2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

INSTITUT SUPERIEUR DES ETUDES TECHNOLOGIQUES DE CHARGUIA

TRAVAUX PRATIQUES 8 – INSTALLATION & CONFIGURATION D’UN FIREWALL

PFSENSE

Enseignantes : Mouna SKOURI - Anissa BHAR Année Universitaire : 2022 - 2023

Objectifs

PfSense est un routeur/pare-feu open source basé sur le système d’exploitation

FreeBSD dont le but est d’assurer la sécurité périmétrique d’un réseau.

Dans cet atelier, nous allons voir commenter installer et configurer pfSense sous
VirtualBox.

Ainsi, les principaux objectifs de ce TP sont :

 Mise en place de PFSENSE
 Configuration PFSENSE
 Création des zones

Plan du réseau

MSM | Atelier Sécurité des Réseaux 1

 2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

Partie I : Installation & Configuration de base de PfSense

1. Téléchargement de PFSENSE
https://www.pfsense.org/download/

2. Création de la machine virtuelle pour PFSENSE

Lancez Oracle VM VirtualBox et cliquez sur Nouvelle :

 Nom : pfSense
 Type : BSD
 Version : FreeBSD (64-bit)
 Taille de la mémoire : 2024 Mo (1Go suffit amplement)
 Disque dur
o Cochez : Créer un disque virtuel maintenant
o Type de fichier : VDI (Image Disque VirtuelBox)
o Stockage : Dynamiquement alloué
o Choisir l’emplacement du fichier
o Choisir la taille de votre disque dur virtuel : 16 Go
 Créer

Maintenant que la machine virtuelle est créée, nous allons procéder à la configuration.

 Cliquez sur Configuration (Menu : Machine / Configuration)

 Réseau
o Carte 1 : Activer la carte réseau
 Mode d’accès réseau : Accès par pont (WAN)
 Nom : Ethernet (Realtek PCIe….) , ou carte Wifi
 Avancé :
 Type de carte : Intel PRO/1000 MT Desktop
 Mode Promiscuité : Tout autoriser
 Stockage
o Sous le contrôleur IDE (vide) : Sélectionner l’ISO pfSense
 Démarrer

3. Activation des interfaces LAN et DMZ de PFSENSE

En plus de l’interface WAN que nous venons de créer, nous avons besoin de deux
autres interfaces : une pour le LAN et une pour la DMZ.

MSM | Atelier Sécurité des Réseaux 2

 2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

Aussi, il faudrait ajouter deux autres adaptateurs comme suit :

Pour le LAN Pour la DMZ
Réseau Réseau
o Carte 2 : Activer la carte réseau o Carte 3 : Activer la carte réseau
 Mode d’accès réseau : réseau  Mode d’accès réseau : réseau
Interne Interne
 Nom : LAN  Nom : DMZ
 Avancé :  Avancé :
 Type de carte : Intel  Type de carte : Intel
PRO/1000 MT Desktop PRO/1000 MT Desktop
 Mode Promiscuité : Tout  Mode Promiscuité : Tout
autoriser autoriser

4. Installation de PFSENSE

1. Après démarrage de la machine virtuelle, acceptez la licence en appuyant sur

Entrée de votre clavier.
2. La page pfSense Installer s’affiche : appuyez sur Entrée pour accepter la licence
3. Sélectionner la langue :
 Avec les flèches clavier, cherchez : French
 Appuyez sur Entrée pour valider le choix
 Montez d’un cran pour sélectionnez Continue with fr.iso.kbd keymap et
Entrée
4. Partitionnement : Auto (ZFS) puis Entrée

5. La page pfSense Installer s’affiche : appuyez sur Entrée pour accepter la licence
6. Laissez stripe « Stripe – No Redundancy »
7. Entrée

MSM | Atelier Sécurité des Réseaux 3

 2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

8. Presser la touche Espace pour sélectionner le disque puis Entée.

9. Sélectionner < YES > avec les flèches de votre clavier puis Entrée.

10. Attendez l’installation

MSM | Atelier Sécurité des Réseaux 4

 2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

11. Laisser < No > puis Entrée.

12. Touche Entrée pour redémmarrer.

PfSense risque de rebooter encore via l’ISO. Donc, éjectez l’ISO depuis le menu
Périphériques (Devices) avant le redémarrage.

13. Redémarrer la VM depuis le menu : Machine >> Redémarrer

14. Nous allons maintenant utiliser l’option 1 pour assigner les interfaces et l’option
2 pour configurer le réseau.

5. Assignation des interfaces

Tapez 1 puis Entrée :

Should VLANs be set up now [y|n]? n <Entrée>

MSM | Atelier Sécurité des Réseaux 5

 2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

Remarque : si les interfaces (em0, em1, em2) ne remontent pas, recommencer.

Interface WAN :
Remarque : le clavier est en QWERTY, la lettre « m » c’est la touche « ,? »

Enter the WAN interface name or 'a' for auto-detection (em0 or a) : em0 <Entrée>

Interface LAN :

Enter the LAN interface name or 'a' for auto-detection (em1 em2 a or nothing if
finished) : em1 <Entrée>

Interface DMZ :

Enter the Optional 1 interface name or 'a' for auto-detection (em2 a or nothing if
finished) : em2 <Entrée>

MSM | Atelier Sécurité des Réseaux 6

2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

Do you want to proceed [y|n]: y <Entrée>

6. Configuration IP

Nous allons maintenant procéder à la configuration réseau pour chaque interface.

Commençons par l’interface WAN.

6.1. Configuration de l’interface WAN

Choisissez l’option 2 pour Set Interface(s) IP address <Entrée>

Interface WAN : 1 <Entrée>

Enter the number of the interface you wish to configure: 1 <Entrée>

Configure IPv4 address WAN interface via DHCP? (y/n) n <Entrée>

Enter the new WAN IPv4 address. Press <ENTER> for none:
> 192.168.1.100 <Entrée>

Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8

Enter the new WAN IPv4 subnet bit count (1 to 31):

MSM | Atelier Sécurité des Réseaux 7

2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

> 24 <Entrée>

For a WAN, enter the new WAN IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
> 192.168.1.1 <Entrée>

Configure IPv6 address WAN interface via DHCP6? (y/n) n <Entrée>

Enter the new WAN IPv6 address. Press <ENTER> for none:
> <Entrée>

Do you want to revert to HTTP as the webConfigurator protocol? (y/n) y

<Entrée>
Please wait while the changes are saved to WAN...
Reloading filter...
Reloading routing configuration...
DHCPD...
Restarting webConfigurator...
The IPv4 address has been set to 192.168.1.100/24
Press <ENTER> to continue. <Entrée>

Remarque : La passerelle de notre interface WAN sera l’adresse de la passerelle de

notre réseau hôte (le réseau réel auquel appartient notre machine physique). Aussi,
l’interface WAN de pfsense devra avoir une adresse IP dans le même réseau que la
passerelle. Dans notre cas, nous supposons que notre passerelle possède l’adresse
192.168.1.1/24. Cette valeur pourrait varier d’un cas à un autre.

6.2. Configuration de l’interface LAN

Configuration réseau pour l’interface LAN.

Choisissez l’option 2 pour Set Interface(s) IP address <Entrée>

Interface LAN : 2 <Entrée>

Enter the number of the interface you wish to configure: 2 <Entrée>

Enter the new LAN IPv4 address. Press <ENTER> for none:
> 192.168.2.1 <Entrée>

Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8

Enter the new LAN IPv4 subnet bit count (1 to 31):

> 24 <Entrée>

For a WAN, enter the new LAN IPv4 upstream gateway address.

MSM | Atelier Sécurité des Réseaux 8

2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

For a LAN, press <ENTER> for none:

> <Entrée>

Enter the new LAN IPv6 address. Press <ENTER> for none:
> <Entrée>
Do you want to enable DHCP server on LAN? (y/n) n <Entrée>
Please wait while the changes are saved to LAN...
Reloading filter...
Reloading routing configuration...
DHCPD...
The IPv4 LAN address has been set to 192.168.2.1/24
You can now access the web Configurator by opening the following URL in
your web browser:
http://192.168.2.1
Press <ENTER> to Continue. <Entrée>

 L’interface web de pfSense est maintenant accessible à l’adresse

http://192.168.2.1/

 ID de connexion par défaut :

 user : admin
 password : pfsense

6.3. Configuration de l’interface DMZ (OPT1)

Choisissez l’option 2 pour Set Interface(s) IP address <Entrée>

Interface (OPT1) DMZ : 3 <Entrée>

Enter the number of the interface you wish to configure: 3 <Entrée>

Enter the new OPT1 IPv4 address. Press <ENTER> for none:
> 172.16.1.1 <Entrée>

Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8

Enter the new OPT1 IPv4 subnet bit count (1 to 31):

> 16 <Entrée>

For a WAN, enter the new OPT1 IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
> <Entrée>

MSM | Atelier Sécurité des Réseaux 9

2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

Enter the new OPT1 IPv6 address. Press <ENTER> for none:
> <Entrée>

Do you want to enable DHCP server on OPT1? (y/n) n <Entrée>

Please wait while the changes are saved to OPT1...
Reloading filter...
Reloading routing configuration...
DHCPD...

The IPv4 OPT1 address has been set to 172.16.1.1/16

Press <ENTER> to Continue. <Entrée>

Ainsi, nous aurons nos trois interfaces : WAN, LAN et DMZ (opt1).

MSM | Atelier Sécurité des Réseaux 10

 2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

Partie II : Paramétrage de PfSense & Tests

7. Configuration des machines de tests

Avant de procéder à la phase de test, il faut configurer les 2 machines Ubuntu qui vont
représenter respectivement la zone LAN et la zone DMZ.

7.1. Configuration des adresses IP

La machine Ubuntu 1 sera reliée à l’interface LAN du firewall PfSense. Aussi, elle
devra avoir une adresse IP du même réseau que cette dernière. On lui affectera, donc,
l’adresse IP 192.168.2.2/24. Elle aura comme passerelle 192.168.1.1.

De même, la machine Ubuntu 2 sera reliée à l’interface DMZ de PfSense. On lui

affectera, donc, l’adresse IP 172.16.1.2/16. Elle aura comme passerelle 172.16.1.1.

7.2. Configuration des cartes réseau

Les cartes réseau de ces deux machines virtuelles seront configurés comme suit :
192.168.2.2 (Machine LAN) 172.16.1.2 (Machine DMZ)
Réseau Réseau
o Carte 1 : Activer la carte réseau o Carte 1 : Activer la carte réseau
 Mode d’accès réseau : réseau  Mode d’accès réseau : réseau
Interne Interne
 Nom : LAN  Nom : DMZ
 Avancé :  Avancé :
 Type de carte : Intel  Type de carte : Intel
PRO/1000 MT Desktop PRO/1000 MT Desktop
 Mode Promiscuité : Tout  Mode Promiscuité : Tout
autoriser autoriser

MSM | Atelier Sécurité des Réseaux 11

 2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

A partir de ce moment, nous pouvons tester la connectivité du firewall avec ces deux
zones privées LAN et DMZ comme le montre les images suivantes :

 Ping du firewall vers la machine Ubuntu de la zone LAN (192.168.2.2)

 Ping du firewall vers la machine Ubuntu de la zone DMZ (172.16.1.2)

MSM | Atelier Sécurité des Réseaux 12

 2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

8. Accès à l’interface Web de PfSense

Pour paramétrer et administrer le firewall, le plus facile est d’accéder au

WebConfigurator à travers son interface Web. Cette dernière offre une interface
conviviale pour l’administration de PfSense.

Pour cela, à partir de la machine LAN 192.168.2.2, il suffit d’utiliser le navigateur en

demandant l’adresse 192.168.2.1. Pour la première connexion il suffit d’utiliser les
paramètres par défaut :
 user : admin
 password : pfsense

Après authentification, nous aurons accès à la page d’accueil de PfSense :

MSM | Atelier Sécurité des Réseaux 13

 2022-2023 | Institut Supérieur des Etudes Technologiques de Charguia

En parcourant le tableau de bord de PfSense, nous pouvons vérifier la création de nos

3 interfaces WAN, LAN et OPT1 (DMZ).

9. Ajout de règles de filtrage

Pour cette partie, nous voulons ajouter les règles suivantes :

 Accepter tout le trafic venant du LAN vers le WAN,

 Accepter le trafic web (HTTP et HTTPS) du LAN vers un serveur Web installé
dans DMZ,
 Accepter le trafic DNS et Web allant de la DNS vers le WAN,
 Accepter le trafic web (HTTP et HTTPS) du WAN vers un serveur Web installé
dans DMZ,
 Tout le reste sera refusé.

Remarques :

 L’ordre d’écriture des règles est très important. En effet, une règle écrite en
premier sera testée avant les autres.

 PfSense prend en considération 3 types d’action sur les règles :

 Reject : Un message de retour est envoyé à la source pour l’informer que
son message est refusé
 Block : Le firewell détruit le paquet sans retour vers la source
 Pass : Accepte le paquet

MSM | Atelier Sécurité des Réseaux 14