TP8 Firewall PFSENSE v5

2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia
INSTITUT SUPERIEUR DES ETUDES TECHNOLOGIQUES DE CHARGUIA
TRAVAUX PRATIQUES 8 – INSTALLATION & CONFIGURATION D’UN FIREWALL

PFSENSE
Enseignantes : Mouna SKOURI - Anissa BHAR Année Universitaire : 2022 - 2023
Objectifs
PfSense est un routeur/pare-feu open source basé sur le système d’exploitation

FreeBSD dont le but est d’assurer la sécurité périmétrique d’un réseau.
Dans cet atelier, nous allons voir commenter installer et configurer pfSense sous
VirtualBox.
Ainsi, les principaux objectifs de ce TP sont :

 Mise en place de PFSENSE
 Configuration PFSENSE
 Création des zones
Plan du réseau
MSM | Atelier Sécurité des Réseaux 1

Partie I : Installation & Configuration de base de PfSense
1. Téléchargement de PFSENSE
https://www.pfsense.org/download/
2. Création de la machine virtuelle pour PFSENSE

Lancez Oracle VM VirtualBox et cliquez sur Nouvelle :
 Nom : pfSense
 Type : BSD
 Version : FreeBSD (64-bit)
 Taille de la mémoire : 2024 Mo (1Go suffit amplement)
 Disque dur
o Cochez : Créer un disque virtuel maintenant
o Type de fichier : VDI (Image Disque VirtuelBox)
o Stockage : Dynamiquement alloué
o Choisir l’emplacement du fichier
o Choisir la taille de votre disque dur virtuel : 16 Go
 Créer
Maintenant que la machine virtuelle est créée, nous allons procéder à la configuration.
 Cliquez sur Configuration (Menu : Machine / Configuration)
 Réseau
o Carte 1 : Activer la carte réseau
 Mode d’accès réseau : Accès par pont (WAN)
 Nom : Ethernet (Realtek PCIe….) , ou carte Wifi
 Avancé :
 Type de carte : Intel PRO/1000 MT Desktop
 Mode Promiscuité : Tout autoriser
 Stockage
o Sous le contrôleur IDE (vide) : Sélectionner l’ISO pfSense
 Démarrer
3. Activation des interfaces LAN et DMZ de PFSENSE
En plus de l’interface WAN que nous venons de créer, nous avons besoin de deux
autres interfaces : une pour le LAN et une pour la DMZ.

Aussi, il faudrait ajouter deux autres adaptateurs comme suit :

Pour le LAN Pour la DMZ
Réseau Réseau
o Carte 2 : Activer la carte réseau o Carte 3 : Activer la carte réseau
 Mode d’accès réseau : réseau  Mode d’accès réseau : réseau
Interne Interne
 Nom : LAN  Nom : DMZ
 Avancé :  Avancé :
 Type de carte : Intel  Type de carte : Intel
PRO/1000 MT Desktop PRO/1000 MT Desktop
 Mode Promiscuité : Tout  Mode Promiscuité : Tout
autoriser autoriser
4. Installation de PFSENSE
1. Après démarrage de la machine virtuelle, acceptez la licence en appuyant sur

Entrée de votre clavier.
2. La page pfSense Installer s’affiche : appuyez sur Entrée pour accepter la licence
3. Sélectionner la langue :
 Avec les flèches clavier, cherchez : French
 Appuyez sur Entrée pour valider le choix
 Montez d’un cran pour sélectionnez Continue with fr.iso.kbd keymap et
Entrée
4. Partitionnement : Auto (ZFS) puis Entrée
5. La page pfSense Installer s’affiche : appuyez sur Entrée pour accepter la licence
6. Laissez stripe « Stripe – No Redundancy »
7. Entrée

8. Presser la touche Espace pour sélectionner le disque puis Entée.
9. Sélectionner < YES > avec les flèches de votre clavier puis Entrée.
10. Attendez l’installation

11. Laisser < No > puis Entrée.
12. Touche Entrée pour redémmarrer.

PfSense risque de rebooter encore via l’ISO. Donc, éjectez l’ISO depuis le menu
Périphériques (Devices) avant le redémarrage.
13. Redémarrer la VM depuis le menu : Machine >> Redémarrer
14. Nous allons maintenant utiliser l’option 1 pour assigner les interfaces et l’option
2 pour configurer le réseau.
5. Assignation des interfaces
Tapez 1 puis Entrée :
Should VLANs be set up now [y|n]? n <Entrée>

Remarque : si les interfaces (em0, em1, em2) ne remontent pas, recommencer.
Interface WAN :
Remarque : le clavier est en QWERTY, la lettre « m » c’est la touche « ,? »
Enter the WAN interface name or 'a' for auto-detection (em0 or a) : em0 <Entrée>
Interface LAN :
Enter the LAN interface name or 'a' for auto-detection (em1 em2 a or nothing if
finished) : em1 <Entrée>
Interface DMZ :
Enter the Optional 1 interface name or 'a' for auto-detection (em2 a or nothing if
finished) : em2 <Entrée>

Do you want to proceed [y|n]: y <Entrée>
6. Configuration IP
Nous allons maintenant procéder à la configuration réseau pour chaque interface.

Commençons par l’interface WAN.
6.1. Configuration de l’interface WAN
Choisissez l’option 2 pour Set Interface(s) IP address <Entrée>

Interface WAN : 1 <Entrée>
Enter the number of the interface you wish to configure: 1 <Entrée>

Configure IPv4 address WAN interface via DHCP? (y/n) n <Entrée>
Enter the new WAN IPv4 address. Press <ENTER> for none:
> 192.168.1.100 <Entrée>
Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new WAN IPv4 subnet bit count (1 to 31):

> 24 <Entrée>
For a WAN, enter the new WAN IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
> 192.168.1.1 <Entrée>
Configure IPv6 address WAN interface via DHCP6? (y/n) n <Entrée>

Enter the new WAN IPv6 address. Press <ENTER> for none:
> <Entrée>
Do you want to revert to HTTP as the webConfigurator protocol? (y/n) y

<Entrée>
Please wait while the changes are saved to WAN...
Reloading filter...
Reloading routing configuration...
DHCPD...
Restarting webConfigurator...
The IPv4 address has been set to 192.168.1.100/24
Press <ENTER> to continue. <Entrée>
Remarque : La passerelle de notre interface WAN sera l’adresse de la passerelle de

notre réseau hôte (le réseau réel auquel appartient notre machine physique). Aussi,
l’interface WAN de pfsense devra avoir une adresse IP dans le même réseau que la
passerelle. Dans notre cas, nous supposons que notre passerelle possède l’adresse
192.168.1.1/24. Cette valeur pourrait varier d’un cas à un autre.
6.2. Configuration de l’interface LAN

Configuration réseau pour l’interface LAN.

Interface LAN : 2 <Entrée>

Enter the new LAN IPv4 address. Press <ENTER> for none:
> 192.168.2.1 <Entrée>
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new LAN IPv4 subnet bit count (1 to 31):

> 24 <Entrée>
For a WAN, enter the new LAN IPv4 upstream gateway address.


> <Entrée>
Enter the new LAN IPv6 address. Press <ENTER> for none:
> <Entrée>
Do you want to enable DHCP server on LAN? (y/n) n <Entrée>
Please wait while the changes are saved to LAN...
Reloading filter...
DHCPD...
The IPv4 LAN address has been set to 192.168.2.1/24
You can now access the web Configurator by opening the following URL in
your web browser:
http://192.168.2.1
Press <ENTER> to Continue. <Entrée>
 L’interface web de pfSense est maintenant accessible à l’adresse

http://192.168.2.1/
 ID de connexion par défaut :

 user : admin
 password : pfsense
6.3. Configuration de l’interface DMZ (OPT1)

Interface (OPT1) DMZ : 3 <Entrée>

Enter the new OPT1 IPv4 address. Press <ENTER> for none:
> 172.16.1.1 <Entrée>
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new OPT1 IPv4 subnet bit count (1 to 31):

> 16 <Entrée>
For a WAN, enter the new OPT1 IPv4 upstream gateway address.
> <Entrée>

Enter the new OPT1 IPv6 address. Press <ENTER> for none:
> <Entrée>
Do you want to enable DHCP server on OPT1? (y/n) n <Entrée>

Please wait while the changes are saved to OPT1...
Reloading filter...
DHCPD...
The IPv4 OPT1 address has been set to 172.16.1.1/16

Press <ENTER> to Continue. <Entrée>
Ainsi, nous aurons nos trois interfaces : WAN, LAN et DMZ (opt1).

Partie II : Paramétrage de PfSense & Tests
7. Configuration des machines de tests
Avant de procéder à la phase de test, il faut configurer les 2 machines Ubuntu qui vont
représenter respectivement la zone LAN et la zone DMZ.
7.1. Configuration des adresses IP
La machine Ubuntu 1 sera reliée à l’interface LAN du firewall PfSense. Aussi, elle
devra avoir une adresse IP du même réseau que cette dernière. On lui affectera, donc,
l’adresse IP 192.168.2.2/24. Elle aura comme passerelle 192.168.1.1.
De même, la machine Ubuntu 2 sera reliée à l’interface DMZ de PfSense. On lui

affectera, donc, l’adresse IP 172.16.1.2/16. Elle aura comme passerelle 172.16.1.1.
7.2. Configuration des cartes réseau
Les cartes réseau de ces deux machines virtuelles seront configurés comme suit :
192.168.2.2 (Machine LAN) 172.16.1.2 (Machine DMZ)
Réseau Réseau
o Carte 1 : Activer la carte réseau o Carte 1 : Activer la carte réseau
 Mode d’accès réseau : réseau  Mode d’accès réseau : réseau
Interne Interne
 Nom : LAN  Nom : DMZ
 Avancé :  Avancé :
 Type de carte : Intel  Type de carte : Intel
PRO/1000 MT Desktop PRO/1000 MT Desktop
 Mode Promiscuité : Tout  Mode Promiscuité : Tout
autoriser autoriser

A partir de ce moment, nous pouvons tester la connectivité du firewall avec ces deux
zones privées LAN et DMZ comme le montre les images suivantes :
 Ping du firewall vers la machine Ubuntu de la zone LAN (192.168.2.2)
 Ping du firewall vers la machine Ubuntu de la zone DMZ (172.16.1.2)

8. Accès à l’interface Web de PfSense
Pour paramétrer et administrer le firewall, le plus facile est d’accéder au

WebConfigurator à travers son interface Web. Cette dernière offre une interface
conviviale pour l’administration de PfSense.
Pour cela, à partir de la machine LAN 192.168.2.2, il suffit d’utiliser le navigateur en

demandant l’adresse 192.168.2.1. Pour la première connexion il suffit d’utiliser les
paramètres par défaut :
 user : admin
 password : pfsense
Après authentification, nous aurons accès à la page d’accueil de PfSense :

En parcourant le tableau de bord de PfSense, nous pouvons vérifier la création de nos

3 interfaces WAN, LAN et OPT1 (DMZ).
9. Ajout de règles de filtrage
Pour cette partie, nous voulons ajouter les règles suivantes :
 Accepter tout le trafic venant du LAN vers le WAN,

 Accepter le trafic web (HTTP et HTTPS) du LAN vers un serveur Web installé
dans DMZ,
 Accepter le trafic DNS et Web allant de la DNS vers le WAN,
 Accepter le trafic web (HTTP et HTTPS) du WAN vers un serveur Web installé
dans DMZ,
 Tout le reste sera refusé.
Remarques :
 L’ordre d’écriture des règles est très important. En effet, une règle écrite en
premier sera testée avant les autres.
 PfSense prend en considération 3 types d’action sur les règles :

 Reject : Un message de retour est envoyé à la source pour l’informer que
son message est refusé
 Block : Le firewell détruit le paquet sans retour vers la source
 Pass : Accepte le paquet

TP8 Firewall PFSENSE v5

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

TP8 Firewall PFSENSE v5

Transféré par

Droits d'auteur :

Formats disponibles

2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

INSTITUT SUPERIEUR DES ETUDES TECHNOLOGIQUES DE CHARGUIA

TRAVAUX PRATIQUES 8 – INSTALLATION & CONFIGURATION D’UN FIREWALL

Enseignantes : Mouna SKOURI - Anissa BHAR Année Universitaire : 2022 - 2023

PfSense est un routeur/pare-feu open source basé sur le système d’exploitation

Ainsi, les principaux objectifs de ce TP sont :

MSM | Atelier Sécurité des Réseaux 1

Partie I : Installation & Configuration de base de PfSense

2. Création de la machine virtuelle pour PFSENSE

 Cliquez sur Configuration (Menu : Machine / Configuration)

3. Activation des interfaces LAN et DMZ de PFSENSE

MSM | Atelier Sécurité des Réseaux 2

Aussi, il faudrait ajouter deux autres adaptateurs comme suit :

1. Après démarrage de la machine virtuelle, acceptez la licence en appuyant sur

MSM | Atelier Sécurité des Réseaux 3

8. Presser la touche Espace pour sélectionner le disque puis Entée.

10. Attendez l’installation

MSM | Atelier Sécurité des Réseaux 4

11. Laisser < No > puis Entrée.

12. Touche Entrée pour redémmarrer.

13. Redémarrer la VM depuis le menu : Machine >> Redémarrer

5. Assignation des interfaces

Tapez 1 puis Entrée :

Should VLANs be set up now [y|n]? n <Entrée>

MSM | Atelier Sécurité des Réseaux 5

Remarque : si les interfaces (em0, em1, em2) ne remontent pas, recommencer.

MSM | Atelier Sécurité des Réseaux 6

Do you want to proceed [y|n]: y <Entrée>

Nous allons maintenant procéder à la configuration réseau pour chaque interface.

6.1. Configuration de l’interface WAN

Choisissez l’option 2 pour Set Interface(s) IP address <Entrée>

Enter the number of the interface you wish to configure: 1 <Entrée>

Enter the new WAN IPv4 subnet bit count (1 to 31):

MSM | Atelier Sécurité des Réseaux 7

Configure IPv6 address WAN interface via DHCP6? (y/n) n <Entrée>

Do you want to revert to HTTP as the webConfigurator protocol? (y/n) y

Remarque : La passerelle de notre interface WAN sera l’adresse de la passerelle de

6.2. Configuration de l’interface LAN

Choisissez l’option 2 pour Set Interface(s) IP address <Entrée>

Enter the number of the interface you wish to configure: 2 <Entrée>

Enter the new LAN IPv4 subnet bit count (1 to 31):

MSM | Atelier Sécurité des Réseaux 8

For a LAN, press <ENTER> for none:

 L’interface web de pfSense est maintenant accessible à l’adresse

 ID de connexion par défaut :

6.3. Configuration de l’interface DMZ (OPT1)

Choisissez l’option 2 pour Set Interface(s) IP address <Entrée>

Enter the number of the interface you wish to configure: 3 <Entrée>

Enter the new OPT1 IPv4 subnet bit count (1 to 31):

MSM | Atelier Sécurité des Réseaux 9

Do you want to enable DHCP server on OPT1? (y/n) n <Entrée>

The IPv4 OPT1 address has been set to 172.16.1.1/16

MSM | Atelier Sécurité des Réseaux 10

Partie II : Paramétrage de PfSense & Tests

7. Configuration des machines de tests

7.1. Configuration des adresses IP

De même, la machine Ubuntu 2 sera reliée à l’interface DMZ de PfSense. On lui

7.2. Configuration des cartes réseau

MSM | Atelier Sécurité des Réseaux 11

 Ping du firewall vers la machine Ubuntu de la zone LAN (192.168.2.2)

 Ping du firewall vers la machine Ubuntu de la zone DMZ (172.16.1.2)

MSM | Atelier Sécurité des Réseaux 12

8. Accès à l’interface Web de PfSense

Pour paramétrer et administrer le firewall, le plus facile est d’accéder au