LINPFS

Pare-feu PFSENSE Version 1

Pare-Feu PFSENSE

Référent technique : Marc-Henri PAMISEUX

Référent méthodologie : Bruno JOUSSEAUME

 Suivi des modifications :

Date Version Descriptif Auteur

09.03.15 V1 Mise en place du pare-feu PFSENSE AR
 Projet Professionnel Encadré

Organisation du projet Version 1

Pare-Feu PFSENSE

TABLE DES MATIÈRES

1- Introduction ....................................................................................................................................... 3
1.1- Qu’est-ce que PFSense ? ........................................................................................................................ 3
1.2- Principales fonctionnalités ..................................................................................................................... 3
2- Installation ......................................................................................................................................... 3
2.1- Environnement ......................................................................................................................................... 3
2.2- Installation ................................................................................................................................................ 4
2.3- Connection à l’interface web .................................................................................................................. 5
2.4- Définition des segments réseau ............................................................................................................. 7
3- Règles de trafic ................................................................................................................................. 8
3.1- LAN............................................................................................................................................................ 8
3.2- DMZ ........................................................................................................................................................... 9
4- Proxy ................................................................................................................................................ 10

C:\Users\Quentin\Desktop\Procédure_PfSense.docx Page 2 / 10
 Projet Professionnel Encadré

Organisation du projet Version 1

Pare-Feu PFSENSE

1- I NTRODUCTION
1.1- Qu’est-ce que PFSense ?

PfSense est un routeur/parefeu opensource basé sur FreeBSD. Il peut être installé sur un simple ordinateur
personnel comme sur un serveur. Basé sur PF(packet filter), comme iptables sur GNU/Linux, il est réputé pour sa
Fiabilité. Après une installation en mode console, il s'administre ensuite simplement depuis une interface web et
gère nativement les VLAN (802.1q).

1.2- Principales fonctionnalités

Firewall, NAT (Network Address Translation), Load Balancer, Proxy et Proxy inverse, VPN , DNS dynamique

2- I NSTALLATION
2.1- Environnement

Nous utiliserons la version 2.2.1 de PfSense. On peut en télécharger l’iso à l’adresse suivante ;
[Link] Une fois téléchargée, je monte l’image dans le lecteur
CD de la machine virtuelle. L’objectif de notre pare-feu est de créer 3 zones réseau, une LAN, une WAN et une
DMZ. Il aura aussi pour fonction de filtrer le trafic grâce à des règles que je détaillerai par la suite.

Pour pouvoir paramétrer les 3 zones, il faut monter

sur notre machine virtuelle 3 cartes réseau
distinctes, chacune sera assignée à un réseau
distinct.

C:\Users\Quentin\Desktop\Procédure_PfSense.docx Page 3 / 10
 Projet Professionnel Encadré

Organisation du projet Version 1

Pare-Feu PFSENSE

2.2- Installation

En utilisant le liveCD, il faudra appuyer sur R lors du prompt de démarrage afin d’installer PfSense en persistant et
non en portable (perte de la configuration au redémarrage) ;

Il faudra impérativement enlever l’iso de

la machine virtuelle pour éviter que
celle-ci redémarrage en mode live :

Lors de la pré-configuration au redémarrage, la machine détecte nos 3 cartes réseau et lui assigne les noms hn0,
hn1 et hn2. On nous demande de définir laquelle est assignée à l’interface WAN (hn0), interface LAN (hn1) et DMZ
(optional, hn2)

C:\Users\Quentin\Desktop\Procédure_PfSense.docx Page 4 / 10
 Projet Professionnel Encadré

Organisation du projet Version 1

Pare-Feu PFSENSE

Confirmer les paramètres :

Nous arrivons alors sur le menu « principal » en shell de pfsense

2.3- Connection à l’interface web

On y accède par l’adresse IP définie sur la patte LAN, les identifiants par défaut sont « admin » et mot de passe
« pfsense ». Nous sommes alors invités à suivre une configuration initiale :

C:\Users\Quentin\Desktop\Procédure_PfSense.docx Page 5 / 10
 Projet Professionnel Encadré

Organisation du projet Version 1

Pare-Feu PFSENSE

Renseigner le nom de la machine, le domaine et l’adresse IP de notre serveur DNS.

Ensuite nous devrons configurer une à une les 3 interfaces. De mon côté, je l’ai fait en shell lors de la
préconfiguration de pfSense ; donc les paramètres sont restés en mémoire. Interface WAN :

Interface LAN :

Interface DMZ :

C:\Users\Quentin\Desktop\Procédure_PfSense.docx Page 6 / 10
 Projet Professionnel Encadré

Organisation du projet Version 1

Pare-Feu PFSENSE

2.4- Définition des segments réseau

Plusieurs options s’offrent alors à nous. Dans un premier temps, je vais définir les IP assignées à chacune des
cartes réseau de la machine grâce à l’option 2 – Set Interface IP address. Nous pourrons par la suite administrer
notre pare-feu via son interface web. La première interface WAN aura pour IP [Link]/28, ce qui correspond
à la première adresse possible du CLOUD_308. La patte LAN aura pour adresse [Link]/24, enfin la patte
DMZ aura pour adresse [Link]. Voici un schéma réseau explicatif des réseaux créés par PfSense …

Dès à présent, les machines du segment LAN accèderont au web en passant par le pare-feu. De la même manière,
le serveur Web en DMZ doit accéder à la base de données dans le LAN via une règle de trafic entrante.

C:\Users\Quentin\Desktop\Procédure_PfSense.docx Page 7 / 10
 Projet Professionnel Encadré

Organisation du projet Version 1

Pare-Feu PFSENSE

3- R EGLES DE TRAFIC
Pour créer des règles de trafic, il est judicieux de bloquer le trafic entrant de chaque segment. Nous pouvons
ainsi, en activant les logs sur chaque règle « DENY », voir tous les échanges bloqués et les autoriser au compte-
gouttes. Dans notre cas, nous ne l’avons pas fait faute de temps et d’organisation.

3.1- LAN

Pour que le serveur de base de données en LAN puisse communiquer avec le serveur web en DMZ, il nous faut
créer une règle autorisant le trafic TCP + UDP depuis le réseau LAN vers la DMZ.

Dans l’interface web de PfSense, cliquer sur « Firewall » puis « Rules »

Sélectionner ensuite l’interface LAN

Renseigner alors la règle en précisant le réseau source, le réseau de destination et le protocole à autoriser ;

C:\Users\Quentin\Desktop\Procédure_PfSense.docx Page 8 / 10
 Projet Professionnel Encadré

Organisation du projet Version 1

Pare-Feu PFSENSE

Cette règle rend donc possible la communication des flux TCP/UDP du LAN vers la DMZ, ce qui permet à la base
de données de communiquer avec le serveur web.

3.2- DMZ

Il nous faut maintenant créer la règle inverse, qui permettra au serveur web de communiquer avec la base données,
le serveur de supervision et le serveur de sauvegarde
Sélectionner la patte DMZ dans les règles de pare-feu.

Puis ajouter la règle visant à autoriser le trafic TCP/UDP depuis la DMZ vers le LAN :

C:\Users\Quentin\Desktop\Procédure_PfSense.docx Page 9 / 10
 Projet Professionnel Encadré

Organisation du projet Version 1

Pare-Feu PFSENSE

Ainsi, les machines présentes dans le segment DMZ peuvent communiquer avec le segment LAN.

4- P ROXY
4.1- Introduction

La fonctionnalité de proxy n’est pas incluse par défaut dans la solution PfSense, il faut l’ajouter, sous forme d’un
package. En l’occurrence nous utiliserons « SQUID » ; Squid est un serveur mandataire (proxy) et un mandataire
inverse capable d'utiliser les protocoles FTP, HTTP, Gopher, et HTTPS.

4.2- Installation

Cliquer sur l'onglet « system », cliquer sur et cliquer sur l'onglet

Télécharger les deux paquets Squid et Squidguard :

L’installation des packages

4.3- Configuration du package squid

On peut alors accéder à la configuration dans le menu déroulant services puis

C:\Users\Quentin\Desktop\Procédure_PfSense.docx Page 10 / 10