TP Pfsense P23

IF03 – FIREWALL PFSENSE 1
1. Présentation du LAB
Vous disposez d’un firewall virtuel Pfsense que vous administrez depuis l’un des postes de la
salle de TP.
Ce TP vous permettra de :
§ Configurer le réseau et le routage
§ Mettre en place des règles de flux
§ Mettre en place des règles de translation d’adresses
§ Configurer une topologie VPN IPSec site-site
Schéma topologique
2. Topologie
Les tableaux ci-dessous représentent le plan d’adressage de votre réseau.
Nom Réseau Gateway

WAN 10.100.0.0/16 10.100.255.254
ADMIN 10.23.202.0/24 10.23.202.254
USER 172.16.x.0/24 172.16.x.254
DMZ 10.10.20.0/24 10.10.20.254
Serveur DMZ Fonction

NameServ 10.10.20.1 Serveur dns
IntranetServ 10.10.20.2 Serveur Web Intranet
WebServ 10.10.20.3 Serveur Web public
ProxyServ 10.10.20.4 Servuer Proxy web
Remplacez « x » par le numéro de votre binôme (voir étiquette colée sur PC).
Philippe PEREIRA
Votre infrastructure est donc composée de 3 réseaux internes :

• ADMIN : réseau dédié à l’administration du SI. C’est le réseau de la salle de TP.
• DMZ : réseau dédié aux serveurs de votre SI.
• USER : réseau dédié aux utilisateurs de votre SI
Et un réseau externe « WAN » utilisé pour l’accès à internet.
1. Démarrage et prise en main du firewall
Pour accéder à votre lab, ouvrez le lien suivant depuis l’un des postes de la salle de TP :
https://dcp-vcsa.utt.fr
Cliquez sur « Lancer vsphere client » puis, identifiez-vous avec les informations suivantes :
§ Identifiant : if03@dcp.local
§ Mot de passe : Xt6hW76x%
Vos machines virtuelles sont accessibles depuis la vue « VM et Modèles » – « dcp-vcsa.utt.fr »

– « DCP » – « TP –IF03-TP-PFSENSE ».
Celles-ci sont réparties dans 4 dossiers :

§ « IF03-FW-PFSENSE » : les firewalls Pfsense des binômes 1 à 12.
§ « IF03-SERVEURS » : les serveurs « DMZ » des binômes 1 à 12.
§ « IF03-USERS » : les postes « USERS » des binômes 1 à 12.
§ « IF03-CLIENTS-EXTERNES » : 3 postes « Client externe ».
a. Mettez le firewall sous tension et ouvrez la console pour suivre le démarrage puis,
réalisez la configuration initiale.
Répondez « n » lorsqu’il vous est demandé si vous souhaitez configurer des VLANs.
Saisissez « vmx0 » comme interface WAN, c’est-à-dire, celle tournée vers Internet.
Tapez « vmx1 » pour sélectionner l’interface LAN. Celle-ci sera utilisée pour accéder à l’espace
web de configuration.
Continuez de même pour Optional 1 (vmx2) et Optional 2 (vmx3).
Philippe PEREIRA
Vérifiez que le choix est correct avant de valider.
La configuration initiale du firewall est terminée lorsque l’écran ci-dessous apparaît.
L’interface nommée « LAN » est celle qui porte le label « wmx1 » sur le schéma
d’infrastructure. Celle-ci est donc reliée au réseau d’administration qui correspond, en fait,
au réseau de la salle de TP.
Vous allez donc devoir modifier les paramètres réseau de cette interface pour pouvoir accéder
à l’interface web de configuration du FW PFSENSE depuis votre poste de travail.
Le menu affiché dans la console vous permet de réaliser quelques opérations de configuration
de base.
Tapez « 2 » puis « Entrée » pour configurer l’adresse IP des interfaces.
Tapez à nouveau « 2 » pour sélectionner l’interface « LAN ».
Philippe PEREIRA
Saisissez l’adresse IP 10.23.202.1xx puis, tapez sur « Entrée ». Exemple : B5 = 105, B10=110.
Tapez « 24 » lorsqu’il vous est demandé de saisir le masque de sous-réseau.
N’écrivez rien lorsqu’il vous est demandé de renseigner l’adresse d’une passerelle puis, tapez
sur « Entrée ».
Faites de même lorsqu’il vous est demandé de définir une adresse IPv6.
N’activez surtout pas le service DHCP sur l’interface LAN.
Lorsqu’il vous est demandé si vous voulez revenir au protocole http pour l’accès à l’interface
web, répondez « n ». Vous utiliserez https.
Ouvrez un nouvel onglet dans votre navigateur et tapez l’adresse affichée pour accéder à
l’interface web de configuration du firewall.
Le navigateur devrait afficher une alarme car le certificat SSL envoyé par le FW est autosigné.
Ne tenez pas compte de cet avertissement et continuez.
Vous devez fournir un identifiant et un mot de passe pour vous connecter :

§ Nom d’utilisateur = admin
§ Mot de passe = pfsense
Lors de la première connexion, il vous est proposé de suivre un rapide tutoriel pour vous
guider dans la prise en main de Pfsense. N’en tenez pas compte et passez directement à la
configuration des interfaces.
Vous pouvez changer le mot de passe du compte « admin » si vous le souhaitez. En cas
d’oubli, il sera possible de le réinitialiser depuis la console du FW.
Philippe PEREIRA
2. Configuration des interfaces du FW Pfsense
Cliquez sur l’onglet « Interfaces » puis sur « Assignments ».
a. Configuration de l’interface WAN (vmx0)

L’interface « WAN » est configurée automatiquement via le service DHCP du « FAI ».
Cependant, vous allez la lui attribuer une adresse IP statique.
Vous utiliserez également le menu de configuration de l’interface pour donner une

« passerelle par défaut » à votre firewall.
Cliquez sur le nom de l’interface « WAN » puis modifiez les champs suivants :
§ IPv4 Configuration Type : Static IPv4
§ IPv6 Configuration Type : None
§ IPv4 Address : 10.100.1.x /16
Cliquez sur « Add a new gateway » puis, entrez l’adresse 10.100.255.254 dans le champ
« Gateway IPv4 ». Validez en cliquant sur « Add ».
Sauvegardez puis appliquez les modifications.
Philippe PEREIRA
b. Configurez l’interface LAN (vmx1)

Ouvrez le menu de configuration de l’interface « LAN » puis :
§ Modifiez la description : « ADMIN ».
§ Vérifiez que la configuration IPv4 est en mode statique.
§ Sauvegardez.
§ Appliquez les changements.
Retournez ensuite, dans le menu « Interfaces – Assignments » pour configurer les deux
interfaces restantes :
§ OPT1 « USER »
§ OPT2 « DMZ »
c. Configuration de l’interface OPT1 (vmx2)

§ Activez l’interface en cochant la case « Enable interface ».
§ Modifiez la description : « USER ».
§ Sélectionnez le type de configuration « Static IPv4 ».
§ Saisissez l’adresse IP portée par l’interface « USER » : 172.16.x.254.
§ Masque de sous-réseau « /24 ».
§ Sauvegardez.
d. Configuration de l’interface OPT2 (vmx3)

La procédure est la même que pour OPT1 :
§ Activez l’interface.
§ Description : « DMZ ».
§ Configuration IPv4 statique.
§ IPv4 : « 10.10.20.254 » (même adresse IP pour tous).
§ Masque de sous-réseau « /24 ».
§ Sauvegardez.
Faites bien attention à la valeur du masque de sous-réseau (/32 par défaut)

Vous pouvez observer les modifications dans la console du FW.
Philippe PEREIRA
3. Vérifications de base et tests de connectivité
A présent, votre firewall à connaissance des réseaux dans lesquels ses interfaces sont
connectées. En conséquence, sa table routage est peuplée d’au moins quatre routes qui
correspondent à chacun d’entre eux. Il est donc capable d’aiguiller les paquets dont la
destination correspond à l’un ces réseaux.
Cependant, il a besoin d’une route dite « par défaut » qui est l’adresse du firewall (ou du
routeur) voisin vers qui envoyer tout le trafic dont la destination ne correspond à aucune route
connue.
Un firewall aiguille les données dans la bonne direction en s’appuyant sur le champ « adresse
IP de destination » des entêtes des paquets IP qu’il confronte à sa table de routage.
a. Vérifiez que toutes les entrées nécessaires à la mise en œuvre du routage sont
présentes
Pour afficher la table routage « Diagnostic – routes »
255.254
La passerelle par défaut « 10.100.255.254 » qui correspond au routeur du FAI, doit

apparaître comme sur la capture ci-dessus.
Vous pouvez également remarquer la présence de routes pour les 4 réseaux configurés.
§ 10.100.0.0/16
§ 10.23.202.0/24
§ 172.16.x.0/24
§ 10.10.20.0/24
Avant de poursuivre, il convient de réaliser quelques tests de connectivité.
Philippe PEREIRA
b. Faites des tests de connectivité en utilisant l’utilitaire « ping »
Dans le menu « Diagnostic – Ping ».
§ Ping 8.8.8.8 pour tester la connectivité avec internet
Résultat attendu :
Si le test échoue, vérifiez la configuration de votre interface « WAN ».
§ Faites des pings vers le 10.10.20.1 pour tester la connectivité dans le réseau « DMZ ».
Philippe PEREIRA
Retournez dans vCenter et affichez la console de la VM « If03-User-Bx » puis ouvrez le

terminal.
§ Nom d’utilisateur : « user »
§ Mot de passe : « rootd202 »
Utilisez les outils disponibles pour configurer l’interface « ens192 » en respectant les
paramètres suivants :
§ Adresse IP : « 172.16.x.1 »
§ Masque de sous-réseau : « /24 »
§ Route par défaut : « 172.16.x.254 »
Passez à l’utilisateur root en tapant la commande « su - » (mot de passe rootd202).
Attribuez une adresse IP à ens192 :

ifconfig ens192 172.16.x.1 netmask 255.255.255.0
Configurez la passerelle par défaut :

route add default gw 172.16.x.254
Vérifiez que vos commandes ont été prises en compte :

ifconfig ens192
Affichez la table de routage :

ip route
Retournez dans l’interface du firewall et faites des pings à destination du poste « User ».
Dans tous les cas, si un test échoue, vérifiez votre configuration avant de passer à l’étape
suivante.
Philippe PEREIRA
4. Désactivez provisoirement les fonctions de sécurité

Dans un premier temps, vous allez créer une règle de filtrage spécifique pour désactiver
temporairement les fonctions de sécurité. L’objectif est d’autoriser tout le trafic entrant et
sortant afin que le firewall puisse se comporter comme un simple routeur. Cette règle sera
supprimée plus tard.
Il ne faut évidemment, jamais reproduire cela dans un environnement de production.
Dans le menu « Firewall -Rules – Floating » créez une nouvelle règle en cliquant sur « Add »
puis, remplissez les champs comme sur la capture ci-dessous.
Sauvegardez puis appliquez les changements.
A présent votre FW fonctionne comme un routeur.
Réalisez quelques tests depuis le terminal du poste « User ».

Résultats attendus :
ü ping 10.10.20.1
ü ping 10.10.20.2
ü ping 172.16.X.254
Philippe PEREIRA
5. Translation d’adresses – partie théorique

Pour que les hôtes de vos réseaux privés puissent communiquer avec l’extérieur, vous allez
devoir mettre en place un mécanisme de translation d’adresses.
v Qu’est-ce que la translation d’adresses ou NAT (Network Address Translation) ?

C’est une technique pour le protocole IP qui consiste à réaliser une correspondance entre
adresses IP privées et adresses IP publiques.
Les adresses IP privées (non réservées) appartiennent aux classes A, B et C que l’on peut
utiliser sans restriction dans les réseaux privés.
§ Classe A : 10.0.0.0 à 10.255.255.255
§ Classe B : 172.16.0.0 à 172.31.255.255
§ Classe C : 192.168.1.0 à 192.168.255.255
Notez que ce modèle d’adressage par classes qui impose un masque par défaut pour chaque
adresse, est devenu obsolète et a été remplacé par un système d’adressage plus performant,
sans classe, nommé CIDR. Retenez simplement qu’une adresse IP est privée si elle appartient
à l’une de ces 3 étendues.
Ø Les adresses IP privées peuvent être utilisées indéfiniment mais elles ne peuvent pas
circuler sur internet.
Ø A l’inverse, les adresses IP publiques sont uniques sur Internet et dans le monde. Elles ne
doivent donc jamais être utilisées dans des réseaux privés.
Ces blocs ont été créés à l’origine pour palier à la pénurie croissante d’adresses IPv4
En partant de ce principe, il faut donc mettre en place un mécanisme qui consiste à remplacer,
à la volée, les adresses IP privées des entêtes des paquets, pour que les hôtes des réseaux
privés puissent communiquer avec internet.
Philippe PEREIRA
Le schéma ci-dessus, illustre le cas d’un échange entre une machine d’un réseau privé
(192.168.1.10) et d’un serveur présent sur internet (8.8.8.8). On peut constater que le routeur
modifie le champs « ip source » du paquet émit par l’hôte avant de le router. Il remplace
l’adresse IP privée par l’adresse IP publique portée par son interface « externe ». Enfin, il
réalise l’opération inverse pour les paquets retournés par le serveur.
v Les trois principaux types de NAT

Ø Translation statique – X IP privées correspondent à X IP publiques
Ø Translation dynamique –X IP privées correspondent à X IP publiques (avec sélection
dynamique).
Ø Translation dynamique avec surcharge (PAT) – X adresses IP privées correspondant
généralement à 1 adresse IP publique.
C’est donc une règle de type PAT (Port Address Translation) que vous allez devoir configurer
dans la mesure où, vous ne disposez que d’une seule adresse IP publique (celle portée par
l’interface WAN) pour translater les adresses de vos réseaux locaux.
`
Avec la PAT, la notion de ports est utilisée, en plus, dans la correspondance adresse IP
source/destination afin de discriminer et acheminer les paquets retours vers les hôtes
internes.
Philippe PEREIRA
6. Création d’une règle de NAT dynamique de type PAT
a. Créez une règle de translation dynamique pour donner un accès à internet

uniquement aux hôtes du réseau « USER »
Dans le menu « Firewall – NAT – Outbound », sélectionnez le mode « création manuelle »

puis :
§ Sélectionnez et supprimez toutes les règles présentes
§ Sauvegarder puis appliquer les changements
Ensuite, cliquez sur « Add » pour créer une nouvelle règle.

Aidez-vous le capture ci-dessous pour configurer celle-ci.
Ne s’applique qu’au trafic

passant par l’interface WAN
Concerne uniquement le protocole IPv4
Match avec tous les protocoles de

niveau 3 et plus
Match avec tous les paquets sortants du

réseau 172.16.X.0/24 à destination de
n’importe quel autre réseau
Après translation, l’adresse IP source des paquets est remplacée par

l’adresse portée par l’interface WAN
Philippe PEREIRA
Sauvegardez et appliquez les changements.

Après validation, votre règle devrait ressembler à ceci.
La règle de NAT ci-dessus est composée de 3 parties :
§ Une icône pour indiquer si la règle est active

§ Le nom de l’interface sur laquelle elle s’applique
Critères de sélection
§ Adresse IP source 172.16.20.1 – 172.16.20.254
§ Port TCP/UDP source = tous
§ Adresse IP de destination = toutes
§ Port TCP/UDP = tous
Adresse IP utilisée pour remplacer l’adresse source des paquets translatés

§ WAN address = adresse IP de l’interface externe du FW
Description de la règle :
La translation s’applique à tous les paquets émis par les hôtes du réseau « USER » à
destination de n’importe quel autre réseau et pour tout type de service.
La translation ne s’applique pas aux flux échangés entre les hôtes des réseaux internes car ils
ne passent pas par l’interface WAN.
L’adresse IP source des paquets translatés est remplacée par l’adresse IP externe du firewall.
L’adresse IP et le port de destination sont inchangés.
b. Testez votre règle de NAT

Depuis le terminal du poste « User », faites un ping vers le 8.8.8.8. Le test doit réussir.
Sans interrompre les requêtes ping, analysez le trafic sortant de l’interface « WAN » du
firewall.
Dans le menu « Diagnostics – Packet Capture ».

Dans la section « Packet Capture Options » :
§ Sélectionnez « WAN » dans le champ « Interface ».
§ Sélectionnez « IPv4 Only » dans le champ « Address Family ».
§ Sélectionnez « ICMP » dans le champ « Protocol ».
§
Cliquez sur « Start » pour lancer la capture.
Patientez une dizaine de secondes puis, stoppez la capture.
Philippe PEREIRA
Cliquez sur « ViewCapture » pour visualiser le résultat.
Exemple de résultat attendu :

14:53:19.736630 IP 10.100.1.x > 8.8.8.8: ICMP echo request, id 56118, seq 491, length 64
14:53:19.742009 IP 8.8.8.8 > 10.100.1.x: ICMP echo reply, id 56118, seq 491, length 64
Dans cet exemple, vous pouvez remarquer que l’adresse IP source a été remplacée par
l’adresse de l’interface WAN (10.100.1.x) du FW.
c. Testez l’accès aux services hébergés par les serveurs de votre DMZ
Ouvrez le navigateur du poste « User » et test l’accès aux adresses suivantes :

ü http://10.10.20.2
ü http://10.10.20.3
Capturez le trafic sortant de l’interface « DMZ » du firewall avec les paramètres suivants :
§ Interface : DMZ
§ Address Family : Ipv4 Only
§ Protocol : TCP
§ Port 80
Pendant la capture, rafraichissez les pages web hébergées par vos serveurs pour générer du
trafic.
Le routage interne ne doit pas être affecté par la translation.
Extrait du résultat attendu :

15:08:42.726821 IP 172.16.x.1.44764 > 10.10.20.3.80: tcp 0
15:08:43.972854 IP 172.16.x.1.38780 > 10.10.20.2.80: tcp 0
Dans l’exemple ci-dessus, vous pouvez constater que le champ « ip source » des paquet émis
par le poste User, n’a pas été modifié.
Sur le poste « User », éditez le fichier « resolv.conf » et remplacez l’adresse IP sur serveur DNS
par 10.23.1.30.
Enregistrez puis ouvrez votre navigateur pour tester l’accès au Web.
Philippe PEREIRA
7. Redirection de ports
Vous l’avez compris, la translation d’adresses modifie systématiquement l’adresse IP source

des paquets issus de vos réseaux internes à destination d’internet.
Ceci a pour avantage de masquer votre infrastructure car, du point de vue de l’internet, il n’y
a qu’une seule adresse qui est vue. Il est donc impossible de savoir combien de machines se
cachent derrière celle-ci et encore moins de connaitre le plan d’adressage utilisé en interne.
L’inconvénient (mais aussi l’avantage), c’est qu’il est impossible de communiquer directement
avec un hôte interne depuis internet car, souvenez-vous, les adresses IP privées ne sont pas
uniques et elles ne sont pas autorisées sur les réseaux publics.
Donc, si vous souhaitez publier un service sur internet, comme un site WEB, par exemple, vous
allez devoir mettre en place une solution qui permettra d’y accéder par la seule adresse
utilisable. À savoir l’adresse IP publique du firewall.
v Création d’une règle de redirection de port

Une règle de redirection de port est en fait, une règle de NAT dont la finalité est de rediriger
le trafic arrivant sur l’interface externe vers la bonne machine en interne.
Par exemple, pour rediriger le trafic web vers le serveur web interne.
a. Configurez une règle de NAT afin de rediriger les requêtes web à destination de
l’adresse IP externe vers le serveur WEB de votre DMZ
Tout d’abord, dans le menu « Interfaces – WAN » décochez les deux options qui bloquent les
adresses IP privées entrantes (ne pas reproduire dans un contexte de production).
Philippe PEREIRA
Puis dans le menu « Firewall – Nat – Port Forward »

Cliquez sur « Add » pour créer une nouvelle règle le NAT (Port Forwarding).
Remplissez les champs du menu comme sur la capture ci-dessus.
Interface d’entrée
Version du protocole IP
http fonctionne au-dessus de TCP
L’adresse IP et le port de
destination des paquets à
translater
Vers quel hôte et quel port

rediriger le flux
Enregistrez et appliquez les modifications.
Description de la règle.
La règle s’applique au trafic provenant de n’importe quelle source (exemple internet), dont la
destination est l’adresse IP externe du FW et dont le protocole de destination est http
(80/TCP). Elle ne s’applique qu’aux paquets se présentant à l’interface WAN.
Indique vers quel hôte interne et quel protocole, le trafic doit être redirigé.
WebSer (10.10.20.3) - http
Philippe PEREIRA
Avec le poste « InternetClient » testez votre règle : http://10.100.1.x
8. Filtrage – activation des fonctions de sécurité du firewall
Jusqu’à présent vous avez utilisé une politique de filtrage permissive, le temps de vous
familiariser avec la translation. Le FW se comportait donc, comme un routeur laissant passer
tous types de flux entrants et sortants.
Dans le menu « Firewall – Rules – Floating », désactivez la règle que vous avez créé
précédemment.
Comment fonctionne le filtrage ?
Le filtrage est organisé en un ensemble de règles.
Une règle permet de bloquer ou d’autoriser du trafic réseau en fonction de certains critères :
§ Adresse IP source.
§ Adresse IP de destination.
§ Port source.
§ Port destination.
§ Protocole.
Les règles sont « analysées » de manière séquentielle.

Dès qu’une règle correspond au trafic, l’action définie (bloc ou passe) est activée et le reste
des règles n’est pas analysé.
Tout trafic ne correspondant à aucune règle est rejeté
Philippe PEREIRA
A présent, observez les règles appliquées aux différentes interfaces.
Vous pouvez remarquer qu’il n’y a aucune règle configurée pour les interfaces « WAN »,
« USER » et « DMZ ». Le trafic est donc rejeté, par défaut, sur ces interfaces.
Les hôtes des réseaux « DMZ » et « USER » sont donc isolés et les hôtes « externes » ne
peuvent pas communiquer avec les hôtes internes. Tout trafic à destination de l’interface
« WAN » est également bloqué.
Seule l’interface « ADMIN » (LAN par défaut) possède des règles préconfigurées.
§ La première règle est celle qui permet d’accéder à la page de configuration. Il ne faut donc
pas la supprimer.
§ Les règles suivantes, combinées aux règles de NAT que vous avez supprimé, donne un
accès au réseau « WAN » pour les hôtes du réseau « LAN ».
Bloquez tout le trafic sortant en supprimant les deux dernières règles appliquées à l’interface
WAN
Philippe PEREIRA
9. Mise en place d’une politique de filtrage
Le trafic réseau étant à présent, totalement bloqué, vous allez devoir, créer et appliquer
différentes règles pour mettre en place une politique de sécurité répondant aux exigences
énoncées dans cette partie du TP.
A partir d’ici, vous ne serez plus guidé pas à pas. Utilisez toutes les ressources disponibles
pour vous aider. N’hésitez pas à vous servir des outils de capture pour déboguer vos règles.
a. Les postes du réseau « USER » peuvent naviguer sur le WEB (http & https) et rien
d’autre.
Aide :
Déterminez d’abord sur quelle interface placer votre règle.
Les hôtes du réseau « USER » ne doivent pas pouvoir communiquer avec les autres réseaux
internes.
N’oubliez pas que pour naviguer, les machines ont besoin de résoudre des noms.
Faites attention à l’ordre des règles.
Assurez-vous que le serveur DNS utilisé par votre poste est bien le 10.23.1.30.
Utilisez des alias pour simplifier vos règles. « Firewall – Aliases »
Exemple d’alias :
Tests depuis le poste « User » et résultats attendus :

ü https://www/google.fr
û ping 8.8.8.8
û ping www.google.fr
û ping 10.10.20.2
û http://10.10.20.2
û http://10.10.20.3
Vous pouvez remarquer que la valeur du champ « States » des règles, augmente à chaque fois
qu’elles « matchent » avec des paquets. Vous pouvez cliquer dessus pour afficher le détail.
b. Expliquez pourquoi une règle similaire et adaptée au réseau « Admin » ne suffirait

pas pour permettre au poste « Admin » de naviguer.
Rappelez-vous de ce que vous avez fait dans la partie « translation d’adresses ».

Observez la table de routage de votre poste « Admin ».
Philippe PEREIRA
c. La politique de sécurité a évolué. A présent, les postes des utilisateurs peuvent, en

plus, accéder à l’intranet (http).
Aide :
Les règles sont analysées de manière séquentielle. Faites donc, attention à l’ordre de vos
règles de filtrage.
Pfsense est un firewall statefull, c’est-à-dire, qui garde en mémoire l'état des connexions
TCP/UDP pour discriminer les paquets « retours » légitimes.
Tests depuis le poste « User » et résultats attendus :

ü Web internet
ü http://10.10.20.2
û http://10.10.20.3
û ping 10.10.20.2
û ping 8.8.8.8
d. Nous souhaitons rendre le serveur DNS opérationnel. Créez les règles qui
permettent la sortie des flux DNS depuis « NameServ » à destination d’internet.
Aide :
Créez une règle Nat pour que « NameServ » puisse forwarder les requêtes DNS sur internet.
Créez une règle de filtrage et appliquez-la sur l’interface adéquate pour autoriser les flux DNS
sortant émis par « NameServ ».
Les serveurs de votre « DMZ » ne sont pas hébergés par quatre machines virtuelles
contrairement à ce qui est représenté dans le schéma topologique. En réalité, il s’agit de
quatre conteneurs docker exécutés dans la VM « serveurs ». En conséquence, vous ne pourrez
pas utiliser les outils de diagnostic habituels directement depuis la console de la VM
« serveurs ».
En remplacement, vous allez donc utiliser « Hping3 » qui est un outil qui permet d’envoyer
des paquets personnalisés pour, par exemple, tester l’accès à différents services et donc de
tester vos règles.
Ouvrez la console de la VM « serveurs » puis, identifiez-vous en utilisant les informations

suivantes :
§ Nom d’utilisateur : « user »
§ Mot de passe : « rootd202 »
Tests et résultats attendus :

ü hping3 -a 10.10.20.4 -S -p 53 10.23.1.30
û hping3 -a 10.10.20.4 -1 8.8.8.8
û hping3 -a 10.10.20.4 -1 172.16.20.1
-a : pour spoofer une adresse IP source.

-S : pour initier une connexion TCP en envoyant des paquets « SYN ».
-p : pour spécifier le port distant.
-1 : mode « ICMP » pour envoyer des requêtes « ping ».
Philippe PEREIRA
e. Dorénavant, les postes du réseau « USER » seront obligés d’utiliser « NameServ »

pour la résolution des noms.
Modifiez la règle adéquate pour :

§ Autoriser le flux DNS à destination de « Nameserv ».
§ Bloquer le flux DNS vers d’autres destinations.
Faites attention à l’ordre des règles.
Tests et résultats attendus (depuis le poste « User ») :

û Accès au Web
ü http://10.10.20.2
û http://10.10.20.3
û www.google.fr +short
ü dig @10.10.20.4 www.google.fr +short
« DIG » est un outil qui permet d’interroger les serveurs DNS.

L’option « @ » permet de spécifier l’adresse du serveur à interroger.
Par défaut, « DIG » interroge les DNS utilisés par le système.
L’option « +short » permet d’afficher le résultat de la commande de manière concise.
Éditez le fichier resolv.conf du poste « User » et remplacez l’adresse du serveur DNS par celle
de « NameServ ».
Refaites les tests précédents.

ü Accès Web
ü http://10.10.20.2
û http://10.10.20.3
ü dig www.google.fr
ü dig test.if03.local
f. Exposez le service Web sur le réseau externe
Vous avez déjà configuré une règle de redirection de port pour « WebServ » et celui-ci était
accessible depuis le réseau externe jusqu’à ce que le filtrage soit réactivé.
A présent, il faut donc ajouter, une règle de filtrage pour autoriser les flux http entrants sur
l’interface WAN pour rendre à nouveau le service accessible aux hôtes externes.
Testez l’accès au serveur web avec le poste « InternetClient » :

ü http://10.100.1.x
Philippe PEREIRA
g. Les protocoles de niveau 3

On souhaite autoriser les machines du réseau « USER » à pinger uniquement les hôtes
externes.
Configurer une règle de filtrage autorisant le flux ICMP sortant.
Aide :
Jusqu’à présent, vous avez utilisé des protocoles de la couche 4 « transport » du modèle OSI
comme critère pour filtrer le trafic (protocoles de TCP et UDP).
Cependant, la commande ping utilise le protocole « ICMP » qui appartient à la couche (3)
« réseau ».
Tests et résultats attendus (depuis le poste « User »)

û ping 10.10.20.1
ü ping 8.8.8.8
h. Le proxy web
La politique de sécurité a encore évolué. A présent, les postes du réseau « USER » ne sont
plus autorisés à naviguer directement sur le Web. Vous devez donc mettre en place des
règles pour forcer les hôtes de ce réseau à passer par « ProxyServ » pour naviguer.
(1) Modifiez les règles de filtrage afin de bloquer l’accès « direct » à internet pour les hôtes du
réseau « USER ».
(2) Créez une règle pour autoriser les hôtes du réseau « USER » à requêter le serveur proxy
sur le port 3128/TCP.
(3) Créez une règle de translation pour que « ProxyServ » puisse envoyer des données sur
internet.
(4) Créez une règle de filtrage qui autorise les flux web et DNS depuis « ProxyServ » vers
internet.
Tests et résultats attendus (depuis le poste « User ») :

ü dig www.google.fr
û https://www.google.fr
û ping 8.8.8.8
û ping 10.10.20.4
ü nc -zv 10.10.20.1 3128
û Accès web
Configurez votre navigateur (Firefox) pour qu’il utilise le proxy :

§ Dans les « paramètres », tapez « proxy » dans le champ de recherche.
§ Dans la section « Paramètre réseau », cliquez sur « Paramètres ».
§ Cochez la case « Configuration manuelle du proxy ».
§ Tapez l’adresse de « ProxyServ » dans le champ « Proxy_HTTP » et 3128 dans « Port ».
§ Cochez la case « Utiliser également ce proxy pour HTTPS ».
Fermez les paramètres de Firefox et testez l’accès au web.

ü Accès depuis firefox web
Philippe PEREIRA
10. VPN IPsec site-à-site entre binômes
v Concepts et généralités
Un tunnel VPN IPsec site-à-site est un groupe de protocoles qui permettent de mettre en
œuvre une connexion chiffrée entre deux réseaux privés distants via un réseau public
(Internet par exemple).
IPsec assure les services de sécurité suivants :

§ L’authentification : permet la vérification des identités des deux extrémités de tunnel.
Deux méthodes d’authentification sont possibles : clé pré-partagée (PSK : Pre-Shared
key) ou certificats (PKI : Public Key Infrastructure).
§ L’intégrité : vérifie que les données n’ont pas été modifiées en utilisant les algorithmes
de hachage.
§ La confidentialité : assure que les données ne peuvent être lues par une personne
tierce capturant le trafic.
§ Le non-rejeu : assure qu’un paquet bien reçu, ne peut pas être reçu une deuxième fois.
On distingue deux phases lors de l’établissement d’une connexion IPsec :
v Phase 1 – Échange de clés

IPsec utilise le protocole IKE (Internet Key Exchange) pour négocier et établir des tunnels VPN.
IKE est également appelé ISAKMP (Internet Security Association Key Management Protocol).
Il existe actuellement en deux versions : IKEv1 (RFC 2409) et IKEv2 (RFC 4306).
IKE est transmis via le protocole UDP sur les ports 500 et 4500
IKE sépare la négociation en deux phases :
(1) Établissement d’un tunnel sécurisé et authentifié entre les deux participants (ISAKMP SA)
(2) Négociation des paramètres de sécurité (SA) pour le chiffrement des données acheminées
dans le tunnel IPsec.
v Phase 2 - Transfert des données

Une fois le tunnel monté, les réseaux privés peuvent communiquer via les protocoles AH
(Authentication Header) ou ESP (Encapsulating Security Payload). Ceux-ci sont encapsulés
directement dans IP et assurent la confidentialité ainsi que l’intégralité des données. Le
protocole ESP fournit, en plus, la confidentialité.
Philippe PEREIRA
a. Utilisez le mode « tunnel » du protocole IPSec pour monter un VPN site-à-site avec
un autre binôme.
Objectif attendu :
Vous devez mettre en relation les réseaux « USER » des deux binômes.
Lorsque le tunnel sera opérationnel, vous devrez être capable de réaliser des pings entre les
postes « User » des deux binômes.
Aide :
La configuration du tunnel IPsec se fait par le menu « VPN – Ipsec – Tunnels »
Vous devez d’abord créer l’IKE (phase 1 : Add P1)

§ Utilisez la version 2
§ Utilisez une clé pré-partagée comme méthode d’authentification.
§ Utilisez les mêmes algorithmes de chiffrement sur les deux FWs.
Ensuite, créez la phase 2

§ En mode tunnel IPv4.
§ Pas de translation dans le tunnel car les réseaux « USER » sont différents d’un binôme à
l’autre.
§ Utilisez le protocole ESP et mettez-vous d’accord sur les algorithmes de chiffrement à
utiliser.
Vérifiez que le tunnel est bien actif : « Status – Ipsec -Overview ».
Observez l’apparition d’une nouvelle interface IPsec dans le menu « Firewall – rules ».
Créez les règles de filtrage nécessaires pour autoriser :

§ Le trafic sortant de « USER » local à destination du réseau « USER » distant
§ Le trafic entrant émit par les hôtes de « USER » distant à destination des hôtes de
« USER » local.
Il y a donc, au minimum, 2 règles à créer sur chaque firewall afin d’autoriser le trafic dans le
tunnel IPsec.
Enfin, testez le fonctionnement du VPN :

ü « User » local ping « User » distant.
ü « User » distant ping « User » local.
Philippe PEREIRA

TP Pfsense P23

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

TP Pfsense P23

Transféré par

Droits d'auteur :

Formats disponibles

IF03 – FIREWALL PFSENSE 1

Nom Réseau Gateway

Serveur DMZ Fonction

Votre infrastructure est donc composée de 3 réseaux internes :

Et un réseau externe « WAN » utilisé pour l’accès à internet.

1. Démarrage et prise en main du firewall

Vos machines virtuelles sont accessibles depuis la vue « VM et Modèles » – « dcp-vcsa.utt.fr »

Celles-ci sont réparties dans 4 dossiers :

Continuez de même pour Optional 1 (vmx2) et Optional 2 (vmx3).

Vérifiez que le choix est correct avant de valider.

La configuration initiale du firewall est terminée lorsque l’écran ci-dessous apparaît.

Tapez « 2 » puis « Entrée » pour configurer l’adresse IP des interfaces.

Tapez à nouveau « 2 » pour sélectionner l’interface « LAN ».

Tapez « 24 » lorsqu’il vous est demandé de saisir le masque de sous-réseau.

N’activez surtout pas le service DHCP sur l’interface LAN.

Vous devez fournir un identifiant et un mot de passe pour vous connecter :

2. Configuration des interfaces du FW Pfsense

Cliquez sur l’onglet « Interfaces » puis sur « Assignments ».

a. Configuration de l’interface WAN (vmx0)

Vous utiliserez également le menu de configuration de l’interface pour donner une

Sauvegardez puis appliquez les modifications.

b. Configurez l’interface LAN (vmx1)

c. Configuration de l’interface OPT1 (vmx2)

d. Configuration de l’interface OPT2 (vmx3)

Faites bien attention à la valeur du masque de sous-réseau (/32 par défaut)

3. Vérifications de base et tests de connectivité

Pour afficher la table routage « Diagnostic – routes »

La passerelle par défaut « 10.100.255.254 » qui correspond au routeur du FAI, doit

Avant de poursuivre, il convient de réaliser quelques tests de connectivité.

b. Faites des tests de connectivité en utilisant l’utilitaire « ping »

Dans le menu « Diagnostic – Ping ».

§ Ping 8.8.8.8 pour tester la connectivité avec internet

Si le test échoue, vérifiez la configuration de votre interface « WAN ».

Retournez dans vCenter et affichez la console de la VM « If03-User-Bx » puis ouvrez le

Passez à l’utilisateur root en tapant la commande « su - » (mot de passe rootd202).

Attribuez une adresse IP à ens192 :

Configurez la passerelle par défaut :

Vérifiez que vos commandes ont été prises en compte :

Affichez la table de routage :

4. Désactivez provisoirement les fonctions de sécurité

Il ne faut évidemment, jamais reproduire cela dans un environnement de production.

Sauvegardez puis appliquez les changements.

A présent votre FW fonctionne comme un routeur.

Réalisez quelques tests depuis le terminal du poste « User ».

5. Translation d’adresses – partie théorique

v Qu’est-ce que la translation d’adresses ou NAT (Network Address Translation) ?

v Les trois principaux types de NAT

6. Création d’une règle de NAT dynamique de type PAT

a. Créez une règle de translation dynamique pour donner un accès à internet

Dans le menu « Firewall – NAT – Outbound », sélectionnez le mode « création manuelle »

Ensuite, cliquez sur « Add » pour créer une nouvelle règle.

Ne s’applique qu’au trafic

Concerne uniquement le protocole IPv4

Match avec tous les protocoles de

Match avec tous les paquets sortants du

Après translation, l’adresse IP source des paquets est remplacée par

Sauvegardez et appliquez les changements.

La règle de NAT ci-dessus est composée de 3 parties :

§ Une icône pour indiquer si la règle est active

Adresse IP utilisée pour remplacer l’adresse source des paquets translatés

b. Testez votre règle de NAT

Dans le menu « Diagnostics – Packet Capture ».

Cliquez sur « ViewCapture » pour visualiser le résultat.