Les articles de votre blog ici ? Inscrivez votre blog !

pfSense : la distribution FreeBSD dédiée au routage et au firewalling

Publié le 21 juin 2011 par Lolokai @lolokai

Présentation

pfSense est un firewall/routeur open-source basé sur FreeBSD et distribué sous licence BSD. C’est un fork de monowall qui est aussi une distribution permettant de faire office de firewall. Non content d’être uniquement un firewall et un routeur, pfSense offre une multitude de fonctionnalités comme la prise en charge de : NAT, VPN over IPSec/PPTP, DHCP Server, serveur proxy….

Où est ce que pfSense doit être placé physiquement sur un réseau ?

Hé bien, par défaut, pfSense doit faire office de passerelle entre votre réseau et un réseau extérieur ou un autre sous-réseau. Il peut être interconnecté au réseau de la façon suivante :

Installation/Configuration de base

Installation

Pour télécharger pfsense, rendez-vous ici : Pfsense mirrors, nous prendrons comme exemple pfsense 2.0-RC1 (qui malgré son stade de release candidate reste a mon avis très stable). Maintenant que pfsense est téléchargé, gravez l’iso et insérez le CD-ROM dans votre machine et bootez dessus.

Lorsque le message : « Time-out before auto boot continues » appuyez sur la touche « I » de votre machine. L’installation se lance, on va vous demander de définir 3 paramètres par défaut, en général je laisse les 2 premiers paramètres par défaut, je passe juste mon clavier en fr. Validez en appuyant sur « Apply these settings ».
Appuyez sur « Quick/Easy Install », validez en appuyant sur « Ok », l’installation se lance. Suivant le type de processeur de votre machine, choisissez la bonne option lorsque cela vous est demandé. L’installation est terminée, appuyez sur Reboot. La machine redémarre.

Configuration des interfaces

La machine a démarré . La première chose qu’il vous demande : Voulez-vous paramétrer des VLANS ? Pour faire simple, on réponds par non cependant si vous devez tagguer les paquets qui sortent faites le . Puis il vous pose les questions suivantes :

Enter the WAN interface name or ‘a’ for auto-detection : Entrez ici l’interface réseau qui fait la liaison vers l’extérieur (vos cartes réseaux sont listées un peu plus haut)
Enter the LAN interface name or ‘a’ for auto-detection
NOTE : this enables full Firewalling/NAT mode.
(or nothing if finished): Entrez ici le nom de votre interface réseau qui communique avec votre réseau LAN

Si vous avez d’autres interfaces réseaux, entrez les dans les interfaces réseaux optionnelles sinon appuyez sur Entrée.
Lors du message de confirmation si vous avez bien configuré vos interfaces, appuyez sur la touche « y ».

L’écran suivant devrait apparaitre :

Si vous souhaitez modifier vos adresses IP, appuyez sur 2, choisissez l’interface pour laquelle vous voulez changer l’adresse IP puis suivez les instructions à l’écran. Il vous sera demandé en fonction de l’interface que vous configurez si vous souhaitez activer ou désactiver le serveur DHCP sur celle-ci (à vous de voir ). Vous devrez aussi choisir entre le protocole https ou http pour administrer votre firewall, préferez le protocole https.

Maintenant, nous allons passer à la configuration de pfSense via l’interface web. Pour cela : https://[adresse_ip_du_reseau_lan]. Les logins par défaut sont : admin/pfsense.

Configuration des passerelles

Pour configurer les paserelles, rendez-vous dans : System ==> Routing. Si votre interface WAN est configurée via DHCP vous devriez voir déjà la paserelle de l’interface WAN.

Pour ajouter une passerelle : ; Pour supprimer une passerelle : ; Pour editer une passerelle :

Conseil : Lorsque vous avez configuré les passerelles, n’oubliez pas d’appliquer les changements en appuyant sur le bouton « Apply changes »

Configuration de NAT

Pour configurer NAT, rendez-vous dans Firewall ==> NAT. Vous aurez le choix, soit vous configurez du port forwarding, soit du 1:1 (c’est à dire une adresse WAN = une adresse LAN), ou bien du NAT en sortie (et non en entrée).

Pour ajouter une règle : ; Pour supprimer une règle : ; Pour editer une règle :

Conseil : Lorsque vous avez configuré NAT, n’oubliez pas d’appliquer les changements en appuyant sur le bouton « Apply changes »

Configuration du firewall

Pour configurer votre firewall, rendez-vous dans Firewall ==> Rules. Vous pouvez configurer une règle de firewall suivant l’interface sur laquelle elle s’applique (en entrée, en sortie ou les deux ^^).

Pour ajouter une règle : ; Pour supprimer une règle : ; Pour editer une règle :

Conseil : Lorsque vous avez configuré le firewall, n’oubliez pas d’appliquer les changements en appuyant sur le bouton « Apply changes ». Les règles du firewall s’applique de « A à Z », autrement dit la première règle en haut sera prioritaire sur les autres et ainsi de suite.

Les packages

Pfsense permet d’ajouter des packages (un peu comme des plug-ins) pour ajouter certaines fonctionnalités à notre firewall. A titre d’exemple, il est possible de « coupler » PfSense à SNORT (qui va permettre à Pfsense de faire aussi office d’IDS). Les packages disponibles peuvent être visualisés et installé ici : System ==> Packages ==> Availables packages.

Conclusion

pfSense permet de faire office de firewall et de routeur. Au delà de ça, il offre beaucoup de fonctionnalités très poussées comme : le NAT, le VPN etc… De plus, l’ajout de plug-ins permet à pfsense d’être totalement modulable et d’agrandir encore plus son panel de fonctionnalités. pfsense peut parfaitement se substituer à votre modem/routeur et même pousser plus loin encore les fonctionnalités de celui-ci. Bref, à mettre dans toutes les mains désireuses d’avoir un bon firewall/routeur à moindre cout .

Et vous, avez-vous déjà testé pfsense ? ou même une autre distribution tel que : monowall, IPCop… ? Qu’en pensez-vous ?