2013

Pfsense FreeBSD

-

Un Travail de: ISMAIL RACHDAOUI – GRT5
Proposé Par: MR.ANAS ABOU EL KALAM - ENSAM
Pour Toute que...
Plan :

I.

Introduction Générale – P.3

II.

Installation de Pfsense – P.4

III.

Configuration basique – P.11

IV.

Pfse...
I.

Introduction Générale:

PfSense est un routeur / pare-feu opensource basé sur FreeBSD. PfSense peut être
installé sur ...
II.

Installation de pfSense :

Version de Pfsence

Pfsence 2.0.3

Platforme d’instalaltion

Vmware Workstation 9

Si vous...
L’architecture de base d’une installation Pfsence est la suivante :

Avant de commencer l’installation, votre PC doit être...
5

ISMAIL RACHDAOUI – GRT5 2013
Suivant …

Puis le deuxième choix …

6

ISMAIL RACHDAOUI – GRT5 2013
Vous choisissez Microsoft > Carte de Bouclage Microsoft

Vous attendez la fin de l’instalaltion …

Et voilà ! votre carte ...
On commnce l’instalaltion de Pfsence sous Vmware 9 …
 On crée une Machine Virtuelle sous VMware avec les spécifications s...
 La fenêtre suivante va s’aficher et choisit le 1ère choix.

 Durant l’installation Pfsence va detecter automatiquement ...
La figure ci-dessus montre qu’on a affecter le0 au LAN, le1 au WLAN et le2 à l’interface OPT1.
 Astuce ! utiliser la lett...
III.

Configuration Basique de Pfsence :

A ce stade là, on doit configurer basiquement notre serveur, pour faire cela on ...
 Eclaircicement des champs demandés :


Hostname : le nom du Host



Domain : le domaine si c’est déjà établis si non o...
 Ici il est demandé de choisir le type de configuration de l’interface WAN, différent choix
sont disponibles, soit Static...
 Block bogon Networks : Pour bloquer les paquets dont l’adresse source est non définie
par l’IANA.
Next …
Maintenant c’es...
IV.

Firewall rules :
a. Découvrir L’interface De Gestion :
L’interface de gestion des rules est joignable de Firewall > r...
b. Ajouter un Rule :



Action : Choisir une Action Block,Reject ou Pass.



Disable This rule : cocher pour désactiver ...
Cette fenêtre montre que notre rule est bien ajouté.

Preuve …

 NB : par défaut le trafic du WAN vers le LAN est bloqué....
c. Les Alias :
Les Alias facilitent beaucoup la manipulation des rules, ils jouent le rôle du conteneurs, ils peuvent
grou...
On a les champs suivants :


Name : le nom de l’Alias



Description : une déscription



Type : on distingue entre 5 t...
 On nomme notre Schedule et on définis la période de validité, après on sauvgarde.

Pour pouvoir l’utiliser, on choisis d...
On sauvgarde les nouveaux changements, désormais le parfeu va interdir tout accès à internet du
réseau LAN durant la perio...
V.

OpenVPN sous Pfsence :
il est possible de configurer facilement Pfsence pour qu’il fonctionne comme un serveur
VPN, on...
Maintenant on doit spécifier l’adresse du tunnel, ici c’est 10.0.8.0/24, par défaut la
première adresse sera affecté au se...
Fichier de configuration static.key :
remote 192.168.2.1
proto udp
dev tun
ifconfig 10.0.8.2 10.0.8.1
secret static.key
ci...
VI.

Hotspot – Portail Captif :

Les Hotspot sont parmi les solutions les plus solicités surtout chez les entreprises,
Pfs...
On va choisir l’option ‘Local user Manager’.
 NB : il faut désactiver le srveur DHCP du point d’accès utilisé au niveau d...
N’oubliez pas que c’est une configuration très basique du portail captif, il ya plein
d’options à découvrir …

VII.

Concl...
Prochain SlideShare
Chargement dans…5
×

Installation et Configuration de Pfsense

65 504 vues

Publié le

Installation et configuration de Pfsense FreeBSD.
un Travail de ISMAIL RACHDAOUI

Publié dans : Technologie
0 commentaire
24 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
65 504
Sur SlideShare
0
Issues des intégrations
0
Intégrations
55
Actions
Partages
0
Téléchargements
2 878
Commentaires
0
J’aime
24
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Installation et Configuration de Pfsense

  1. 1. 2013 Pfsense FreeBSD - Un Travail de: ISMAIL RACHDAOUI – GRT5 Proposé Par: MR.ANAS ABOU EL KALAM - ENSAM Pour Toute question contactez moi sur : ismail.rachdaoui@gmail.com ou via Facebook FB.com/ismael.rachdaoui Génie Réseaux et Télécommunications ENSA Marrakech
  2. 2. Plan : I. Introduction Générale – P.3 II. Installation de Pfsense – P.4 III. Configuration basique – P.11 IV. Pfsense Firewall – P.15 a. Découvrir l’interface de Gestion. b. Ajouter un rule c. Les Alias d. Time Based Rules e. Firewall rules Best Practices V. OpenVPN sous Pfsense – P.22 VI. Hotspot – Portail captif – P.25 1 ISMAIL RACHDAOUI – GRT5 2013
  3. 3. I. Introduction Générale: PfSense est un routeur / pare-feu opensource basé sur FreeBSD. PfSense peut être installé sur un simple ordinateur personnel comme sur un serveur. Basé sur PF (packet filter), comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Après une installation en mode console, il s'administre ensuite simplement depuis une interface web et gère nativement les VLAN (802.1q). Les avnatges de PFSense que :  Il est adapté pour une utilisation en tant que pare-feu et routeur  Il comprend toutes les fonctionnalités de pare-feu coûteux commerciales, et plus encore dans de nombreux cas ;  il peut être installé sur un simple ordinateur personnel comme sur un serveur ;  il est basé sur P0F (Packet Filter), comme iptables sur GNU/Linux généralemet  Il permet d’intégrer de nouveaux services tels que l’installation d’un portail captif, la mise en place d’un VPN, DHCP et bien d’autres.  Il offre des option de firewalling /routage plus évoluée qu’IPCop  Il permet en autre de réaliser :  un portail captif (Lorsqu’un utilisateur ouvre son navigateur internet il est redirigé vers une page lui proposant de s’identifier pour se connecter) : solution proposée par les hotspot.  Un serveur VPN  De réaliser du Load Balancing MultiWAN (utiliser deux connexion Internet avec 2 FAI différents pour avoir une redondance et ainsi éviter les pannes ADSL).  La configuration se fait dans l'interface web, sans rien toucher à la ligne de commande. cela implique une intervention minimum sur les machines sauf pour des maintenances matériels ou de grosse mise à jour qu'il est préférable de faire sur les machines. Pour plus d’informations sur les fonctionnalités de Pfsence visitez http://pfsense.org/index.php@option=com_content&task=view&id=40&Itemid=43.html 2 ISMAIL RACHDAOUI – GRT5 2013
  4. 4. II. Installation de pfSense : Version de Pfsence Pfsence 2.0.3 Platforme d’instalaltion Vmware Workstation 9 Si vous êtes habitué à l’installation des OS, cette partie n’est pas faites pour vous. Bien évidement il faut disposer d’une image ISO pour procèder à l’instalaltion, les images sont en libre téléchargement depuis http://pfsense.org/index.php@option=com_content&task=view&id=58&Itemid=46.html , de même cette section de téléchargement offre des images VMware prêtes. Notre lab va se baser sur la version 2.0.3 de Pfsence, il sera installé sur une machine virtuel VMware Workstation 9. Les pré-requis materiels pour l’installation sont :     RAM : 512M (256 min). HDD : 1Gb Processor : 100Mhz min. 2 cartes réseaux. 3 ISMAIL RACHDAOUI – GRT5 2013
  5. 5. L’architecture de base d’une installation Pfsence est la suivante : Avant de commencer l’installation, votre PC doit être équipé en minimum de deux cartes réseaux, pour ce TP on va utiliser deux interfaces, une de Loopback pour qu’on puisse communiquer localement avec le serveur Pfsence et la deuxième à votre choix. Voilà les étapes à suivre pour créer une interface de loopback :  Poste de Travail > Propriété > géstionnaire de péréphriques puis « Ajouter un Matériel d’ancienne génération ». 4 ISMAIL RACHDAOUI – GRT5 2013
  6. 6. 5 ISMAIL RACHDAOUI – GRT5 2013
  7. 7. Suivant … Puis le deuxième choix … 6 ISMAIL RACHDAOUI – GRT5 2013
  8. 8. Vous choisissez Microsoft > Carte de Bouclage Microsoft Vous attendez la fin de l’instalaltion … Et voilà ! votre carte réseau de bouclage (loopback) est prêt à être utiliser. 7 ISMAIL RACHDAOUI – GRT5 2013
  9. 9. On commnce l’instalaltion de Pfsence sous Vmware 9 …  On crée une Machine Virtuelle sous VMware avec les spécifications suivantes : On click sur finish, puis l’instalaltion va commencer … 8 ISMAIL RACHDAOUI – GRT5 2013
  10. 10.  La fenêtre suivante va s’aficher et choisit le 1ère choix.  Durant l’installation Pfsence va detecter automatiquement les listes des cartes réseaux disponibles, et va y attribuer respectivemetn les noms le0, le1 et le2 Notez bien qu’il necessite au moins deux cartes pour qu’il fonctionne correctement.  La première question que nous rencontrons durant l’installation est la suivante : On va répondre tout simplement par n (No) car on aura pas besoin des Vlan.  Si tout passe très bien, Pfsence va nous demander d’affecter chaque interface ( ici le0,le1 ou le2) à une interface WAN ou bien LAN (revoir l’architecture de base de Pfsence fig1). 9 ISMAIL RACHDAOUI – GRT5 2013
  11. 11. La figure ci-dessus montre qu’on a affecter le0 au LAN, le1 au WLAN et le2 à l’interface OPT1.  Astuce ! utiliser la lettre ‘a’ pour l’auto affectation des interfaces.  Et voilà ! l’installation se termine ici, vous avez devant vous plein d’options à exploer…Par la suite toutes les configurations se font par l’intermediare d’une intuitive interface web.  Pour se conncter à l’interface de configuration on utilisera l’adresse ip de l’interface LAN http://192.168.2.1, le couple login/pass par défaut est admin/pfsence. 10 ISMAIL RACHDAOUI – GRT5 2013
  12. 12. III. Configuration Basique de Pfsence : A ce stade là, on doit configurer basiquement notre serveur, pour faire cela on choisit Setup Wizard du menu System, puis on tape Next. 11 ISMAIL RACHDAOUI – GRT5 2013
  13. 13.  Eclaircicement des champs demandés :  Hostname : le nom du Host  Domain : le domaine si c’est déjà établis si non on laisse le choix par défaut.  Primary (Secondary) DNS Server : l’adresse primaire (secondaire) du serveur DNS à utiliser. NB : vous pouvez très bien utiliser des serveurs DNS distant. Next …  Ici on déclare le serveur d’horloge avec lequel on doit se sychroniser, par défaut c’est 0.pfsence.pool.ntp.org Puis Next … Là, on arrive à une étape très importante, on doit configurer notre interface WAN. 12 ISMAIL RACHDAOUI – GRT5 2013
  14. 14.  Ici il est demandé de choisir le type de configuration de l’interface WAN, différent choix sont disponibles, soit Static,DHCP,PPoE ou PPTP, le choix est basé sur la manière avec laquelle notre interface va être utiliser.  Le champs MAC Address c’est pour définir une adresse MAC pour l’interface, Pfsence lui affecte une adresse par défaut si on le laisse vide.  MTU c’est pour la taille du fragement qui doit traverser le réseau. La suite de configuration est basé sur le type de l’interface WAN (Static,DHCP,PPoE ou PPTP).  Si le WAN est en Static on doit définir dans les champs IP Address et Gateway l’adresse IP choisit et la passerelle respectivement.  Si c’est DHCP on doit identifier notre serveur Pfsence par un nom pour qu’il puissance s’identifier auprés du serveur DHCP (optionel).  Block RFC1918 Private Networks : si cette case est cochée, le parfeu va bloquer tous le trafic issue des adresses privés ou de loopback. 13 ISMAIL RACHDAOUI – GRT5 2013
  15. 15.  Block bogon Networks : Pour bloquer les paquets dont l’adresse source est non définie par l’IANA. Next … Maintenant c’est le temps pour configurer l’interface LAN.  C’est simple ici, on affecte une adresse IP de notre sous réseau à l’interface LAN. Next …  Pour changer le login et le pass del’interface Web. Puis Reload pour que Pfsence prend en charge la nouvelle configuration. 14 ISMAIL RACHDAOUI – GRT5 2013
  16. 16. IV. Firewall rules : a. Découvrir L’interface De Gestion : L’interface de gestion des rules est joignable de Firewall > rules,  Comme vous voyez, il est possible de définir des rules pour l’interface LAN ainsi que l’interface WLAN.  Pour ajouter un rule  Pour modifier un rule  Pour suprimer un rule 15 ISMAIL RACHDAOUI – GRT5 2013
  17. 17. b. Ajouter un Rule :  Action : Choisir une Action Block,Reject ou Pass.  Disable This rule : cocher pour désactiver le rule.  Interface : l’interface concérné par le filtrage de packet.  Protocole : spécification du protocole concérné par le rule en question.  Source : IP source  Destination : IP destination  Log : si on veut que Pfsence sauvgarde les log de cette rule.  Description : descrption du rule. Dans cette exemple on va empêcher tout packet ICMP (ping) au sein du réseau local. 16 ISMAIL RACHDAOUI – GRT5 2013
  18. 18. Cette fenêtre montre que notre rule est bien ajouté. Preuve …  NB : par défaut le trafic du WAN vers le LAN est bloqué. Pour modier/suprimer le rule on click sur //fr/ Toutefois, Pfsence offre des fonctionnalités de filtrage avancé, telsque le filtrage par système d’exploitation, TCP flags …etc. Voir figure ci-dessous : 17 ISMAIL RACHDAOUI – GRT5 2013
  19. 19. c. Les Alias : Les Alias facilitent beaucoup la manipulation des rules, ils jouent le rôle du conteneurs, ils peuvent grouper un ensemble de hôtes, de réseaux, ou de port afin de les d’affecter un traitement groupé. On va commencer tout d’abord par la création d’un Alias, pour se faire, on click sur Alias du menu Firewall. Puis sur l’icone ajouter 18 ISMAIL RACHDAOUI – GRT5 2013
  20. 20. On a les champs suivants :  Name : le nom de l’Alias  Description : une déscription  Type : on distingue entre 5 types d’Alias, Host, Network, Port et URL.  Network(s) (ça dépend du type d’alias): par exemple ici on dois spécifier l’adresse du réseau sous format CIDR. Save … l’exemple montré ci-dessus va crèer un Alias portant le nom Alias1, qui va regrouper tous les adresses du sous réseau 192.1682.0/24, par la suite on peut utiliser juste le nom de l’Alias pour lui appliquer une politique de filtrage (voir démo). d. Time Based rules : Parfois on a interêt à ativer une politique de filtrage durant une période spécifique, par exemple on souhaite désactiver tous flux sortant de type HTTP durant les périodes de repos, pour faire cela on fait appel aux Time Based rules (TBR). Pour créer une TBR on doit commencer par la création du Schedule, pour se faire on click sur Schedules du menu Firewall. 19 ISMAIL RACHDAOUI – GRT5 2013
  21. 21.  On nomme notre Schedule et on définis la période de validité, après on sauvgarde. Pour pouvoir l’utiliser, on choisis de modifier le rule en question ( qui bloque le traffic http du LAN vers le WAN, on peut se base sur l’alias créer auparavant), puis Advanced Settings et Schedules. 20 ISMAIL RACHDAOUI – GRT5 2013
  22. 22. On sauvgarde les nouveaux changements, désormais le parfeu va interdir tout accès à internet du réseau LAN durant la periode du repos. e. Firewall Rules Best Practices :  Default Deny  Keep it Short  Document Your Configuration  Reducing Log Noise  Logging Practices 21 ISMAIL RACHDAOUI – GRT5 2013
  23. 23. V. OpenVPN sous Pfsence : il est possible de configurer facilement Pfsence pour qu’il fonctionne comme un serveur VPN, on va voir ensemble comment le configurer pour le cas du serveur OpenVPN. L’objectif étant de créer un tunnel client-to-site avec une clé secret partagé.  Par le menu principale on choisis VPN > OpenVPN. On va configurer notre serveur en mode Peer to Peer (Shared Key), Protocole UDP, Device Mode > tun et l’interface LAN,donc c’est les utilisateurs locaux qui vont pouvoir établir le tunnel VPN avec le serveur Pfsence. Pour la clé partagé on peut la générer par OpenVPN par la commande Openvpn –genkey –secret /tmp/shared.key et on la copie dans l’emplacement Shared Key. 22 ISMAIL RACHDAOUI – GRT5 2013
  24. 24. Maintenant on doit spécifier l’adresse du tunnel, ici c’est 10.0.8.0/24, par défaut la première adresse sera affecté au serveur VPN et le reste pour les client.  NB : on doit ajouter un rule au LAN pour permettre la connexion UDP via le port 1195 d’OpenVPN.  Côté client, il est primordial que le client OpenVPN est installé, on va simplement placer le fichier de configuration et la clé partagé dans le même répertoire. 23 ISMAIL RACHDAOUI – GRT5 2013
  25. 25. Fichier de configuration static.key : remote 192.168.2.1 proto udp dev tun ifconfig 10.0.8.2 10.0.8.1 secret static.key cipher none verb 2 on lance OpenVPN … Voilà ! le tunnel est établis, il est aussi possible d’établir une architecture PKI. 24 ISMAIL RACHDAOUI – GRT5 2013
  26. 26. VI. Hotspot – Portail Captif : Les Hotspot sont parmi les solutions les plus solicités surtout chez les entreprises, Pfsence fait bien l’affaire, on va découvrir ensemble comment mettre en place un portail captif pour un réseau Wifi. Tout d’abord on aura besoin de deux interfaces, une connectée à internet et l’autre à un point d’accès qui va jouer le relais entre les utilisateurs qui viennent pour se connecter et le réseau internet. Voilà notre architecture de base. otre Serveur Pfsense eth0 : LAN eth1 : WAN Pour démarrer la configuration, on choisis Captive Portal du menu Services Services. NB : On va faire ici une configuration basique.  Il faut tout d’abord l’activation de service, pour cela cocher ‘Enable captive portal’.  Ainsi, on choisis l’interface sur l’aquelle on va démarrer le service, dans notre cas c’est le LAN. Vous pouvez s’amuser à explorer les autres options, ils sont simple à comprendre … Maintenant on passe à la phase d’authentification, Pfsense met entre nos mains trois méthodes, à savoir (voir figure ci desous) desous):  No Auhentification : rediriction du client vers internet sans contrôle d’accès.  Local user Manager : définir des utilisateur Pf Pfsense.  RADIUS : un contrôle d’accès basé sur le serveur RADIUS.  NB : Pour installer le plugin qui intègre RADIUS à Pfsense, allez à System > Packages 25 ISMAIL RACHDAOUI – GRT5 2013
  27. 27. On va choisir l’option ‘Local user Manager’.  NB : il faut désactiver le srveur DHCP du point d’accès utilisé au niveau du LAN, car l’affectaton des adresses sera prise en charge par Pfsence. Puis on sauvgarde la configuration.  Activation du DHCP à l’interface LAN : o Sur la console de Pfsense chosir l’option 1 ‘Set Interface ip address’. o Puis vous choisissez l’interface LAN, et vous continuer comme ci-dessous Vous saisissez l’adresse IP (ici c’est 192.168.2.1) , le Mask (ici c’est 24), ‘y’ pour activer DHCP et finalement le pool DHCP (ici c’est 192.168.2.2 - 192.168.2.254). Voilà c’est tout ! votre portail captif est prêt à être utiliser. Si un client tente de se connecter à votre point d’accès, il aura l’impression qu’il est connecter à internet mais une fois il ouvre son navigateur il sera redériger vers une page d’authentification comme celle-ci : 26 ISMAIL RACHDAOUI – GRT5 2013
  28. 28. N’oubliez pas que c’est une configuration très basique du portail captif, il ya plein d’options à découvrir … VII. Conclusion : Pfsence permet plein d’autres options comme le routage, IP sec, traffic shaping … etc, mais on va se limiter à ce point là. Je vous invite à lire le livre ‘The Definitive Guide to the pfSense Open-Source Firewall and Router’ de Christopher M. Buechler et Jim Pingle. 27 ISMAIL RACHDAOUI – GRT5 2013

×