Hajjaji Yassine

BTS SIO OPTION SISR

SESSION 2017/2019

Projet N°1

MISE en place du serveur Pfsense

 Sommaire :
Contexte.......................................................................................2
Qu’est-ce qu’un Pare-feu ?............................................................2
Pourquoi Pfsense ?........................................................................3
Matériels.....................................................................................3
Adressage du serveur..................................................................3
Objectifs......................................................................................3
Prérequis....................................................................................3
Solution de virtualisation du serveur :
Qu’est ce Proxmox ?......................................................................4
La machine au sein de cet environnement......................................4
Installation de la machine.......................................................................5

Configuration du serveur en interface WEB.............................................6

Le routing......................................................................................7
Package sur pfsense.....................................................................8
Création de VLAN..........................................................................8
Configuration interface..................................................................9
Problème survenu lors de l’ajout des règles..............................10-11

Configuration du Firewall :

Mettre en place les règles de filtrages.....................................11-12

Les Aliases...................................................................................13

Serveur DHCP........................................................................................14

Gestion des utilisateurs.........................................................................15

Schéma concernant l’intégration de notre solution à l’infrastructure. . .16

1
contexte : Présentation de l’activité
La société ITIS FORMATION souhaite développer la sécurité de son infrastructure afin
garantir une protection contre toutes failles pouvant nuire à leurs données.
L’entreprise veut mettre en place une solution lui permettant de faire respecter la
politique de sécurité du réseau, celle-ci définissant quels sont les types de
communications autorisés sur ce réseau informatique. Il surveille et contrôle les
applications et les flux de données.
Afin de répondre à ce besoin l’entreprise m’a confié la réalisation de ce projet, j’ai fait
appel à une solution de pare-feu nommé PFSENSE .

Qu’est-ce qu’un Pare-feu ?

Un pare-feu (firewall en anglais), est un matériel ou logiciel servant d'interface entre un

ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des
paquets de données, en analysant les informations contenues dans les couches 3, 4 et 7
du modèle OSI. Il s'agit donc d'une machine comportant au minimum deux interfaces
réseau :

 Une interface pour réseau interne

 Une interface pour le réseau externe

Qu’est ce Pfsense ?
PfSense est une distribution open-source basé sur FreeBSD (license BSD) utilisé
principalement pour transformer un pc en pare-feu. PfSense ne fait pas seulement
office de firewall et de routeur, PfSense offre une multitude de fonctionnalités
intéressantes comme par exemple :
 Pare-feu (sa fonction primaire) qui est le même que celui utilisé par la
distribution FreeBSD (à savoir PacketFilter).
 Table d'état qui contient les informations sur les connexions réseaux.
 Traduction d'adresses réseaux (NAT) ce qui permet de joindre une machine
située sur le LAN à partir de l'extérieur.
 VPN pour sécuriser les données transitant sur le réseau.
 Serveur DHCP qui permet de distribuer automatiquement une configuration
IP aux équipements présents sur le réseau.
 Serveur DNS (statique ou dynamique) qui permet de communiquer avec les
autres périphériques présents sur le réseau grâce à leurs adresses IP.
 Portail captif qui permet de forcer l'authentification, ou la redirection vers une
page pour l'accès au réseau.
A noter qu'il possède d'autres fonctionnalités, mais ce sont les principales.

2
  Matériels :
 Serveur Dell PowerEDGE R710.
 Hyperviseur Proxmox.
 Machine virtuelle du serveur PfSense version 2.4.4.
 Machine cliente windows 7.
 Vlans existant sur le switch Cisco SG300-28P 28-Port.

 Adressage du serveur :
Nom du serveur Fw-master
Adresse IP 192.168.10.200
Passerelle 192.168.10.254
Masque sous-réseaux 255.255.255.0
Vlan 3099

 Objectifs :

 Création d’une VM sur l’hyperviseur Proxmox.

 Installation de Pfsense sur une machine virtuelle.
 Configuration des cartes réseaux du serveur.
 Configurer le routage.
 Attribuer pour chaque interface réseau un Vlan.
 Mettre en place les règles de filtrage.

 Prérequis :
La solution Pfsense nécéssite un serveur disposant d’au moins deux cartes réseaux.
Une pour l’interface LAN du côté du réseau local et l’autre pour l’interface WAN du
côté du réseau relié à internet.
 Interface WAN : VMBR0.
 Interface LAN : VMBR2=lien Trunk.

La procédure va s’appuyer sur des Vlans existant fournit par le switch Cisco SG300-28P
28-Port.

vlan 110 3099 1100 3010 3011 3020 3030 3070

Nom du Salle Adminis- Cluster- Client- Client- Privee Public JuryE4

vlan 10 tration proxmox sisr slam

3
SOLUTION de virtualisation :
Qu’Est ce Proxmox ?

ProxMox VE - Virtual Environnement - est un hyperviseur permettant la gestion de

machines virtuelles (KVM) et conteneurs Linux (LXC) sur une seule machine physique. Les
ressources (CPU, mémoire, disques, etc.) sont alors partagées entre les différentes VM.
C'est un logiciel libre sous licence AGP.
La gestion des VM s'effectue simplement à travers un navigateur web permettant l'accès
console ou graphique à chaque VM, le contrôle de ses ressources, etc. Le système est
basé sur la distribution Debian GNU/Linux. Les machines virtuelles peuvent être en 32 ou
64 bits, Windows, GN/Linux et autres.
Plusieurs machines physiques peuvent être jumelées en grappe pour créer un
"datacenter" et offrir la haute disponibilité avec la possibilité de déplacer à chaud une
VM d'un serveur physique à un autre, de gérer la sauvegarde des VM, de les cloner, etc.
Le soutien technique commercial payant est disponible en option.

La machine au sein de cet environnement :

Proxmox2 : 10.0.10.3 :8006

ID Machine : 100

Il est très important d’attribuer les bonnes cartes réseaux, en effet dans ce cas on a net0
est sur le vmbr2 qui est un lien trunk qui doit être associer au vlan administration=3099
(interface Lan) et permettant de faire transiter l’ensemble des vlans.
Concernant la carte net1 qui détient le vmbr 0, elle est associée au vlan salle10=110
(Interface wan).

4
Installation de la machine :
Lors du premier lancement de l’iso de Pfsense, la première page à s’afficher est celle-ci,
appuyer sur boot multi user puis poursuivre l’ensemble de la configuration basique :

On dispose de deux cartes réseau chaque carte correpond à celle qu’on a pu mettre en
place pour notre machine virtuelle .

 L’interface LAN va correspondre à Vtnet0

 L’interface WAN va correspondre à Em0
On attribue les Vlans pour les deux interfaces LAN et WAN ainsi que l’adresse IP :

5
Configuration du serveur en interface WEB :
L’interface graphique est maintenant accessible via l’IP du LAN .
 http://192.168.10.200

Les identifiant par défaut sont donc :

 Nom d'utilisateur : admin

 Mot de passe : pfsense

On va commencer par configurer le domaine ainsi que le DNS pour le serveur :

6
Le routing :
Pour que notre routeur PfSense puisse distribuer l’internet dans votre LAN, il faut au
préalable qu’il puisse lui-même accéder à l’internet. Pour ce faire, il faut saisir les routes :

Notre serveur à un accès à internet on peut réaliser un test en utilisant un ping de

(youtube.com) :

7
Package sur Pfsense :
On a maintenant la possibilité de pouvoir télécharger des packages qui ont pour but
d’enrichir notre serveur avec de nouvelles fonctionnalités.

Création de VLAN :
On va procéder à la création de l’ensemble des vlans qu’on souhaite administrer grâce à
notre routeur.
le vlan salle 10 (Wan) appartient à l’interface Em0.
Concernant le reste des vlans on les intégreront en sous-interface au lien trunk qui est
présent sur l’interface Vtnet0 (interface Lan).

8
Configuration d’interface :
On doit saisir l’ensemble des informations correspondant à l’interface sans oublier
d’activer l’interface (Enable) :

L’ensemble de nos interfaces sont présentes.

9
Problème survenu lors de l’ajout des règles :
Etant donnée qu’il n’y avait aucune règle de présente sur la rubrique RULES toute les
règles étaient bloquées par défaut, il y avait une erreur qui nous empêchait d’ajouter de
nouvelles règles.
L’affichage de ce message d’erreur :

La solution est de changer une partie du code où l’erreur était présente, j’ai accédé au
fichier (pfsense-utils.inc) afin d’intervenir sur la ligne 2805 grâce à outils (WinSCP) en
connexion SSH (ne pas oublier d’activer le SSH sur Pfsense) :

Fichier à modifier :

10
Après la correction de la partie du code, j’ai redémarré la machine de pfsense et
maintenant il est possible d’ajouter des règles sans aucun soucis :

Configuration Firewall :
Mise en place de règles :
Par défaut, on trouvera avec pfSense un trafic totalement bloqué sur l'interface WAN et
un trafic entièrement autorisé sur le LAN. Il ne faut cependant pas toucher aux règles sur
l'interface WAN, du moins seulement pour autoriser un accès à un trafic entrant via un
VPN ou pour une DMZ par exemple.

11
Etant donné que tout est autorisé en termes de trafic sur le réseau interne, il est
judicieux de mettre en place une règle qui bloque tout le trafic puis créer des règles qui
autorisent un à un les protocoles ou les ports.

Création de règle :
Lors de notre manipulation pour créer une règles plusieurs possibilités s’offre à nous.
En effet la règle peut être dans le but d’une des trois actions :
 Bloquer
 Autoriser
 Rejeter
Dès que notre choix d’action, on peut spécifier le protocole qu’on souhaite attribuer à la
règle (TCP,UDP,ICMP,IPV6. . .).
Par la suite on peut désigner une source et une destination ainsi que le port de
destination (HTTP,HTTPS ,DNS,SSH,LDAP. )

12
Précaution du système Pfsense :
Pfsense dispose d’une règle sur l’interface LAN qu’on ne peut pas supprimer, elle permet
à l’utilisateur d’avoir un accès à l’interface graphique même en bloquant tout trafic sur
l’interface.

Aliases :

L'intérêt de créer des alias ici est d'identifier clairement un ensemble d’adresses réseaux
que nous pouvons attribuer à une règle, un ensemble de port qu’on souhaite affecter à
une règle, ainsi lorsque nous créerons des règles, cela sera plus aisé et clair de nous y
retrouver.

Exemple :

On a créé un ALIAS regroupant 3 ports (HTTP, HTTPS, DNS) afin d’autoriser un accès à
internet.

L’utilisation de cet alias nous permet d’éviter de créer plusieurs règles.

13
La Fonction DHCP :
Le serveur PfSense peut également fournir le service DHCP à une interface. Le serveur
DHCP permet de distribuer des paramètres IP automatiquement aux hôtes présents sur
le réseau, cela permet de gagner du temps, d’éviter certaine problématique et de
paramétrer directement les hôtes avec par exemple un DNS spécifique à utiliser.

Activation du service :
On a choisi de mettre en place le serveur DHCP pour l’interface Public afin de permettre
une attribution automatique d’IP au sein de ce VLAN.
Il faut spécifier la plage d’IP qu’on souhaite mettre en place pour le serveur DCHP.

On saisit l’ensemble des DNS que le serveur va utiliser dans cette distribution
automatique.

14
 Gestion des utilisateurs sur PfSense

On a l’ensemble des utilisateurs qu’on peut gérer au sein de notre serveur.

On peut alors renseigner le nom d’utilisateur ainsi que le mot de passe que l’on souhaite,
une fois l’utilisateur crée on peut également le mettre dans un groupe ou bien régler ses
privilèges comme celui de pouvoir s’authentifier sur le portail captif par exemple ou des
règles de filtrage en plus ou en moins.

15
 1
Lan :192.168.10.200
Wan :192.168.110.1