Académique Documents
Professionnel Documents
Culture Documents
Nous allons tout d'abord configur notre PfSense de sorte a que l'on puisse acceder internet
travers lui.
SHEMA DU RESEAU
Configuration de Pfsense :
Afin de simplifier la configuration, je fonctionnerai toujours de la mme manire pour accder
chacunes des modifications :
Tout d'abord l'onglet de la barre de menu principale > Puis l'une des catgories de cet onglet > puis
si il existe, l'onglet dans la page de cette catgorie > puis le sous-titre si besoin est (qui est toujours
sur fond rouge) de cet onglet
Pour le Reboot :
1/13
Diagnostics > Reboot
Yes
Configuration des interfaces LAN et WAN :
Tout d'abord vous pouvez rassigner une interface la carte reseau que vous voulez :
Interfaces > (assign) :
Il suffit de choisir quelle adresse MAC serra assigner a quelle interface (pour connaitre l'adresse
mac d'une carte reseau vous pouvez la voir sur la carte reseau en elle meme (physique) ou en
commande via shell)
Configuration de l'interface WAN qui pourra par la suite nous faire acceder internet :
Interfaces > WAN :
Enable : Cocher
Description : WAN
On met l'interface en statique car il nous faut une ip fixe afin de cre la route statique entre le
modem et le pfsense:
IPv4 Configuration Type : Static IPv4
IPv6 Configuration Type : None
Ipv4 address : 192.168.0.10 /24
La passerelle qui permet d'indiquer le modem:
IPv4 Upstream Gateway : GTORANGE - 192.168.0.1
L'ip par defaut du modem est soit 192.168.0.1 ou 192.168.1.1 cela depend des FAI.
add a new one :
Default gateway : Cocher
Gateway name : GTORANGE
Gateway IPv4 : 192.168.0.1
Description : Gateway modem ORANGE
Save Gateway
Block private networks : Uncheck
Block private network va bloquer les adresses ip local sur l'interface WAN ce qui est inutile dans
notre cas car on passe du WAN au modem via une adresse ip local.
Block bogon network : Uncheck
Save puis Apply changes
2/13
Comme le DHCP (ce qui permet de distribuer des adresse du sous reseau automatiquement) n'est
pas modifier et est donc rest en 192.168.1.1, il ne parviendra pas a distribuer l'adresse ip a notre
pc connecter au LAN, il nous faut donc configur manuellement notre ip voir Page "Problme de
connexion a l'interface admin".
Modification gnrale des paramtres du systme :
Bloquer tout le traffic IPv6 sur le Firewall car nous en avons pas besoin :
Pour avoir de meilleur performance lorsque l'on utilisera le systme de fichier ufs avec squid :
System > Advanced > System Tunables :
Editer vfs.read_max : value 128
Save
3/13
A ce stade vous devriez pouvoir accder a internet depuis votre pc.
Si oui poursuivez ce tutoriel, sinon trouvez la panne avant de poursuivre.
Pour le WAN :
Firewall > Rules > WAN :
Pour le LAN : Supprimer la rgle de base "Default allow LAN Ipv6 to any rule"
4/13
Modification du serveur DHCP :
Configuration du DNS :
Host Overrides :
Host Domain IP Description
fiberius pref 192.168.2.1 portail captif
Save
Nous avons configur le PfSense afin d'avoir un accs internet coupl un parefeux.
Maintenant il nous reste a mettre en place le portail captif avec un serveur proxy avec ses diffrents
outils de "supervision".
Service > Captive Portal > Edit captiveportal > Captive portal(s)
Cocher Enable captive portal
Interfaces : LAN
Idle timeout : 30 minutes (temps d'inactivit de l'utilisateur avant qu'il soit dconnect)
Hard timeout : 180 minutes ( temps de connexion maximal de l'utilisateur avant dconnexion
automatique, l'utilisateur devra se r-authentifier)
Logout popup window : Cocher (cela va afficher une fentre popup de dconnexion l'utilisateur
5/13
lors de sa connexion au portail afin qu'il puisse se dconnecter quand il le souhaite, il faut
autoriser au navigateur la fentre popup en question sinon elle n'aparaitra pas)
Concurrent user logins : Cocher (Evite que l'on puisse se connecter avec le mme compte sur
plusieurs postes)
Authentication : Cocher Local User Manager / Vouchers
Cocher allow only user/groups ...
HTTPS login : Cocher Enable HTTPS login (Cela permet d'avoir un portail scuris lors de la
connexion et donc d'evit la rcupration des login/motdepasse via un moyen quelconque)
HTTPS server name : fiberius.pref
SSL Certificate : webConfigurator default
Portal page contents : fichier importer : captiveportal_fiberius.html (voir doc technique pour plus
de prcision)
Authentication error page contents : fichier importer : capiveportal-fiberius-error.html
Logout page contents : fichier importer : capiveportal-fiberius-logout.html
Save
captiveportal-bas.png
captiveportal-icon.png
Lors de l'ajout d'une image, captiveportal- est ajout automatiquement devant le nom de l'image
moins que captiveportal- sois deja existant dans le dbut du nom de l'image.
Puis Sauvegardez.
Lorsque vous voudrez accder a une page internet, le portail captif suivant devrai s'afficher :
6/13
Ajout du Widget "Captive Portal Status" :
Ce Widget permet d'avoir un aperu dans le menu principal des utilisateurs connect au portail.
Cliquez sur PfSense en haut a gauche pour revenir sur le menu principal, puis juste en dessous du
titre "Status: Dashboard" cliquez sur le petit + pour ajouter un widget et selectionnez "Captive
portal Status", vous pouvez le deplacer la ou vous le souhaitez puis cliquez sur "Save Settings".
Utilisateur et Groupe :
Add group :
Group name : portail
Descritpion : Portail Captif
Save
7/13
Cration des utilisateurs :
Tout les utilisateur qui auront accs au portail captif auront toujours cette forme d'identifiant :
prenom.nom
Ajouter un utilisateur via "add user" :
Username : prenom.nom
password : ********
********
Full name : Prnom NOM
Groupe Memberships :
Member Of :
Portail
Save
Une fois que le portail fonctionne correctement, nous allons mettre en place un proxy transparent
qui va enregistr en cache les page les plus visit afin de facilit la rapidit d'accs au page internet.
Configuration de squid :
8/13
Services > Proxy Server > Cache Mgmt :
Hard disk cache size : 3000
Hard disk cache system : ufs
Hard disk cache location : /var/squid/cache
Memory cache size : 1500
Save
Test de Squid :
Vous devriez maintenant ajouter un domain a bloquer dans la blacklist pour tester votre proxy :
Services > Proxy Server > Access Control :
Blacklist : materiel.net
Save
LightSquid permet de lire les logs de Squid et meme de voir en temp rel les statistiques.
Intaller le depuis System > Packages > Available Packages
Configuration de LightSquid :
Puis cliquez sur Refresh Now puis Refresh Full et enfin cliquez sur l'onglet LightSquid Report pour
avoir le tableau de donnes ( faite Ctrl + F5 pour actualiser la page en suprimer le cache si une
erreur s'affiche)
9/13
Mise en place d'un fitre par URL pour le proxy :
Une fois que Squid et Lightsquid fonctionne, il va nous falloir un proxy qui filtre les URL :
SquidGuard. Il fonctionne notamment grce Squid.
Configuration de SquidGuard :
C'est ici que vous pouvez faire votre propre catgorie de site web bloquer ou pas , il vous suffit
d'ajouter les url et/ou les domaine que vous souhaitez.
Ici je vais juste cre une catgorie qui ne contient aucune liste car elle est ncessaire pour faire
fonctionner Squidguard.
+ Add a new item
Name : debug_squidguard
redirect mode : int error page
description : Permet de faire fonctionner SquidGuard
Save
10/13
Services > SquidGuard Proxy > Common ACL :
Ici se trouve la blacklist que nous avons installer auparavant ainsi que la catgorie
debug_squidguard que nous venons de cr.
Cliquez sur le bouton vert pour l'afficher
Target Rules :
Cliquez sur Target Rules List:
[debug_squidguard] deny
[blk_BL_porn] deny
[blk_BL_sex_lingerie] deny
[blk_BL_spyware] deny
[blk_BL_tracker] deny
[blk_BL_violence] deny
Default access [all] allow
Do not allow IP-Adresses in URL : Uncheck Cela permet de bloquer les ip lorsque qu'elle sont
recherches directement, le problme etant que cela bloque l'accs au modem du FAI galement.
Redirect mode : int error page Cela va renvoy sur une page d'erreur qui peut tre modifier.
Log : Check
Save puis revenir sur General settings pour faire Apply
Sarg permet de lire les logs de Squidguard et meme de voir en temp rel les statistiques.
Il a les memes fonctionalites que LightSquid sauf qu'il donne galement des informations de
SquidGuard mais ne possede pas de section Big File comme peut le proposer LightSquid ainsin
qu'une section par mois et anne
Intaller le depuis System > Packages > Available Packages
Configuration de Sarg :
11/13
Date Format : European dd/mm/yy
Report Charset : UTF-8(default)
Save
C'est vous de choisir entre Sarg ou LightSquid, ils ont tout 2 les mmes fonctions a quelques
diffrences prs.
Le seul problme que je ne peux rsoudre a ce jour c'est d'avoir le nom de l'utilisateur s'etant
connecter sur le portail, directement sur les rapports lightsquid ou sarg car les username qu'on nous
propose d'afficher sont ceux de squid dans l'onglet Local Users que l'on ne peut pas utiliser car c'est
des authentifications de serveur proxy et plus de portail captif.
En cas de litige par exemple, sachant que nous avons seulement les ip dans les rapports, la solution
est de regarder la date du rapport contenant le problme avec l'ip et de la comparer avec la date de
connexion des utilisateurs sur le portail en allant dans:
Status > System logs > Portal Auth :
Par exemple :
Feb 17 08:04:43 logportalauth[42728]: Zone: fiberius LOGIN: test.test, e1:d3:d5:b2:a5:ff, 192.168.2.11
Ici ont sait que l'utilisateur qui avait l'ip 192.168.2.11 et qui est all sur un site illgal par exemple
est l'utilisateur test.test et avait l'adresse mac e1:d3:d5:b2:a5:ff et qu'il s'est connecter le Feb 17 08:04:43.
Les packages ne donne pas assez de prcision sur l'heure precise la connexion au site, en cas de
12/13
problme on peut utiliser la mthode brute pour obtenir cette information :
Il faut acceder au fichier log de squid : /var/squid/logs/access.log
et ensuite chercher le site illgal, une fois trouver, on regarde l'IP puis la date qui est en seconde
passe depuis 1970 (par exemple si vous avez 1455699588.634 , prenez ce nombre et copier/coller
le sur ce site internet qui va convertir ce nombre de secondes en une date: http://www.timestamp.fr/)
13/13