Académique Documents
Professionnel Documents
Culture Documents
Suivi du document :
Mai 2012 : Version 0.1 Installation et paramtrages de Pfsense avec les rgles sur les ports et le filtrage squid
Page 1
2)
1.2)
3)
4)
5)
6)
Page 2
Une fois l'image grave, on boot sur le CD et on arrive aux menus suivants :
Page 3
Tapez la lettre I pour lancer l'installation (sinon on boot sur le live-cd Pfsense mais on ne l'installe pas)
Page 4
Tapez Entre
Page 5
Page 6
Le temps de chargement des divers paramtres du systme dexploitation peut tre long, mais on
arrive ensuite lcran suivant :
Il est demand sil y a des VLANs configurer. Ici, rpondre non ( adapter selon votre cas bien
videmment)
Ensuite, il va falloir paramtrer les cartes rseaux afin de correctement les attribuer. Le nommage
des diffrentes cartes tant parfois peu explicite, je vous conseille de prparer les cbles rseaux
connecter (au moins ceux du rseau local (LAN) et celui reli la box Internet (WAN)).
En effet, PfSense pourra vous dtecter automatiquement la bonne carte si vous branchez le cble au
moment opportun.
Par contre, ne branchez pas les cbles avant quon vous le demande !!
On arrive donc lcran suivant :
Page 7
Tapez a pour dclencher la dtection automatique (attention, le clavier est srement en qwerty !!).
Branchez le cble qui sera reli au WAN (Pfsense vous dira quil voit un lien sactiver (up)) puis validez
par Entre . Rptez lopration pour le cble LAN (et les ventuels autres).
Une fois la configuration des cartes effectue, on arrive un cran qui rcapitule les diffrentes
cartes rseau et leur association :
Page 8
Tapez 2 puis Entre .Choisissez ensuite le numro associ la carte LAN et validez finalement
par Entre
Une fois ladresse IP et le masque de sous-rseau renseigns, il vous est demand si vous vous voulez
remettre le configurateur web en http (il est en https dorigine).Rpondre y (contrairement la
capture dcran) car n peut poser quelques soucis avec les configurations ultrieures.
NB : Il est possible de paramtrer galement le(s) autre(s) carte(s) rseaux mais nous le ferons depuis
linterface web.
Page 9
Page 10
Renseignez le nouveau mot de passe sur les deux lignes surlignes. Confirmez en cliquant sur Save .
Ensuite, il faut se rendre dans longlet System/Advanced et cocher la case suivante (en bas de la
page), ce qui permettra dactiver la connexion via SSH au pare feu :
Page 11
Dans cet onglet, renseignez ladresse IP (avec ladresse IP publique de votre fournisseur daccs) avec
son masque de sous-rseau et ladresse de la passerelle (cliquez sur add a new one ). Validez bien
en cliquant sur Save
Enfin, il est ncessaire de paramtrer les DNS du fournisseur daccs. Pour cela, se rendre dans
longlet : System/General Setup
Page 12
Renseignez le hostname (nom donn la machine), le(s) serveur(s) DNS ainsi que la Time Zone (qui
permettra de synchroniser le pare-feu avec un serveur de temps).
Vous pouvez galement renseigner le domaine (pas obligatoire) mais en vitant de mettre local .
Validez en cliquant sur Save
NB : Sur cet onglet, vous avez la possibilit de changer le thme des pages de configuration de
pfsense.
Page 13
Page 14
Page 15
Cochez la case surligne pour dsactiver la rgle. Validez en cliquant sur Save .
Ensuite, il faudra crer une rgle qui bloque tout. En effet, comme cela, tout le trafic ne rpondant
pas une rgle dfinie dans pfsense sera automatiquement bloqu par cette rgle-ci.
Il est donc impratif de positionner cette rgle en dernire position sur la liste de toutes les rgles.
Cliquez donc sur le bouton +
Page 16
Page 17
Vous trouverez donc pour vous aider, une liste des ports utiles au sein dun EPL en annexe :
Page 18
Page 19
Si vous souhaitez uniquement bloquer tout le temps laccs facebook, vous pouvez passer
directement au chapitre suivant : Rgle pour le blocage de laccs https Facebook
Page 20
Dans cet exemple, un calendrier nomm horaires_cours va tre cr. En cliquant sur Add Time ,
une plage horaire, allant de minuit 12h15, les lundis, mardis, mercredis, jeudis et vendredis, sera
cre.
Il va falloir dfinir ici toutes les plages horaires pendant lesquelles laccs Facebook sera bloqu.
Calendrier pour Facebook autoris les mercredis aprs-midi (de 12h15 19h), les lundis, mardis et
jeudis de 12h15 13h30, les lundis et jeudis de 17h30 18h et les mardis de 17h30 19h.
Page 21
Une fois toutes les plages horaires dfinies, cliquez sur Save pour enregistrer votre calendrier. Il
ne reste plus dsormais qu dfinir la rgle pour bloquer laccs.
2.2.3) Rgle pour le blocage de laccs https Facebook
Enfin, il faut crer une rgle associe cet alias. Pour cela, se rendre dans Firewall/Rules, puis cliquer
sur le + . La rgle doit alors avoir les caractristiques suivantes :
Page 22
Leffet de Schedule est dactiver la rgle pendant les plages horaires dfinis (ici horaires_cours) et
de la dsactiver hors de ces horaires.
Page 23
Ensuite, de la mme manire, il vous sera possible de crer des rgles en fonction des besoins de
communications entre plusieurs LAN (serveur web, partage de fichiers, dimprimantes,)
3) Le filtrage Internet
Il est ncessaire de tracer toutes les communications vers lInternet au sein des tablissements, et
pour cela, il va falloir installer des paquets additionnels pfsense. Pour cela, il faut se rendre dans
longlet System/Package Manager.
Page 24
Page 25
Page 26
Paramtres modifier pour configurer le filtre proxy. La blacklist de luniversit de Toulouse sera
utilise. Son adresse pour pfsense est la suivante:
ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz
Ensuite, se rendre dans longlet Blacklist . La blacklist sera tlcharge afin dtre intgre
pfsense :
Page 27
laccs aux sites Internet directement avec les adresses IP sera bloqu
les moteurs de recherche ne retourneront pas de rsultats pour certains types de
recherches
les demandes daccs (autorises ou non) seront journalises.
Ensuite, en cliquant sur la flche verte, le dtail des diffrentes catgories de la blacklist sera
accessible :
Page 28
Cliquez sur Apply et attendez que le service passe de Started Stopped (et vice-versa)
Michel Bonnefond Version 0.1 du document
Page 29
Afin de pouvoir dfinir des rgles de filtrages en fonction des horaires, il convient tout dabord de
dfinir la ou les plages horaires. Pour cela, se rendre dans longlet Times , puis cliquez sur le
bouton + afin dajouter une plage horaire :
Une fois la plage horaire dfinie, se rendre dans longlet Groups ACL . Cliquez sur le + pour
crer une nouvelle ACL pour des rgles de filtrages.
Il faudra dfinir les rgles de filtrage qui sappliqueront pendant les horaires dfinis prcdemment
et celles qui sappliquent en dehors.
Page 30
Page 31
Page 32
Pour une question de pratique, se connecter laide du logiciel WinSCP (tlchargeable sur la page
suivante http://winscp.net/eng/download.php ).
Copiez le fichier depuis pfsense sur votre poste. Ainsi, vous pourrez faire une copie de sauvegarde du
fichier dorigine afin de commencer les modifications.
NB : Il est possible de modifier le fichier directement depuis le logiciel WinSCP.
Il est possible de modifier de nombreux paramtres, mais, afin dafficher une page sans les codes
erreurs, le fichier a t modifi de la manire suivante :
Page 33
IMPORTANT : une fois votre page correctement configure, faites une copie de sauvegarde du fichier
sgerror.php. En effet, lors des mises jour de squid et/ou squidguard, la mise jour remplace le
fichier par le fichier dorigine !
Sous pfsense, il nexiste pas de possibilit par dfaut pour mettre jour la blacklist (si ce nest se
rendre manuellement dans longlet Proxy Filter/Blacklist et cliquer sur le bouton download). Afin
dautomatiser la mise jour, il est ncessaire deffectuer quelques paramtrages.
Tout dabord, lorsque Pfsense met jour la blacklist, il cre un script dans le dossier tmp. Il va falloir
rcuprer ce script. Pour cela, laide de WinSCP, copier le fichier squidGuard_blacklist_update.sh
dans un dossier (il a t choisi de le copier dans le dossier etc, il est tout fait possible de le copier
ailleurs voir de crer un dossier).
Une fois le fichier copi, rajoutez les lignes ci-dessous dans le fichier /cf/conf/config.xml :
Page 34
Lignes ajouter pour la mise jour automatique de la blacklist (ces lignes dfinissent en fait
lexcution du script copie dans le dossier etc tous les jours 23h30)
4) Les VPNs
4.1) VPN entre un pare-feu Pfsense et un pare-feu ipcop
Une documentation permettant la mise en place dun VPN entre un ipcop et un pfsense existe dj.
Elle est accessible en Annexe 2
NB : Bien que cette mthode soit parfaitement fonctionnelle, une mthode base de certificats
serait plus scurise. Des tests sont en cours afin de permettre une telle mthode. Si ceux-ci
aboutissent, la documentation sera mise jour.
Page 35
Page 36
ANNEXES
Annexe 1 : Liste des ports utiliss au sein dun rseau
Ports & Protocoles
Services
TCP : 80
TCP : 110
POP3
TCP : 25
SMTP
TCP : 443
HTTPS
SSH
FTP
NNTP
TCP : 143
IMAP
NTP
TCP : 510
FirstClass
TCP : 81
TCP : 1717
TCP : 1494
Luciole
UDP : 10000
Magellan
TCP : 264
Prisme / EPICEA
TCP : 256
Prisme / EPICEA
TCP : 709
Prisme / EPICEA
UDP : 2746
Prisme / EPICEA
TCP : 389
Webcache
tproxy
Checkpoint
DNS
Proxy Squid
TCP : 1863
MSN Messenger
TCP: 1495
Citrix
TCP: 2598
Citrix
Page 37
Page 38
Page 39
Page 40
Page 41
Page 42
Page 43