Guide pfsense

54 472 vues

Publié le

Publié dans : Technologie
7 commentaires
23 j’aime
Statistiques
Remarques
  • je suis très intéressé à ce doc, mais jne sais ou jpeu l'avoir. voici mon adresse: anasregragui7@gmail.com si vous avez la possibilité de le m'envoyer!
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • un doc bien detaillé.merci
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • bnjour j ai un projet dont il parle sur mise en place d'un firewall pfsense et jai besoin de votre aide merci d avance
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • je suis très intéressé à ce doc, mais jne sais ou jpeu l'avoir. voici mon adresse: angelitoramy@gmail.com si vous avez la possibilité de le m'envoyer!
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • je suis très intéressé à ce doc, mais jne sais ou jpeu l'avoir. voici mon adresse: fravelomisedra@yahoo.fr si vous avez la possibilité de le m'envoyer! thx
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
Aucun téléchargement
Vues
Nombre de vues
54 472
Sur SlideShare
0
Issues des intégrations
0
Intégrations
58
Actions
Partages
0
Téléchargements
4 172
Commentaires
7
J’aime
23
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Guide pfsense

  1. 1. Guide PfSense 2.0 Guide Pfsense 2.0Suivi du document :Mai 2012 : Version 0.1 – Installation et paramétrages de Pfsense avec les règles sur les ports et le filtrage squidMichel Bonnefond – Version 0.1 du document Page 1
  2. 2. Guide PfSense 2.01) Installation et premiers paramétrages de Pfsense ......................................................................... 3 1.1) Installation de PfSense ............................................................................................................ 3 1.2) Premiers paramétrages de Pfsense ......................................................................................... 62) Les règles d’accès .......................................................................................................................... 14 2.1) Paramétrer les règles de base .................................................................................................... 14 2.2) Bloquer l’accès au https de facebook ........................................................................................ 19 2.2.1) Création d’un alias facebook ............................................................................................... 19 2.2.2) Définir les plages horaires d’accès à Facebook ................................................................... 20 2.2.3) Règle pour le blocage de l’accès https à Facebook ............................................................. 22 2.3) Règles à définir dans le cas de plusieurs LAN............................................................................. 233) Le filtrage Internet ......................................................................................................................... 24 3.1) Installation des paquets pour le filtrage Internet ...................................................................... 25 3.2) Configuration du serveur proxy ................................................................................................. 26 3.3) Configuration du filtrage ............................................................................................................ 27 3.3.1) Configuration générale du filtrage ...................................................................................... 27 3.3.2) Filtrage en fonction des horaires ........................................................................................ 30 3.3.3) Filtrage en fonction des adresses IP .................................................................................... 32 3.3.4) La page de redirection du proxy ......................................................................................... 33 3.3.5) Mise à jour automatique de la blacklist .............................................................................. 34 3.4) Les journaux du proxy ................................................................................................................ 354) Les VPNs ........................................................................................................................................ 35 4.1) VPN entre un pare-feu Pfsense et un pare-feu ipcop ................................................................ 35 4.2) VPN entre deux pare-feu Pfsense .............................................................................................. 35 4.3) VPN avec des clients « mobiles » à l’aide du logiciel ................................................................. 355) Mise en place d’une DMZ .............................................................................................................. 356) Les mises à jour de PfSense ........................................................................................................... 36Michel Bonnefond – Version 0.1 du document Page 2
  3. 3. Guide PfSense 2.0 1) Installation et premiers paramétrages de Pfsense1.1) Installation de PfSenseCe document traite de l’installation de la version 2.0.1 de Pfsense (la dernière à la date de rédaction)sur une nouvelle machine.Tout dabord, il faut se rendre sur le site http://www.pfsense.org afin de récupérer les images ISO àgraver sur CDs pour installer PfSense : o pfSense-2.0.1-RELEASE-i386.iso.gz pour les Pcs anciens avec des processeurs ne gérant pas le 64 bits o pfSense-2.0.1-RELEASE-amd64.iso.gz pour les Pcs avec des processeurs 64 bitsUne fois limage gravée, on boot sur le CD et on arrive aux menus suivants : Pressez « Entrée » pour démarrer sur loption par défaut (1)L’installation va se poursuivre un moment, avec un défilement de commandes, jusqu’à s’arrêter surl’écran suivant :Michel Bonnefond – Version 0.1 du document Page 3
  4. 4. Guide PfSense 2.0Tapez la lettre I pour lancer linstallation (sinon on boot sur le live-cd Pfsense mais on ne linstalle pas) Placez-vous sur « Accept these Settings » et tapez « Entrée »NB : J’ai choisi de garder ces paramètres car mes nombreuses tentatives pour changer la langue sesont révélées infructueuses.Michel Bonnefond – Version 0.1 du document Page 4
  5. 5. Guide PfSense 2.0 Placez-vous sur « Quick/Easy Install » et tapez « Entrée » Tapez « Entrée »Michel Bonnefond – Version 0.1 du document Page 5
  6. 6. Guide PfSense 2.0 Choisissez la première option (pour les processeurs multi-cœurs) Linstallation est terminée. Tapez sur « Entrée » pour redémarrer la machine. Enlevez le CD du lecteur.1.2) Premiers paramétrages de PfsenseL’installation terminée, il va désormais falloir effectuer quelques paramétrages afin de pouvoiraccéder au pare-feu depuis son interface web (la quasi-totalité de la configuration se fait vianavigateur web).Michel Bonnefond – Version 0.1 du document Page 6
  7. 7. Guide PfSense 2.0Si l’installation s’est bien déroulée, la machine démarre sur le nouveau système, et on doit obtenircet écran :Le temps de chargement des divers paramètres du système d’exploitation peut être long, mais onarrive ensuite à l’écran suivant : Il est demandé s’il y a des VLANs à configurer. Ici, répondre non (à adapter selon votre cas bien évidemment)Ensuite, il va falloir paramétrer les cartes réseaux afin de correctement les attribuer. Le nommagedes différentes cartes étant parfois peu explicite, je vous conseille de préparer les câbles réseaux àconnecter (au moins ceux du réseau local (LAN) et celui relié à la «box» Internet » (WAN)).En effet, PfSense pourra vous détecter automatiquement la bonne carte si vous branchez le câble aumoment opportun.Par contre, ne branchez pas les câbles avant qu’on vous le demande !!On arrive donc à l’écran suivant :Michel Bonnefond – Version 0.1 du document Page 7
  8. 8. Guide PfSense 2.0Tapez « a »pour déclencher la détection automatique (attention, le clavier est sûrement en qwerty !!).Branchez le câble qui sera relié au WAN (Pfsense vous dira qu’il voit un lien s’activer (up)) puis validez par « Entrée ». Répétez l’opération pour le câble LAN (et les éventuels autres).Une fois la configuration des cartes effectuée, on arrive à un écran qui récapitule les différentescartes réseau et leur association : Tapez « y » et validez par « Entrée »A ce moment-là, Pfsense est accessible via son interface web sur l’adresse IP 192.168.1.1. Nous allonsdonc la modifier pour l’intégrer à notre réseau et poursuivre la configuration.Michel Bonnefond – Version 0.1 du document Page 8
  9. 9. Guide PfSense 2.0On est donc devant l’écran suivant : Tapez « 2 » puis « Entrée .Choisissez ensuite le numéro associé à la carte LAN et validez finalement par « Entrée » Une fois l’adresse IP et le masque de sous-réseau renseignés, il vous est demandé si vous vous voulez« remettre » le configurateur web en http (il est en https d’origine).Répondre « y » (contrairement à la capture d’écran) car « n » peut poser quelques soucis avec les configurations ultérieures.NB : Il est possible de paramétrer également le(s) autre(s) carte(s) réseaux mais nous le ferons depuisl’interface web.Michel Bonnefond – Version 0.1 du document Page 9
  10. 10. Guide PfSense 2.0A ce stade là, vous pouvez laisser pfsense tranquille, la configuration se fera depuis un PC du réseauvia un navigateur web.Lancez un navigateur web, et dans la barre d’adresse, saisissez http://adresse-ip-pfsense/ puisvalidez par « Entrée ». On arrive sur la page d’identification suivante : Connectez-vous avec les identifiants suivants : Login : admin Mot de passe : pfsenseLa première chose à faire est de modifier le mot de passe par défaut. Pour cela, il faut se rendre dansl’onglet System/User Manager : On clique sur le « e » pour éditer le profil de l’administrateurMichel Bonnefond – Version 0.1 du document Page 10
  11. 11. Guide PfSense 2.0NB : Sur chaque onglet, il existe deux icones : le « e » permettant d’éditer le paramètre et le « + »permettant d’ajouter un paramètre.Renseignez le nouveau mot de passe sur les deux lignes surlignées. Confirmez en cliquant sur « Save ».Ensuite, il faut se rendre dans l’onglet « System/Advanced » et cocher la case suivante (en bas de lapage), ce qui permettra d’activer la connexion via SSH au pare feu : Confirmez la modification en cliquant sur « Save ».Michel Bonnefond – Version 0.1 du document Page 11
  12. 12. Guide PfSense 2.0Puis, il faut configurer l’adresse IP du WAN. Pour cela, se rendre dans l’onglet Interfaces/WAN :Dans cet onglet, renseignez l’adresse IP (avec l’adresse IP publique de votre fournisseur d’accès) avecson masque de sous-réseau et l’adresse de la passerelle (cliquez sur « add a new one »). Validez bien en cliquant sur « Save »Enfin, il est nécessaire de paramétrer les DNS du fournisseur d’accès. Pour cela, se rendre dansl’onglet : System/General SetupMichel Bonnefond – Version 0.1 du document Page 12
  13. 13. Guide PfSense 2.0 Renseignez le hostname (nom donné à la machine), le(s) serveur(s) DNS ainsi que la Time Zone (qui permettra de synchroniser le pare-feu avec un serveur de temps). Vous pouvez également renseigner le domaine (pas obligatoire) mais en évitant de mettre « local ». Validez en cliquant sur « Save »NB : Sur cet onglet, vous avez la possibilité de changer le thème des pages de configuration depfsense. Attention, à partir de ce moment-là, Internet est accessible à toutes les machines du réseau, sans restriction ni filtre !!Michel Bonnefond – Version 0.1 du document Page 13
  14. 14. Guide PfSense 2.0 2) Les règles d’accèsPfsense permet de réaliser un filtrage par protocole(s), port(s),…, sur chaque interface. Pour cela, ilfaut paramétrer les règles dans l’onglet Firewall/Rules.Les règles fonctionnent de manière hiérarchique. En effet, Pfsense va « lire » les règles de haut enbas, et dès qu’il trouvera une règle s’appliquant au trafic, il l’appliquera. Par exemple, avec deuxrègles, une bloquant le protocole https, et l’autre l’autorisant, Pfsense appliquera la première qu’ilrencontrera (la plus haute) Ici, la règle appliquée est celle bloquant le https.2.1) Paramétrer les règles de base Par défaut, Pfsense bloque tout trafic sur l’interface WAN et autorise tout trafic du LAN : Règles par défaut sur l’interface WANMichel Bonnefond – Version 0.1 du document Page 14
  15. 15. Guide PfSense 2.0Les règles concernant le WAN ne doivent être modifiées que pour laisser passer du trafic entrant(VPN, DMZ,..). Il ne faudra donc pas y toucher pour le moment. Règles par défaut sur l’interface LANAfin de réaliser un « meilleur » filtrage, il est d’abord conseillé de bloquer tout trafic et d’ensuiteautoriser un à un les ports et/ou protocole.Concernant les deux règles par défaut du LAN, il ne faut surtout pas désactiver la règle « Anti-Lockout », qui permet de se connecter à l’interface web de Pfsense via un autre PC (sous peine dedevoir reconfigurer voir réinstaller Pfsense).Par contre, la seconde règle est celle qui autorise tout le trafic. Il faut donc soit la désactiver, soit lasupprimer (je l’avais dans un premier temps désactivée car au besoin, j’avais juste à la réactiver pouravoir de nouveau accès à Internet rapidement)Pour la supprimer, cliquez sur la croix correspondant à la règle, et validez le message de confirmationde suppression : Cliquez sur la croix surlignée pour supprimer la règleMichel Bonnefond – Version 0.1 du document Page 15
  16. 16. Guide PfSense 2.0Pour uniquement la désactiver, cliquez sur la règle puis sur le bouton « e ». L’écran suivant arrive : Cochez la case surlignée pour désactiver la règle. Validez en cliquant sur « Save ».Ensuite, il faudra créer une règle qui bloque tout. En effet, comme cela, tout le trafic ne répondantpas à une règle définie dans pfsense sera automatiquement bloqué par cette règle-ci.Il est donc impératif de positionner cette règle en dernière position sur la liste de toutes les règles.Cliquez donc sur le bouton « + »Michel Bonnefond – Version 0.1 du document Page 16
  17. 17. Guide PfSense 2.0 Règle bloquant tout trafic provenant du LANA ce stade-ci, tout trafic depuis le LAN est bloqué. Règles avec tout le trafic bloquéDésormais, il va falloir créer une règle par port, protocole, … C’est-à-dire pour chaque besoinspécifique.A titre d’exemple, la règle autorisant le trafic http se créera de la manière suivante :Michel Bonnefond – Version 0.1 du document Page 17
  18. 18. Guide PfSense 2.0 Règle autorisant le trafic httpEnsuite, pour plus de facilité, il est possible de cliquer sur le bouton « + » suivant pour créer un« clone » d’une règle existante (pratique lorsque l’on crée des règles qui diffèrent uniquement sur leport par exemple)Vous trouverez donc pour vous aider, une liste des ports utiles au sein d’un EPL en annexe :Annexe 1 : Liste des portsMichel Bonnefond – Version 0.1 du document Page 18
  19. 19. Guide PfSense 2.0Voici, à titre d’exemple, les règles en vigueur pour le réseau pédagogique du lycée de Montauban : Règles en vigueur sur le réseau pédagogique du lycée de Montauban au 03 mai 20122.2) Bloquer l’accès au https de facebookAvec la blacklist de Toulouse, tous les réseaux sociaux seront bloqués (voir chapitre 3, le filtrageInternet). Mais, il persiste le souci de Facebook, toujours accessible via https. Il existe diversesmanières de bloquer cet accès (fichier host modifié, protocole https bloqué par défaut et réouvertsite par site,..) mais dans ce cas précis, comme facebook doit être autorisé sur certaines plageshoraires, la solution suivante a été adoptée :2.2.1) Création d’un alias facebookIl va falloir créer un alias pour les adresses IP publiques de facebook. Pour créer un alias, il faut serendre dans l’onglet Firewall/Aliases. Cliquer sur le « + » et donner les caractéristiques suivantes :Michel Bonnefond – Version 0.1 du document Page 19
  20. 20. Guide PfSense 2.0La liste des adresses IP publiques de facebook est assez longue, la voici ci-dessous : Attention à bien respecter les masques de sous-réseau !2.2.2) Définir les plages horaires d’accès à FacebookSi vous souhaitez uniquement bloquer tout le temps l’accès à facebook, vous pouvez passerdirectement au chapitre suivant : Règle pour le blocage de l’accès https à FacebookMichel Bonnefond – Version 0.1 du document Page 20
  21. 21. Guide PfSense 2.0Ensuite, comme les utilisateurs ont besoin de se connecter durant certaines plages horaires et quepour se connecter, le protocole https est utilisé, il va falloir créer un calendrier pour ces plageshoraires. Pour cela, il faut se rendre dans l’onglet Firewall/Schedules. Cliquez sur le bouton « + » pourajouter un calendrier : Dans cet exemple, un calendrier nommé horaires_cours va être créé. En cliquant sur « Add Time », une plage horaire, allant de minuit à 12h15, les lundis, mardis, mercredis, jeudis et vendredis, sera créée.Il va falloir définir ici toutes les plages horaires pendant lesquelles l’accès à Facebook sera bloqué. Calendrier pour Facebook autorisé les mercredis après-midi (de 12h15 à 19h), les lundis, mardis et jeudis de 12h15 à 13h30, les lundis et jeudis de 17h30 à 18h et les mardis de 17h30 à 19h.Michel Bonnefond – Version 0.1 du document Page 21
  22. 22. Guide PfSense 2.0Une fois toutes les plages horaires définies, cliquez sur « Save » pour enregistrer votre calendrier. Ilne reste plus désormais qu’à définir la règle pour bloquer l’accès.2.2.3) Règle pour le blocage de l’accès https à FacebookEnfin, il faut créer une règle associée à cet alias. Pour cela, se rendre dans Firewall/Rules, puis cliquersur le « + ». La règle doit alors avoir les caractéristiques suivantes : Règle pour bloquer le https de FacebookMichel Bonnefond – Version 0.1 du document Page 22
  23. 23. Guide PfSense 2.0Si vous souhaitez permettre l’accès au site pendant certaines plages horaires, vous devez en pluscomplétez les paramètres suivants :L’effet de « Schedule » est d’activer la règle pendant les plages horaires définis (ici horaires_cours) et de la désactiver hors de ces horaires.2.3) Règles à définir dans le cas de plusieurs LANDans le cas où plusieurs LAN sont définis (par exemple, un réseau pédagogique et un réseauadministratif), il va falloir bloquer les accès entre ces deux réseaux. Pour cela, il va falloir créer unerègle sur chaque interface : Règle de blocage sur l’interface du LAN Pédago Règle de blocage sur l’interface du LAN AdminCi-dessous, le détail de la règle sur l’interface du LAN «Pédago ».Michel Bonnefond – Version 0.1 du document Page 23
  24. 24. Guide PfSense 2.0 Détails de la règle de blocage sur l’interface du LAN PédagoEnsuite, de la même manière, il vous sera possible de créer des règles en fonction des besoins decommunications entre plusieurs LAN (serveur web, partage de fichiers, d’imprimantes,…) 3) Le filtrage InternetIl est nécessaire de tracer toutes les communications vers l’Internet au sein des établissements, etpour cela, il va falloir installer des paquets additionnels à pfsense. Pour cela, il faut se rendre dansl’onglet System/Package Manager.Michel Bonnefond – Version 0.1 du document Page 24
  25. 25. Guide PfSense 2.0L’onglet « installed Packages » décrit les paquets installés sur la machine et l’onglet « AvailablePackages » ceux disponibles pour une installation.3.1) Installation des paquets pour le filtrage InternetPour permettre de filtrer les accès à Internet, les paquets squid (pas squid3), squidGuard etLightsquid.Pour installer un paquet, cliquez sur le bouton « + »Une boite de dialogue demande confirmationPuis, l’installation se déroule « toute seule ».Une fois les trois paquets installés, passez à la configuration.Michel Bonnefond – Version 0.1 du document Page 25
  26. 26. Guide PfSense 2.03.2) Configuration du serveur proxyAfin de configurer le proxy, se rendre dans l’onglet Services/Proxy Server : Paramètres à modifier pour configurer le serveur proxyUne fois ces paramètres renseignés, l’accès à internet est inactif. En effet, il va falloir créer une règleconcernant le port utilisé par le serveur proxy (ici 3128).Ensuite, il faut configurer le filtrage en lui-même.Michel Bonnefond – Version 0.1 du document Page 26
  27. 27. Guide PfSense 2.03.3) Configuration du filtrage3.3.1) Configuration générale du filtrageSe rendre dans l’onglet Services/Proxy Filter : Paramètres à modifier pour configurer le filtre proxy. La blacklist de l’université de Toulouse sera utilisée. Son adresse pour pfsense est la suivante: ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gzEnsuite, se rendre dans l’onglet « Blacklist ». La blacklist sera téléchargée afin d’être intégrée àpfsense : Cliquez sur le bouton « Download »Michel Bonnefond – Version 0.1 du document Page 27
  28. 28. Guide PfSense 2.0Une fois le téléchargement complété, se rendre dans l’onglet « Common ACL » et cocher leséléments suivants :Avec ces paramètres :  l’accès aux sites Internet directement avec les adresses IP sera bloqué  les moteurs de recherche ne retourneront pas de résultats pour certains types de recherches  les demandes d’accès (autorisées ou non) seront journalisées.Ensuite, en cliquant sur la flèche verte, le détail des différentes catégories de la blacklist seraaccessible :Michel Bonnefond – Version 0.1 du document Page 28
  29. 29. Guide PfSense 2.0 Extrait du détail des catégories de la blacklistIl conviendra donc ici de définir la stratégie générale d’accès aux différentes catégories de la blacklistde Toulouse. Le détail de ces catégories est accessible à l’adresse suivante : http://cri.univ-tlse1.fr/blacklists/ .Attention toutefois à bien définir la dernière ligne (default acces) sur le paramètre « allow », sinonl’accès à tous les sites sera impossible.Une fois les accès définis, validez en cliquant sur « Save ».NB : Il est possible que Pfsense ne prenne pas tout de suite en compte les modifications. Pour uneprise en compte plus rapide, désactiver puis activer le filtre en décochant puis cochant la casesuivante Cliquez sur « Apply » et attendez que le service passe de « Started » à « Stopped » (et vice-versa)Michel Bonnefond – Version 0.1 du document Page 29
  30. 30. Guide PfSense 2.0A ce stade-là, le filtrage est opérationnel et identique pour tous, à tout moment de la journée. Il peutêtre nécessaire de procéder à des réglages particuliers (en fonction des heures, des personnes,...).3.3.2) Filtrage en fonction des horairesAfin de pouvoir définir des règles de filtrages en fonction des horaires, il convient tout d’abord dedéfinir la ou les plages horaires. Pour cela, se rendre dans l’onglet « Times », puis cliquez sur lebouton « + » afin d’ajouter une plage horaire : Définition des horaires en dehors des périodes de coursUne fois la plage horaire définie, se rendre dans l’onglet « Groups ACL ». Cliquez sur le « + » pourcréer une nouvelle ACL pour des règles de filtrages.Il faudra définir les règles de filtrage qui s’appliqueront pendant les horaires définis précédemmentet celles qui s’appliquent en dehors.Michel Bonnefond – Version 0.1 du document Page 30
  31. 31. Guide PfSense 2.0 Configuration d’une ACL en fonction des horairesMichel Bonnefond – Version 0.1 du document Page 31
  32. 32. Guide PfSense 2.03.3.3) Filtrage en fonction des adresses IPDe la même manière qu’il est possible de créer des règles de filtrages en fonction de horaires, il estpossible de créer des règles en fonction des adresses IP. Il suffit de créer une nouvelle ACL : Configuration d’une ACL en fonction des adresses IPLa notion importante concernant les ACL est que, comme pour les règles, pfsense va les appliquer enfonction de leur « classement ». Par exemple sur la capture d’écran ci-dessous :L’ACL « service-info » est appliquée en premier, l’ACL « défiltrer » est désactivée et l’ACL « hors-coursest appliquée ensuite. Toute machine ne correspondant à aucune de ces ACL se verra appliquer lesrègles de filtrage définies dans l’onglet « Common ACL »Michel Bonnefond – Version 0.1 du document Page 32
  33. 33. Guide PfSense 2.03.3.4) La page de redirection du proxyUne fois le proxy configuré, la page de redirection en cas de site bloqué est assez austère. Extrait de la page de redirectionSi l’on souhaite modifier cette page, il convient alors de modifier le fichier suivant de pfsense:/usr/local/www/sgerror.phpPour une question de pratique, se connecter à l’aide du logiciel WinSCP (téléchargeable sur la pagesuivante http://winscp.net/eng/download.php ).Copiez le fichier depuis pfsense sur votre poste. Ainsi, vous pourrez faire une copie de sauvegarde dufichier d’origine afin de commencer les modifications.NB : Il est possible de modifier le fichier directement depuis le logiciel WinSCP.Il est possible de modifier de nombreux paramètres, mais, afin d’afficher une page sans les codeserreurs, le fichier a été modifié de la manière suivante :Michel Bonnefond – Version 0.1 du document Page 33
  34. 34. Guide PfSense 2.0Ce qui donne la page de redirection suivante : Page de redirection modifiéeIMPORTANT : une fois votre page correctement configurée, faites une copie de sauvegarde du fichiersgerror.php. En effet, lors des mises à jour de squid et/ou squidguard, la mise à jour remplace lefichier par le fichier « d’origine » !3.3.5) Mise à jour automatique de la blacklistSous pfsense, il n’existe pas de possibilité par défaut pour mettre à jour la blacklist (si ce n’est serendre manuellement dans l’onglet Proxy Filter/Blacklist et cliquer sur le bouton download). Afind’automatiser la mise à jour, il est nécessaire d’effectuer quelques paramétrages. Tout d’abord, lorsque Pfsense met à jour la blacklist, il crée un script dans le dossier tmp. Il va falloirrécupérer ce script. Pour cela, à l’aide de WinSCP, copier le fichier squidGuard_blacklist_update.shdans un dossier (il a été choisi de le copier dans le dossier etc, il est tout à fait possible de le copierailleurs voir de créer un dossier).Une fois le fichier copié, rajoutez les lignes ci-dessous dans le fichier /cf/conf/config.xml :Michel Bonnefond – Version 0.1 du document Page 34
  35. 35. Guide PfSense 2.0 Lignes à ajouter pour la mise à jour automatique de la blacklist (ces lignes définissent en fait l’exécution du script copie dans le dossier etc tous les jours à 23h30)3.4) Les journaux du proxyA FAIRE OU EN COURS DECRITURE 4) Les VPNs4.1) VPN entre un pare-feu Pfsense et un pare-feu ipcopUne documentation permettant la mise en place d’un VPN entre un ipcop et un pfsense existe déjà.Elle est accessible en Annexe 2NB : Bien que cette méthode soit parfaitement fonctionnelle, une méthode à base de certificatsserait plus sécurisée. Des tests sont en cours afin de permettre une telle méthode. Si ceux-ciaboutissent, la documentation sera mise à jour.4.2) VPN entre deux pare-feu PfsenseA FAIRE OU EN COURS DECRITURE4.3) VPN avec des clients « mobiles » à l’aide du logicielA FAIRE OU EN COURS DECRITURE 5) Mise en place d’une DMZA FAIRE OU EN COURS DECRITUREMichel Bonnefond – Version 0.1 du document Page 35
  36. 36. Guide PfSense 2.0 6) Les mises à jour de PfSenseA FAIRE OU EN COURS DECRITUREMichel Bonnefond – Version 0.1 du document Page 36
  37. 37. Guide PfSense 2.0 ANNEXESAnnexe 1 : Liste des ports « utilisés »au sein d’un réseau Ports & Protocoles Services TCP : 80 HTTP (pas obligatoire si proxy transparent) TCP : 110 POP3 TCP : 25 SMTP TCP : 443 HTTPS TCP & UDP : 22 SSH TCP & UDP : 21 FTP TCP & UDP : 119 NNTP TCP : 143 IMAP TCP & UDP : 123 NTP TCP : 510 FirstClass TCP : 81 Nocia/Page de redirection SquidGuard TCP : 1717 Module Java dEVA TCP : 1494 Luciole UDP : 10000 Magellan TCP : 264 Prisme / EPICEA TCP : 256 Prisme / EPICEA TCP : 709 Prisme / EPICEA UDP : 2746 Prisme / EPICEA UDP & TCP : 500 (Isakmp) Prisme / EPICEA / Magellan TCP : 389 (LDAP) Prisme / EPICEA TCP & UDP : 8080 Webcache TCP & UDP : 8081 tproxy TCP : 18231, 18232, 18233, 18234 Checkpoint TCP & UDP : 53 DNS TCP & UDP : 800 Proxy Squid TCP : 1863 MSN Messenger TCP: 1495 Citrix TCP: 2598 CitrixMichel Bonnefond – Version 0.1 du document Page 37
  38. 38. Guide PfSense 2.0Annexe 2 : Mise en place d’un VPN entre un ipcop et un pfsenseMichel Bonnefond – Version 0.1 du document Page 38
  39. 39. Guide PfSense 2.0Michel Bonnefond – Version 0.1 du document Page 39
  40. 40. Guide PfSense 2.0Michel Bonnefond – Version 0.1 du document Page 40
  41. 41. Guide PfSense 2.0Michel Bonnefond – Version 0.1 du document Page 41
  42. 42. Guide PfSense 2.0Michel Bonnefond – Version 0.1 du document Page 42
  43. 43. Guide PfSense 2.0Michel Bonnefond – Version 0.1 du document Page 43

×