine cliente –
celle qui se connectera sur le pfSense côté LAN. Via votre navigateur, il faut
saisir l’ip par défaut de pfSense, soit « 192.168.1.1 » :
Pour rappel, les identifiants de base post-installation sont « admin » pour le
compte utilisateur et « pfsense » pour le mot de passe. Il est bien entendu
possible de modifier ce mot de passe un peu plus tard dans la configuration de
pfSense.
Si vous perdez ce mot de passe, vous pourrez le réinitialiser directement via la
console pfSense.
Une fois la connexion établie, la première fenêtre est une mise en bouche – en
cliquant sur le bouton « next », vous lancerez l’assistant d’installation. Si vous
ne souhaitez pas utiliser cet utilitaire, il faut cliquer sur le logo pfSense en haut à
gauche de la page web pour arriver directement sur l’index de l’interface web.
Prochaine étape, l’acquisition d’un support « gold » – depuis la mise à jour 2.3
de pfSense, vous pouvez souscrire dès l’installation à un support (une licence)
intitulée « Gold ». Comme nous sommes bons, pas besoin d’avoir ce support –
de plus, il est facile de trouver des articles pour résoudre les quelques problèmes
qui peuvent surgir dans la distribution.
La fenêtre peut être passée rapidement en cliquant sur le bouton bleu « Next ».
Les premières informations à saisir concernent :
• Le nom de la machine (alias le nom de votre pfSense)
• Le nom du domaine
• Les serveurs DNS utilisés aussi bien pour le côté WAN que LAN.
A vous de saisir vos serveurs DNS favoris. La case « Allow DNS servers to be
[…] » est facultative – elle vous permet d’écraser votre configuration de serveur
DNS si des serveurs DNS de votre FAI/Hébergeur répondent sur votre « WAN
».
L’étape ci-dessous est importante, il s’agit de l’heure et de la date de votre
routeur.
Réglez correctement les informations dans cette partie – si votre pfSense n’est
pas à l’heure ou à la bonne date où vous êtes, vous risquez d’avoir des difficultés
pour aller sur le net et naviguer sur les sites web. Puisque mon serveur est en
France, j’ai donc mis les paramètres correspondant au méridien européen pour
Paris. L’heure et la date seront synchronisés sur un serveur de temps (serveur
NTP). Par défaut, ce sont les serveurs NTP de l’équipe de développement de
pfSense qui répondent – libre à vous de modifier l’option et de mettre le serveur
de votre choix. Vous ne pouvez pas mettre deux serveurs NTP.
Une nouvelle phase importante ci-dessous : la configuration de l’interface «
WAN ».
Il ne faut pas vous tromper dans cette configuration, sans quoi vous ne pourrez
pas accéder à internet dans vos VM – de même que pfSense n’aura pas non plus
d’accès internet.
L’attribut « MAC Address » doit être modifié : il faut y saisir l’adresse MAC
virtuelle qui vous a été fournie par votre hébergeur. Les autres paramètres ne
doivent pas être modifiés, vous pouvez les laisser par défaut.
Vous devrez aussi entrer l’adresse IP Failover dans cette partie, avec un masque
de sous-réseau en « /32 » un peu plus bas dans la même fenêtre.
Les plus grosses configurations sont maintenant effectuées ! Pour que toutes les
modifications puissent être prise en compte et activé, il faut lancer le
redémarrage de pfSense – en cliquant sur « click here to continue on pfSense
webConfigurator« , votre machine va redémarrer automatiquement.
pfSense est dès à présent installé et configuré dans un environnement « de base
» – le principal, c’est l’accès à l’internet dans pfSense, dans un premier temps. Il
faut toutefois mettre en place le NAT pour que vos machines virtuelles dans le
LAN privé puisse avoir l’accès à l’internet…