pfSense

système d'exploitation
 pfSense

pfSense v2.3.2_1

Famille FreeBSD
Dépôt github.com/pfsense/pfsense
(https://github.com/pfsense/p
fsense)
Plates- 32 bits (abandonné depuis
formes 2.4.x); 64 bits Intel / AMD
Entreprise / Rubicon Communications, LLC
Développeur (Netgate)
Licence Licence Apache 2.0
Première
2004
version
Dernière 2.5.2 (2 juillet 2021)[1]
version 23.09.1 (7 décembre 2023)[2]
stable 2.7.2 (7 décembre 2023)[3]
 Dernière
(Daily snapshots (http://snaps
version
hots.pfsense.org) )
avancée
Site web https://www.pfsense.org/

OPNsense ( ) en

modifier (https://fr.wikipedia.org/w/index.php?title=PfSe
nse&action=edit&section=0)

pfSense est un système d'exploitation open source ayant pour but la mise en place de
routeur/pare-feu basé sur le système d'exploitation FreeBSD. À l'origine un fork de m0n0wall,
il utilise le pare-feu à états Packet Filter ainsi que des fonctions de routage et de NAT lui
permettant de connecter plusieurs réseaux informatiques. Il comporte l'équivalent libre des
outils et services utilisés habituellement sur des routeurs professionnels propriétaires.
pfSense convient pour la sécurisation d'un réseau domestique ou d'entreprise.

Après l'installation manuelle nécessaire pour assigner les interfaces réseaux, il s'administre
ensuite à distance depuis l'interface web. pfSense gère nativement les VLAN (802.1q).

Comme sur les distributions Linux, pfSense intègre aussi un gestionnaire de paquets pour
installer des fonctionnalités supplémentaires, comme un proxy ou un serveur de voix sur IP[4].

Hardware
pfSense peut fonctionner sur du matériel de serveur ou domestique, sur des solutions
embarquées, sans toutefois demander beaucoup de ressources ni de matériel puissant.

La plate-forme doit être x86 ou x64, mais d'autres architectures pourraient être supportées à
l'avenir[5].
Configuration requise[6]
Configuration minimale Configuration recommandée

Processeur 600 MHz 1 GHz

Mémoire vive 512 Mo 1 Go

Stockage > 4 Go

NAT et processeur[7]
Dans le cas du NAT où tout le réseau privé se partage une unique adresse IPv4 publique, la
puissance du processeur est négligeable pour des débits de l'ordre de 10⁄100 Mbit/s, comme
dans le cas de l'ADSL ou la bande passante n'excède pas 20 Mbit/s dans les meilleures
conditions. Un processeur cadencé à 1 GHz suffit amplement.

Cependant, pour obtenir du 1 Gbit/s, comme avec la fibre optique, il faut un processeur plus
puissant, de préférence multi-cœur d'au moins 2 GHz.

Cartes réseaux
pfSense supporte la majorité des cartes réseaux, mais il est préférable d'avoir des cartes
réseaux Intel pour optimiser les performances. La liste de compatibilité matérielle actuelle
(BSD 10.1) se trouve ici (http://www.freebsd.org/releases/10.1R/hardware.html) [archive][8].

Certains modèles de cartes réseaux ne supportent pas les VLAN (802.1q).

Certaines cartes réseaux sans fil sont supportées, mais tous les modes de fonctionnement
ne sont pas disponibles pour chacune d'entre elles. Le site officiel propose une liste de cartes
recommandées[9].
Déclinaisons de pfSense
pfSense peut être téléchargé en différentes versions selon le type d'utilisation et d'installation
(avec un moniteur et un clavier, ou par liaison série) :

Live CD with Installer, pour pouvoir

l'installer vers le disque dur depuis un
CD d'installation classique.
Live CD with Installer (on USB
Memstick), adapté pour une
installation depuis une clé USB.
Embedded Ce type d'installation est
typiquement utilisé sur les systèmes
embarqués où par manque de place,
pfSense est installé directement sur
une carte mémoire ou sur une clé USB,
sans recourir à un disque dur. Cette
version fonctionne spécialement sous
 NanoBSD pour réduire les accès à la
carte mémoire afin de ne pas
l'endommager.

Version Embedded avec une clé USB

Le démarrage de pfSense est possible avec une clé USB, mais cela nécessite un délai
supplémentaire pour charger correctement les pilotes[10],[11].

Pour un usage quotidien avec une clé USB, il faut modifier dans /boot/loader.conf.local
(depuis l'interface web : Diagnostics > Edit file)

kern.cam.boot_delay="10000
"

Historique
Le projet pfSense, est basé sur un fork de m0n0wall réalisé en 2004 par Chris Buechler et
Scott Ullrich[12].

La version 1.0 a été lancée le 4 octobre 2006[13].

La version 2.0 finale est arrivée fin décembre 2011.

Fonctionnalités

Cette section n’est pas rédigée dans un

style encyclopédique. Améliorez sa
rédaction (https://fr.wikipedia.org/w/ind
ex.php?title=PfSense&action=edit) !
pfSense permet[14] :

Filtrage par IP source et destination,

port du protocole, IP source et
destination pour le trafic TCP et UDP
IPv6[15]
Capable de limiter les connexions
simultanées sur une base de règle
pfSense utilise p0f, un utilitaire
permettant de filtrer le trafic en
fonction du système d'exploitation
qui initie la connexion.
Possibilité d'enregistrer ou de ne
pas enregistrer le trafic
correspondant à chaque règle.
Politique très souple de routage
possible en sélectionnant une
passerelle sur une base par règle
(pour l'équilibrage de charge,
basculement, connexions WAN
multiples, etc)
Utilisation d'alias permettant le
regroupement et la désignation
des adresses IP, des réseaux et
des ports, rendant ainsi votre jeu
de règles de pare-feu propre et
facile à comprendre, surtout dans
des environnements avec
plusieurs adresses IP publiques et
de nombreux serveurs.
Filtrage transparent au niveau de
la Couche 2, le pare-feu est
capable d'agir en pont filtrant.
La normalisation des paquets est
utilisée, il n'y a donc aucune
ambiguïté dans l'interprétation de
la destination finale du paquet. La
directive « scrub » ré-assemble
aussi des paquets fragmentés,
protège les systèmes
d'exploitation de certaines formes
d'attaque, et laisse les paquets
 TCP contenant des combinaisons
de Flags invalides.
Cette dernière option est connue pour provoquer des problèmes pour certaines
implémentations NFS. Le filtre de pare-feu peut être désactivé pour configurer pfSense
comme un routeur pur.

Network address translation (NAT)

Par défaut, le NAT redirige tout le trafic sortant vers l'adresse IP WAN. Dans le cas de
connexions WAN multiples, le NAT redirige le trafic sortant vers l'adresse IP de l'interface
WAN utilisée.

Basculement base sur CARP et pfsync

Common Address Redundancy Protocol (Protocole Commun De Redondance D'Adresse) ou
CARP est un protocole permettant à un groupe d'hôtes sur un même segment réseau de
partager une adresse IP. Cette notion en doit pas être confondue avec « Cache Array Routing
Protocol » utilisée pour faire de la répartition de charge de mandataires caches web.

pfsync assure la table d'état du pare-

feu qui est répliquée sur tous les pare-
feu configurés de basculement. Cela
signifie que les connexions existantes
seront maintenues dans le cas d'échec,
ce qui est important pour prévenir les
perturbations du réseau.
 Répartition de charge
La répartition de charge du trafic sortant est utilisée avec plusieurs connexions WAN pour
assurer la répartition de charge et des capacités de basculement. Le trafic est dirigé vers la
passerelle souhaitée ou le groupe d'équilibrage local.

VPN
pfSense offre quatre options de connectivité VPN :

1. IPSec,
2. OpenVPN,
3. Point-to-Point Tunneling Protocol ou
PPTP et
4. Layer 2 Tunneling Protocol ou L2TP.

RRD Graphiques
Les graphiques RRD de pfSense mettent à jour des informations historiques sur les points
suivants :

L'utilisation du processeur
Le débit total
 État de Firewall
Débit individuel pour toutes les
interfaces
Paquets par seconde taux pour toutes
les interfaces
Interface WAN passerelle(s) de temps
de réponse ping
Trafic des files d'attente de mise en
forme sur les systèmes avec lissage
du trafic activé.

Dynamic DNS
Un client DNS dynamique est inclus pour vous permettre d'enregistrer votre adresse IP
publique avec un certain nombre de fournisseurs de services DNS dynamiques.

DynDNS
DHS
dnsExit
 DYNS
easyDNS
FreeDNS
HE.net
Loopia
Namecheap
No-IP
ODS.org
OpenDNS
ZoneEdit

Captive portal
Un portail captif permet de forcer l'authentification, ou la redirection vers une page pour
l'accès au réseau. Ceci est communément utilisé sur les réseaux de point d'accès à Internet
sans fil (hot spots), mais est également largement utilisé dans les réseaux d'entreprise pour
une couche supplémentaire de sécurité sur l'accès sans fil ou Internet.

Liste des fonctionnalités du portail captif de pfSense :

Connexions simultanées maximum :
limite le nombre de connexions au
portail lui-même par client IP. Cette
fonctionnalité empêche un déni de
service à partir d'ordinateurs clients
établissant des connexions réseau à
plusieurs reprises sans
authentification.
Délai d'inactivité : délai après lequel les
sessions inactives seront fermées.
Disk timeout : force une déconnexion
de tous les clients après le nombre
défini de minutes.
Logon fenêtre pop-up : option pour
faire apparaître une fenêtre avec un
bouton de déconnexion.
 Redirection d'URL : près
authentification ou en cliquant sur le
portail captif, les utilisateurs peuvent
être redirigés vers l'URL définie.
Filtrage MAC : les filtres pfSense
utilisent des adresses MAC. Pour un
sous-réseau derrière un routeur sur
une interface compatible de portail
captif, chaque machine derrière le
routeur sera autorisée dès qu'un
utilisateur est autorisé. Le filtrage MAC
peut être désactivé pour ces scénarios.
Les options d'authentification sont les suivantes :

Aucune authentification - Cela signifie

que l'utilisateur verra s'afficher votre
page de portail sans avoir à entrer
d'information d'identification.
Gestionnaire d'utilisateur local - Une
base de données d'utilisateur local
peut être configurée et utilisée pour
l'authentification.
Authentification RADIUS - Méthode
d'authentification lorsque la base de
données d'utilisateur est déportée sur
un serveur. La négociation entre
pfSense et le serveur utilisera la norme
RADIUS.
Ré-authentification forcée - Possibilité
de demander à forcer une ré-
authentification. authentification MAC
RADIUS - Permet au portail captif
d'utiliser l'adresse MAC du client pour
l'authentification à un serveur RADIUS
 au lieu du login. HTTP ou HTTPS - La
page du portail peut être configurée
pour utiliser le protocole HTTP ou
HTTPS. Pass-Through adresses MAC
et IP - des adresses MAC et IP peuvent
être white-listées pour contourner le
portail. Toutes les machines
s'authentifiant avec les adresses MAC
et IP listées seront autorisées sans
avoir besoin de passer par le portail
captif. Vous pouvez exclure certaines
machines pour d'autres raisons.
Gestionnaire de fichiers - Ceci vous
permet de télécharger des images
pour les utiliser dans vos pages du
portail.
pfSense comprend à la fois les fonctionnalités de serveur DHCP et de relais DHCP.
Références

1. « Release 2.5.2 (English) (https://git

hub.com/pfsense/pfsense/releases/
tag/v2.5.2) [archive] », 2 juillet 2021
2. « Releases — 23.09.1 New Features
and Changes | pfSense
Documentation (https://docs.netgat
e.com/pfsense/en/latest/releases/2
3-09-1.html) [archive] »
3. « Releases — 2.7.2 New Features
and Changes | pfSense
Documentation (https://docs.netgat
e.com/pfsense/en/latest/releases/2-
7-2.html) [archive] »
4. « Packages - PFSenseDocs (https://
doc.pfsense.org/index.php/Package
s) [archive] », sur doc.pfsense.org
(consulté le 3 juin 2015)

5. « Does pfSense support non-x86

hardware platforms - PFSenseDocs
(https://doc.pfsense.org/index.php/D
oes_pfSense_support_non-x86_hard
ware_platforms) [archive] », sur
doc.pfsense.org (consulté le 3 juin 2015)
6. (en) « Minimum Hardware
Requirements (https://docs.netgate.
com/pfsense/en/latest/book/hardw
are/minimum-hardware-requirement
s.html) [archive] », sur
docs.netgate.com
7. « Hardware Requirements and
Appliances for pfSense (https://ww
w.pfsense.org/hardware/#requireme
nts) [archive] », sur www.pfsense.org
(consulté le 3 juin 2015)

8. La version de BSD est susceptible

d'évoluer pour les nouvelles versions
de pfSense, il faudra changer le lien
en conséquence.
9. liste de cartes recommandées (http
s://doc.pfsense.org/index.php/Supp
orted_Wireless_Cards) [archive]
10. « Boot Troubleshooting -
PFSenseDocs (https://doc.pfsense.o
rg/index.php/Boot_Troubleshooting#
Booting_from_USB) [archive] », sur
doc.pfsense.org (consulté le 3 juin 2015)
11. « Astuce post installation PfSense
sur clé USB (http://retroplace.nyxd.or
g/2014/02/02/astuce-post-installatio
n-pfsense-sur-cle-usb/) [archive] »
(consulté le 3 juin 2015)

12. (en) « pfSense Open Source Firewall

Distribution - History (http://www.pfs
ense.org/index.php@option=com_co
ntent&task=view&id=68&Itemid=76.h
tml) [archive] »
13. (en) Scott Ullrich, « 1.0-RELEASED! (htt
p://blog.pfsense.org/?p=9
7) [archive] », pfSense Digest, october
13th, 2006
14. Liste exhaustive des fonctionnalités
de pfSense v.2.0. (http://www.osnet.
eu/fr/content/pfsense-2-nombreuses
-fonctionnalites) [archive]
15. « Is there IPv6 support available -
PFSenseDocs (https://doc.pfsense.o
rg/index.php/Is_there_IPv6_support_
available) [archive] », sur
doc.pfsense.org (consulté le 3 juin 2015)
Voir aussi

Articles connexes

m0n0wall
PF
IPCop
IPFire

Liens externes

Site officiel (http://www.pfsense.or

g/) [archive]
Configuration matérielle recommandée
sur le site officiel (https://www.pfsens
e.org/hardware/) [archive]
 Portail de la sécurité informatique
Portail des logiciels libres

Ce document provient de
« https://fr.wikipedia.org/w/index.php?
title=PfSense&oldid=209741019 ».

La dernière modification de cette page a été faite

le 18 novembre 2023 à 11:55. •
Le contenu est disponible sous licence CC BY-SA
4.0 sauf mention contraire.