66

- Rapport PAE -

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

À propos de … PfSense

PfSense est un routeur / pare-feu open source basé sur FreeBSD. Basé sur PacketFilter, comme iptables sur GNU/Linux, il est réputé pour sa fiabilité.

Après une installation en mode console, il s’administre ensuite depuis uneinterface web et gère nativement les VLAN.

Les dates de pfSense :

4 Octobre 2006 : lancement de la version 1.0. Fin Décembre 2011 : arrivée de la version 2.0 finale.

Les fonctionnalités de pfSense :

Filtrage par IP source et destination, port du protocole, IP source etdestination pour le trafic TCP et UDP.

NAT. Basculement base sur CARP et pfsync. VPN. RRD Graphiques. Dynamic DNS. Captive Portal. Serveur DHCP et relais. Gestion de plugin.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Topologie attendue

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Procédure d’installation de pfSense

Pour l’installation de pfSense, j’ai utilisé :

1 ordinateur. 3 autres cartes réseau. 1 Switch. 1 CD ROM où un ISO de pfSense a été monté.

En termes de configuration requise, on peut faire tourner pfSense sur un

processeur, 512 Mo de RAM et 8Go de disque, pfSense se contente de très peu.

Lors du démarrage de l'ordinateur avec le CD où un ISO a été monté, le menu de

boot apparaît.

J’appuie sur entrée pour booter les options par défaut

J’appuie rapidement sur la touche “I” afin de démarrer l'installation.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

L'installation démarre, dès le premier écran nous pouvons régler différents

paramètres notamment la police d'écriture et l'encodage des caractères.

Je sélectionne “Accept these Settings“.

Je choisis “Quick/Easy Install” pour procéder à l'installation rapide.

Le message qui suit, nous informe que le disque dur sera formaté et que toutes

les données présentes seront effacées.

Je sélectionne “OK” et je poursuis.

L'installation débute et copie les fichiers nécessaires sur le disque dur, nous

devons part la suite choisir quel type de kernel nous voulons installer, étant sur

un ordinateur nous choisissons le “Standard Kernel“.

Une fois l’installation finie, je choisis “Reboot” et je redémarre sur la nouvelle

installation.

Remarque : Ne pas oublier pas de sortir le CD de pfSense avant de redémarrer.

Premier boot de pfSense

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Lors du premier démarrage de pfSense, il faut configurer les différentes

interfaces (WAN, LAN,...), il faut donc bien repérer les différentes cartes réseaux

afin de ne pas se tromper dans la configuration car sinon:

Pas d’accès à l'interface web et le pare-feu ne fonctionnera pas.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

pfSense affiche nos différentes cartes réseaux avec leur adresse MAC, ce qui me

permettra de les différencier.

La première étape de configuration concerne l'utilisation des VLANs, j’appuie sur

la touche “N“.

Je dois ensuite déterminer quel interface est sur le côté WAN, pour cela je saisis

manuellement le nom de l'interface, soit je laisse pfSense le faire

automatiquement en appuyant sur “A“.

La détection automatique est utile dans notre cas, car il n'est pas simple de

différencier les cartes réseaux, et, l'adresse MAC n'est pas une donnée facilement

accessible.

En revanche, la détection ne fonctionne que si les cartes sont branchées

et actives.

Ensuite, je fais la même chose pour la carte réseau sur le LAN.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

A noter : la précision de pfSense nous indique que cela activera le Pare-feu et le

NAT.

Je créerais par la suite les autres interfaces réseaux, qui nécessiteront une carte

réseau pour chacune d'elle.

J’appuie sur “Entrée“.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

pfSense résume l'attribution des cartes réseaux aux différentes interfaces et je

valide avec “Y“.

Une fois la configuration initiale terminée, le menu de la console de pfSense

apparaît.

Celui-ci est utile dans le cas de tâches administratives : oubli du mot de passe de

l'interface web.

Néanmoins la plupart des options présentes dans ce menu sont disponibles via

l'interface web.

À noter : la présence des paramètres de chaque interface et notamment

l'adresse IP d'accès à l'interface web de pfSense, à savoir sur la capture du

dessous 172.16.xx.xx.

Configuration de pfSense par l’interface web

Pour pouvoir configurer en version test pfSense, j’ai installé deuxordinateurs sous XP un représentant le LAN Pédagogie et l’autrereprésentant le LAN Administratif.

Ces deux ordinateurs sont reliés à un Switch HP. Un troisième ordinateur, où pfSense est installé, est également relié au

Switch. Le Switch est relié directement à la SDSL.

Utilisation de l’interface web

Je lance le navigateur Firefox et je tape sur la barre de recherche :

http://172.16.xx.xx/

Une page d’identification apparait :

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Pour se connecter, il faut entrer les identifiants par défaut suivants :

Username : admin. Password : pfSense.

Une fois identifié, je change le mot de passe par défaut dans l’onglet System/User Manager :

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

À noter : sur chaque onglet, il existe deux icônes :

: qui permet d’ « éditer » le paramètre et de le modifier.

: qui permet d’ « ajouter » un nouveau paramètre.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Je clique donc sur le pour afficher les paramètres par défaut et modifier lemot de passe.

Puis sur .

Ensuite, il faut se rendre dans l’onglet Secure Shell de « System/Advanced » et cocher la case suivante (en bas de la page), ce qui permettra d’activer la connexion via SSH à pfSense :

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Je confirme la modification en cliquant sur .

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Configuration des interfaces :

Pour cela, je me rends sur l’onglet et j’en sélectionne une.

Pour l’exemple, je vais configurer mon WAN SDSL

C’est sur une page comme ci-dessus que je vais configurer les adresses IP :

Des LAN Administratif et Pédagogie

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Et pour le WAN Numéricâble, la configuration réseau se fera en DHCP:

Je confirme chaque configuration en cliquant sur .

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Enfin, il est nécessaire de paramétrer les DNS. Pour cela, je me rends dans l’onglet System/General Setup :

Je peux renseigner :

le hostname - nom donné à la machine, le serveur DNS ainsi que la Time Zone qui permet de synchroniser le pare-

feu avec un serveur de temps. le domaine : ce dont je n’ai pas besoin.

Je valide en cliquant sur .

Configuration de la Passerelle par défaut

Se rendre sur System/Routing :

Cet onglet permet notamment de renseigner les passerelles par défaut et ainsi notifier la route de nos deux interfaces pour se connecter sur internet.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Renseigner les champs entourés :

Concernant mon WAN Numéricâble, configuré en DHCP, je n’ai pas renseigné le

champ « », je l’ai laissé vide et une fois les autres champs renseignés, j’ai validé cette configuration.

Ainsi, l’adresse IP de la Passerelle par défaut de l’interface Numéricâble s’est dynamiquement renseignée.

Ensuite, il faut configurer le Load Balancer

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Configuration NAT

On a maintenant besoin de configurer le NAT en activant la fonction avancé de NAT sur «outbound» qui se situe:

NAT Outbound activer l’option «Manual Outbound NAT…».

Création de deux nouvelles entrées :

Comme nous souhaitons router le trafic du LAN Administratif vers la SDSL et du LAN Pédagogie vers Numéricâble, nous allons devoir ajouter deux entrées pour chacun des cas de figure.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Attention, à partir de ce moment-là, Internet est accessible à toutes lesmachines du réseau, sans restriction ni filtre !!

Les règles d’accès

pfSense permet de réaliser un filtrage par protocole, port,…, sur chaqueinterface. Pour cela, il faut paramétrer les règles dans l’onglet Firewall/Rules.

Les règles fonctionnent de manière hiérarchique. En effet, pfSense va « lire » lesrègles de haut en bas, et dès qu’il trouvera une règle s’appliquant au trafic, ill’appliquera.

Exemple : avec deux règles, une bloquant le protocole https, et l’autrel’autorisant, pfSense appliquera la première qu’il rencontrera (la plus haute).

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Paramétrer les règles de base

Coté WAN :

Par défaut, pfSense bloque tout trafic sur l’interface WAN SDSL et autorise touttrafic du LAN :

Règles par défaut sur l’interface WAN SDSL – les mêmes règles serontparamétrer pour Numéricâble.

Coté LAN :

Règles par défaut à configurer sur l’interface LAN Pédagogie et l’interface LANAdministratif.

Pour réaliser un bon filtrage, le mieux est de bloquer tout le trafic et ensuite dedonner les autorisations une à une que ce soit par protocole ou alias.

Concernant les deux règles par défaut :

Anti-Lockout Rule : il ne faut surtout pas la désactiver car elle permet de seconnecter à l’interface web de pfSense via un autre PC (sous peine de devoirreconfigurer voire de réinstaller pfSense).

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Default allows LAN to any rule: cette règle autorise tout le trafic. Il faut soit ladésactiver ou la supprimer. Comme le montre la capture d’écran ci-dessus, j’aiopté pour la désactivation puisque la règle est grisée.

Pour la désactiver, cliquez sur la règle puis sur le bouton .

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

L’écran suivant arrive :

Cochez la case surlignée pour désactiver la règle. Puis cliquer sur .

Ensuite, il faut créer une règle qui bloque tout. Comme cela, tout le trafic nerépondant pas à une règle définie dans pfSense sera automatiquement bloquépar cette règle-ci.

Il est donc impératif de positionner cette règle en dernière position sur la liste de

toutes les règles. Je clique donc sur le bouton .

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Règle bloquant tout trafic provenant du LAN Administratif.

Je valide la règle en cliquant sur .

A ce stade-ci, tout trafic depuis le LAN est bloqué.

Je configure les mêmes règles pour le LAN Pédagogie.

Configuration des règles selon les demandes du cahier des charges :

Petit rappel des demandes :

LAN PédagogieLes hôtes doivent se connecter sur Internet par le WANNuméricâble.Les hôtes se connectant sur E-Lyco doivent passer sur le WANSDSL.Les hôtes ne pourront pas se connecter sur le LANAdministratif

LAN AdministratifLes hôtes doivent se connecter sur Internet et sur E-Lyco quepar le WAN SDSL.Les hôtes pourront se connecter au LAN Pédagogie.

WAN SDSLToutes les connexions à E-Lyco se feront sur cette interface.Toutes les connexions à Internet par le LAN Administratif seferont sur cette interface.

WANNuméricâble

Toutes les connexions à Internet par le LAN Pédagogie seferont sur cette interface.

Voici les règles de filtrage configurées répondant aux exigences du cahier descharges pour chacune des interfaces.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

WAN:

NUMERICABLE

SDSL

LAN: ADMINISTRATIF

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

PEDAGOGIE

Vérification du résultat des stratégies des règles de filtrage :

LAN Pédagogie

Connexion Internet du LAN Pédagogie sur le WAN Numéricâble

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Connexion à Kiella en 10.xx.xx.xx/8 (LAN Administratif) sur le LAN Pédagogie :

Connexion à E-Lyco en http://www.st-charles.e-lyco.fr sur le LAN Pédagogie :

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Connexion au LAN Administratif en 10.xx.xx.xx/8 par le LAN Pédagogie en 172.16.xx.xx/22

LAN Administratif

Concernant le LAN administratif, sa seule règle restrictive est de se connecter surinternet par la SDSL uniquement :

Pour finir, j’ai réalisé une sauvegarde de la configuration de pfSense.

Voir Annexes – pfSense – Annexe 1.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

pfSense Annexe 1

Réalisation d’un Backup

Configuration Sauvegarde

On sélectionne

ALL

Download Configuration

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Enregistrer

Ouvrir & Enregistrer.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Fermer

On retrouve le fichier de config dans le dossier Backup pfSense que l'on avait créé précédemment :

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Configuration restauration

Restore configuration

ALL

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Parcourir

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

Ouvrir

Restore Configuration

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014

66

- Rapport PAE -

REBOOT de pfSense avec la dernière configuration sauvegardée.

Section TSGERI 12 - 13010 - Juin

2013 à Avril 2014