Académique Documents
Professionnel Documents
Culture Documents
Guide PfSense
http://drtic.educagri.fr/
Mai 2010
1 Installation de la PfSense
Schma de principe
Avant tout, voici le schma gnral de linstallation mis en place pour cette documentation (bien entendu, toutes
les adresses IP sont adapter) :
Pralable
Avoir prpar le PC contenant 1, 2, 3 ou 4 cartes rseau en fonction de la configuration choisie.
Il est rappel que les diffrentes interfaces d'un Firewall ne doivent pas tre connectes au mme rseau
physique ou alors uniquement sur des ports appartenant des VLAN 802.1q diffrents.
Nous considrons galement que votre connexion internet est de type ADSL ou SDSL et qu'elle se fait l'aide
d'un Routeur Ethernet, ce qui est la majorit des cas dans les tablissements.
Relevez quelques paramtres clefs comme l'adresse IP publique que vous allez utiliser pour la carte WAN de
votre PfSense, ainsi que les IP que vous utiliserez pour vos diffrentes interfaces locales.
Installation
Tlchargez la dernire version stable dans la rubrique download du site PfSense
http://www.pfsense.org/
Le mirroir franais qui permet
http://pfsense.bol2riz.com/downloads/
de
tlcharger
la
dernire
version
de
pfSense
Ensuite vient la configuration des interfaces rseau. Choisissez quelle interface sera le LAN et l'autre le WAN.
A la question enter the Lan interface name or a for auto-detection: , tapez a . Ne faites pas Entrer
pour le moment, mais branchez votre cble rseau sur votre carte rseau destine au LAN (dans notre exemple :
lnc0). Ensuite, vous pouvez faire Entrer . Faites de mme pour la carte rseau qui sera relie au WAN (dans
notre exemple lnc1) :
Nous allons voir en dtail comment se dcompose l'installation de pfSense (le choix faire est celui surlign en
bleu)
Le changement de confiiguration du clavier en franais ne fonctionne pas, la modification pourra tre faite
aprs linstallation.
Choisissez le disque dur sur lequel vous souhaitez installer votre pfSense :
Si ncessaire, nous allons voir comment formater le disque dur, pour cela allez sur Format this Disk , sinon
vous pouvez sauter l'tape en allant sur Skip this step :
Ici allez directement Use this geometry , Format ad0 , puis Partition Disk :
Vous pouvez ici soit garder la taille de la partition (par dfaut il utilisera tout le disque dur), ou bien lui dfinir
une taille. Allez ensuite sur Accept and Create , Yes partition ad0 , puis OK:
Slectionnez la partition sur laquelle installer pfSense, faites OK, puis Accept and Create pour tablir le
Swap :
Nous allons maintenant crer le "BOOT" du disque dur. Cela va permettre de dmarrer la machine directement
sur pfSense.
Faites Accept and install Bootblocks , OK et Uniprocessor kernel :
A la fin de linstallation de pfSense, vous pouvez retirer le CD et redmarrer la machine en allant sur reboot
2 Configuration de la PfSense
PfSense est en marche. Nous allons maintenant passer la configuration.
Dans ce chapitre, nous configurons titre d'exemple la machine Master-pfSense du schma de principe.
Pour avoir le clavier franais, taper 8) shell puis kbdcontrol l fr.iso.kbd
Pour une configuration permanente, il faudra placer la ligne dans le service shellcmd quil est possible
dajouter partir des packages disponibles.
Ensuite, il faut changer l'IP sur la carte rseau LAN (rseau admin) de pfSense. Pour cela, dans le menu, tapez
le choix 2 ( Set LAN IP address ). Entrez l'adresse IP correspondante votre LAN ainsi que le masque (24 en
gnral) :
Aprs avoir configur les cartes rseau, vous devriez avoir une toile prs du nom des interfaces, indiquant la
bonne connexion des cbles rseau.
10
11
Nous allons maintenant configurer linterface WAN. Slectionnez le SelectedType Static , ladresse IP de
la carte WAN (en direction dinternet)
IP : 80.80.80.33
Dcochez les deux cases block tout en bas :
Vrifiez ensuite la configuration de la carte LAN qui doit tre correcte puis faire NEXT.
Pour finir, modifier votre mot de passe pour laccs pfSense, faites NEXT, puis RELOAD, et relancez ensuite
votre navigateur :
12
Une fois linterface graphique de pfSense charge, branchez physiquement votre carte rseau relie au rseau
Pedago.
Allez longlet Interfaces , puis assign , et cliquez sur la case + droite.
Slectionnez la carte rseau correspondant la nouvelle interface OPT1 et pour finir, cliquez sur Save .
Ensuite retournez sur longlet Interface , puis OPT1 , et configurez linterface :
Il est possible de la mme manire dajouter dautres interfaces pour des rseaux supplmentaires comme une
zone wifi, une zone DMZ, une zone
Installation de Slave-pfSense
Nous venons de raliser au chapitre prcdent l'installation du Firewall Master-pfSense.
Pour linstallation de Slave-pfSense, le principe est le mme.
Reprenez les tapes dcrites au chapitre 1 traitant de linstallation.
13
Configuration de Slave-pfSense
Nous passons ensuite directement la configuration :
Connectez une machine sur la carte rseau de pfSense (ct LAN : rseau Admin).
Entrez http://10.21.203.254 (dans notre cas) dans votre navigateur Web.
Entrez ensuite le login (par dfaut admin, mdp : pfsense).
Au premier cran, faites NEXT.
Tapez ici le nom de la machine, le domaine et l'IP du DNS:
14
15
Faites de mme pour les configurations des cartes WAN, LAN (elle doit tre normalement bien configure) et
Pedago, en ladaptant selon le paramtrage de votre rseau :
16
Interface : WAN.
Local subnet : LAN subnet (sous rseau LAN de Master-pfSense).
Remote subnet : 10.21.203.0/24 (sous rseau LAN de Slave-pfSense).
Remote gateway : 8.80.81.33 (@IP WAN Slave-pfSense).
Description : Ici votre description, par exemple Tunnel Master-Slave pfSense.
Longlet SAD permet de vrifier le bon fonctionnement du tunnel aprs avoir tent un ping sur une machine
du rseau distant.
17
4 Rgles du Firewall
La logique de fonctionnement du pare-feu peut diffrer suivant les objectifs de ladministrateur rseau de
ltablissement. Dans le cas o la simplicit de mise en place est recherche, il est possible dautoriser tous les
ports en sortie pour les protocoles TCP et UDP pour la navigation vers Internet. Pour un fonctionnement plus
sr et mieux maitris, seuls les ports ncessaires seront ouverts. Il sera alors ncessaire de faire linventaire
exhaustif de tous les services ncessaires, ce qui reprsente un travail important.
Les rgles permettent de mettre en place les diffrents services autoriss sur chaque interface.
Il est possible dautoriser tout le trafic en sortie dans le cas o les contraintes douverture de ports
La logique de cration consiste les crer sur linterface qui reprsente la source du traffic. Par exemple pour la
navigation sur internet dun poste du LAN sur le port 80, le trafic part du poste puis passe par linterface LAN
avant de sortir par linterface Wan. La rgle permettant ce service sera crite sur linterface LAN.
Pour crer une rgle, il suffit de cliquer sur Firewall -> Rules, puis sur longlet voulu par exemple LAN.
Trafic Internet
Pour naviguer sur Internet, il faudra crer les rgles de base pour les ports 53 (DNS), 80 (http), 443 (HTTPS),
21 (FTP). Le protocole ICMP permettra dutiliser la commande Ping pour des tests de certaines adresses IP.
Par la suite, il sera certainement ncessaire dajouter des ports correspondants aux autres services ncessaires
( serveur de messagerie, FirstClass, Nocia, .). Ce point sera abord dans un document annexe indpendant, le
travail de configuration des ports nest pas spcifique Pfsense.
Aprs avoir dclar les ports ouverts pour la zone admin (LAN), il sera ncessaire de faire la mme chose pour
la zone PEDAGO (OPT1) en modifiant la liste des ports pour ladapter aux ncessits de la zone pdagogique.
Laccs aux serveurs de messagerie, FirsClass, nocia ne sera peut-tre pas ncessaire alors que laccs
MSN pourra ltre.
18
Pour autoriser laccs depuis lextrieur, il est ncessaire de mentionner les ports ouvrir suivant les services
concerns. Ainsi, laccs depuis des clients nomades OpenVpn, le port 1194 devra tre ouvert pour linterface
WAN vers le rseau Admin.
19
Pour autoriser des accs de la zone LAN du site principal vers le site distant, il sera ncessaire dajouter des
ports dans la zone LAN de la Master pfsense et dans la zone IPSEC de la Slave Pfsense. Ce sens de
communication est assez rarement utilis, il est donc prfrable de ne le configurer quen cas de ncessit.
20
Aprs linstallation longlet InstalledPackages permet de vrifier que les deux modules sont bien installs.
21
Configuration de squid
Cliquer sur Services Proxy server.
Dans longlet Gnral, configurer les options suivantes :
Proxy interface : PEDAGO (dans notre cas). Pour slectionner plusieurs interfaces utiliser la touche control
Allow user on interface : valider.
Transparent proxy : valider.
Log store directory : /var/log : dossier contenant dj les autres logs.
Proxy port : 3128 : port classique pour proxy.
Language : French
Configuration de squidGuard
Cliquer sur Services Proxy filter.
Enable : valider.
Blacklist : valider.
Blacklist url : http://www.shallalist.de/Downloads/shallalist.tar.gz
Actuellement, les listes de luniversit de Toulouse ne fonctionnent pas correctement avec la pfSense.
Cliquer ensuite sur sauvegarder puis sur Upload url pour charger la blacklist.
22
Not to allow IP addresses in URL : cocher si vous souhaitez interdire les adresses IP tapes directement
dans lURL.
Redirect mode : laisser loption par dfaut int error page
Redirect info : entrer un message derreur personnalis, par exemple Accs interdit, contacter votre
administrateur
Enable log : cocher la case pour enregistrer lactivit du service
Cliquer enfin sur Save pour enregistrer la configuration. A noter quil faut galement cliquer sur Apply
au niveau de longlet General settings pour mettre en uvre les options paramtres .
23
7 Annexe 1
Schma vierge :
24
25