proxy : pfsensepfsense.audouyg.fr/ccf-situation1-pfsense.pdf · installation et configuration de...
TRANSCRIPT
Proxy : PfSense
Installation – Configuration de PfSense
Version : 2.0.3
26/05/2014
M2L
AUDOUY Gauthier
SOMMAIRE
1. Installation 1
2. Configuration des cartes réseau 6
3. Interface WEB 7
I. Connexion 7
II. System 10
III. General SETUP 11
IV. Interface 11
V. Firmware 12
VI. Package Manager 13
VII. Firewall 14
A. Rules 14
VIII. Virtual IP 18
A. Serveur Maitre 18
B. Serveur Esclave 20
IX. Portail Captif 21
X. Supervision du trafic internet 23
XI. Filtrage URL 26
XII. Configuration des postes utilisateurs 28
XIII. Schéma Final du réseau 29
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
1
AUAUDODOUYUY G Gauauththier –
I. Installation
Insérerez le CD d’installation et lancez le démarrage de la machine.
Un premier écran s’affiche :
Laissez le choix par défaut ou appuyez sur la touche Entrée ( Boot pfSense [default] )
Lorsque plusieurs choix vous sont proposés, entrez I afin d’installer Pfsense .
Sélectionnez <Accept These Settings >
a l’aides des flèches directionnelles du
clavier et appuyez sur Entrer.
INSTALLATION ET CONFIGURATION DE PFSENSE
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
2
Sélectionnez <Quick/Easy Install>
Sélectionnez <OK>
Patientez quelques instants jusqu’à la prochaine étape …
Sélectionnez <Standard Kernel>
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
3
Patientez quelquse instants jusqu’à la prochaine étape …
Sélectionnez <Reboot>
Saisissez n pour no lorsque vous est demandé la création de
VLAN.
Il est important de connaitre la correspondance des cartes em0, em1 et em2 de manière physique et
logique avant de procéder à l’étape suivante.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
4
Entrez les cartes réseaux correspondants à chaque réseau, dans notre cas :
· WAN : em0
· LAN : em1
· Opt1 : em2
Entrez y pour YES afin de valider les paramètres
Les divers services vont donc pouvoir se lancer
Eteignez la machine et retirez le CD d’installation
Relancez la machine.
Appuyez sur F1 ou patientez quelques instants
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
5
Laissez le choix par défaut ou appuyez sur la touche Entrée ( Boot pfSense [default] )
Le menu Pfsense s’affiche :
L’installation de PfSense est donc terminé.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
6
II. Configuration des cartes réseau
Dans le menu de Pfsense entrez 2 soit l’option : Set Interface(s) IP adress
Entrer la valeur 2 correspondant à la carte LAN.
Saisissez l’adresse IP statique de la carte réseau LAN correspondant à l’adresse de PfSense .
Saisissez la valeur CIDR 24 correspondant au masque 255.255.255.0.
Appuyez sur deux fois Entrée pour ne pas définir de passerelle puis une troisième fois pour ne pas
définir d’adresse IPV6.
Entrez N pour NON afin de ne pas activer le service DHCP.
Enfin, cliquez sur Entrée pour continuer.
Si cela est proposé, Activez la redirection du panel de configuration graphique vers un service http.
Entrez y soit YES.
Effectuez la même manipulation pour la carte réseau WAN et pour la carte Opt1.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
7
III. Interface WEB
I. Connexion
Tapez l’adresse WEB du serveur dans le navigateur WEB : 172.16.71.253 et 172.16.71.252
La page de connexion à l’administration du serveur s’affiche :
Saisissez les identifiants par défaut :
· Username : admin
· Passwords : pfsense
Un assistant de configuration s’affiche
Remplissez les infos comme l’image ci-dessous :
· Hostname : pfsense
· Domain : m2l
· Primary DNS Server : 172.16.71.14
· Secondary DNS Server : 172.16.224.45 Cocher la casse Override DNS
Cliquez sur Next .
Dans le timezone, sélectionner Europe/Paris .
Puis cliquez sur Next .
Vérifiez que RDC1918 Networks et Block bogon networks soient décochés.
Puis cliquez sur Next.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
8
L’assistant affiche l’adresse IP et le masque saisi précédemment lors de l’installation.
Si les informations sont incorrectes, les corriger. Autrement, cliquez sur Next.
Pour des raisons de sécurité, il est obligatoire de changer de mot de passe.
Saisissez le nouveau mot de passe : AdmS$sic31
Cliquez sur Reload, afin que le serveur prenne en compte les modifications.
Cliquez sur Click here to continue on to pfsense webConfigurator pour continuer.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
9
L’interface web de pfsense est donc accessible.
Il est possible d’ajouter des modules dit « Widgets » via l’icone
Les widgets permettent de visualiser rapidement et facilement l’activité du serveur
en tout point.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
10
II. System
Allez dans SYSTEM puis Advanced
Pour des raisons de sécurité, le protocole d’accès à l’espace d’administration sera HTTPS.
L’accès SSH sera également sécurisé en cochant la case Enable Secure Shell.
Pour plus de sécurité, le port SSH peut être modifié.
Cliquez sur Save.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
11
III. General SETUP
Montez les pfsenses sur le domaine et entrez les adresse IP du serveur DNS principal et des
secondaires avec la passerelle d’accès a ces derniers.
Puis cliquez sur Save.
IV. Interface
ð Opt1
Sur les deux serveurs :
Activez l’interface en
cochant la case Enable
Interface.
Donnez le nom de Sync
dans Description.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
12
Donnez-lui une adresse IP sur
le réseau et un
masque (cf.tableau
d’adressage en annexe).
Puis cliquez sur Save.
Pour le coté WAN, vérifiez la présence de la
passerelle : 172.16.0.1 /24
Et cliquez sur Save.
V. Firmware
Il est important de vérifier régulièrement les mises à jour du serveur à l’aide du service :
Auto Update
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
13
VI. Package Manager
L’ajout de nouveau service se fait via l’onglet Package Manager .
Les paquets disponibles sont situés dans l’onglet Available Packages et les paquets installés dans
Installed Packages.
Installation d’un widget
Exemple : LightSquid
Cliquez sur le bouton Ajouter[+] .
Puis OK
L’installation des widgets se réalise de manière autonome.
Ajouter[+] .
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
14
Le paquet est par la suite visible dans
Installed Packages .
Les Package à télécharger sont les suivants :
v Squid: Proxy cache haute performance.
v
v squidGuard : Redirecteur d’URL permettant de bloquer ou d’autoriser l’accès à certains sites.
v
v LightSquid : Supervisons du trafic web
.
VII. Firewall
A. Rules
Afin de maitriser les flux de données, il va falloir n’autoriser que certains protocoles bien précis.
Au niveau du WAN, rien n’est à modifier.
Le LAN quant à lui, devra autoriser un certain nombre de service dont les plus connus : DNS, HTTP,
HTTPS….
LE FIREWALL BLOQUE TOUTES LES ENTREES ET SORTIES QUI NE SONT PAS EXPLICITEMENT
AUTORISER.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
15
Pour ajouter une route, cliquez sur le bouton Ajouter [+].
Ajouter [+
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
16
Exemple : Ajout du port 1270 pour le CNES – Vidéo Conférence
I. Choisir le protocole TCP/UDP .
II. Dans destination port range, entrez le port 1270 . III. Ajoutez dans description, le motif de l’autorisation d’ouverture de ce port.
IV. Cliquez sur Save pour sauvegarder.
Il est également possible, d’être plus précis comme sur le type d’OS pouvant réaliser ses requêtes.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
17
Il est important de cliquer sur Apply changes, afin que l’ajout soit pris en compte.
La route insérée est donc désormais visible : Services :
La carte SYNC comportera une seule règle autorisant tout trafic de circuler.
Services
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
18
VIII. Virtual IP
Le protocole CARP permet d’effectuer la fonction de Failover-Failback en cas d’interruption de service
d’un proxy pfsense.
A. Serveur Maitre
Appuyez sur le bouton [+] sur la droite.
ð Pour l’adresse virtuelle WAN
Réalisez la configuration suivante et sauvegardez en cliquant sur Save.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
19
ð Pour l’adresse virtuelle LAN
Réalisez la configuration suivante et sauvegardez en cliquant sur Save.
ð Dans l’onglet CARP Setting.
· Cochez la case Synchronize states.
· Selectionnez l’interface de Synchronisation : SYNC
· Dans Synchronise config to IP entrez l’adresse IP de l’inteface SYNC du Pfsense esclave.
· Dans remote system username entrez le nom d’utilisateur de l’administrateur du Pfsense
esclave.
· Puis dans Remote system password entrez le mot de passe administrateur du Pfsense
esclave.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
20
Cocher les cases :
· Synchronize rules
· Synchronize NAT
· Synchronize virtual IPs
Et cliquez sur Save.
ð Visualisation
Allez dans l’onglet Status /CARP
On constate que le serveur est devenu Maitre et Actif sur les deux ports.
B. Serveur Esclave
Ce dernier est passé en attente, soit Backup.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
21
IX. Portail Captif
Pour créer le portail captif, cliquez sur le bouton [+].
Entrez la zone name « m2l » et la description « Portail Cpatif de la M2L ».
Le portail CAPTIF de la M2L devra n’autoriser l’accès à internet qu’à certains utilisateurs autorisés
venant du réseau LAN.
Ø Cochez la case Enable captive portal. Ø Sélectionnez l’interface LAN.
Ø Entrez la valeur 60 pour le Idle Timeout.
Ø Entrez la valeur 720 pour le Hard Timeout sois 12H.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
22
Dans Authentification, cochez le bouton RADIUS Authentification et le protocole MSCHAPv1.
Afin de pouvoir autoriser l’accès au web aux utilisateurs présents dans le groupe user_m2l de l’active
directory.
· Entrez l’adresse IP du serveur RADIUS : 172.16.72.14
· Le mot secret : pfsense
Saisir l’URL de redirection après authentification de l’utilisateur dans After Authentification -
Redirection URL.
Dans RADIUS Options cliquez sur
Reauthetification connected user every .
Sélectionnez l’adresse permettant
d’accéder au serveur RADIUS, dans notre
cas, le coté WAN.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
23
X. Supervision du trafic internet
Télécharger-installer le package Squid comme vu précédemment.
Aller dans l’onglet Service puis Proxy Server.
Cocher les cases :
· Allow user on interface
· Transparent proxy
· Bypass proxy …
Et laissez les paramètres par défaut.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
24
Dans l’onglet Cache management , changer les valeur :
· Hard disk cache size : 1024
· Memory cache size : 32
· Maximum object size in : 64
Puis redémarrer le serveur via l’onglet Diagnostic puis Reboot.
Sur le tableau de bord du Pfsense, on
constate que le service Squid est en service.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
25
Par la suite, allez dans Service puis Proxy
Reports et effectuer les paramètres suivant :
· Language : French
· Refresh : 2H
· Skip Url :
au.download.windowsupdate.com
Puis cliquez sur Refresh Now et Refresh Full
et cliquer sur Save.
Après quelque minute, il est désormais possible, d’accéder au rapport en cliquant sur l’onglet
Lighsquid Report.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
26
XI. Filtrage URL
Installez SquidGuard comme vu précédement.
Puis allez dans démarrer le proxy, allez dans l’onglet General Settings et cochez la case Enable,
cliquez sur Apply pour démarrer le service.
Puis :
· Dans Blacklist options, cochez la case : Blacklist
· Dans Blacklist URL, copier l’url d’une blackList, par
exemple, celle très complète de l’IUT du capitole de
Toulouse disponible à l’adresse :
http://dsi.ut-capitole.fr/blacklists/
· Cliquez sur Save pour sauvegarder et appliquer les paramètres.
ð Téléchargement et installation de la black List
Allez dans l’onglet BlackList et cliquez sur Download.
La BlackList se téléchargera et s’installera automatiquement.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
27
Pour configurer la BlackList, cliquez sur l’onglet Common ACL . Cliquez sur le bouton pour afficher en détails les différentes listes regroupées par « catégorie ».
Cliquer sur pour masquer celles-ci.
Pour chaque catégorie 4 configurations sont permises :
1. - - paramètre par défaut catégorie non prise en compte
2. White catégories autorisées
3. deny catégories non autorisées
4. allow catégories autorisées sauf les sites appartenant à une autre catégorie
Le choix de configuration des catégories est la suivante :
Ø En plus de ces Black Liste pré-definis, il est possible de bloquer des sites autorisés ou
encore d’incorporer des White Liste permettant d’autoriser des sites interdits par une
BlackList .
Pour cela, allez dans Target Categories.
Cliquez sur Ajouter [+].
Saisissez un ou des domaines, URL, Mots clés.
Cliquez sur Save pour enregistrer les modifications.
Pour décider si il s’agit d’une WhiteList ou BlackList, il faut aller modifier le choix dans Common
ACL .
Pour appliquer les modifications effectuées, il faut :
OBLIGATOIREMENT, REDEMARRER LE PROXY.
Installation et configuration de Pfsense
AUDOUY Gauthier – M2L
28
XII. Configuration des postes utilisateurs
· Configuration des navigateurs WEB [Firefox – IE]
Voici la configuration à suivre avec les navigateurs installéz sur les postes de travail du parc
informatique de la M2L.
Ø Internet Explorer :
1. Ouvrir Internet Explorer
2. Aller dans les options
3. Cliquer sur l’onglet Connexion
4. Cliquer sur paramètres réseaux
5. Cocher la case « Détecter automatiquement les paramètres de connexion »
Ø Firefox :
1. Ouvrir Firefox
2. Cliquer sur outils
3. Cliquer sur option
4. Onglet Avancé
5. Onglet réseau
6. Cliquer sur Paramètre
7. Cocher la case « Détection Automatique »
ANNEXE
Plan d’adressage
Nom de la carte Position carte Adresse Masque Passerelle
Pfsense-Maitre
S1
De0 WAN 172..16.72.8 /16 172.16.0.1
De1 LAN 172.16.72.253
/24 172.16.72.254
De2 PfSync 172.16.72.245
Pfsense - Esclave
S2
De0 WAN 172.16.72.9 /16 172.16.0.1
De1 LAN 172.16.72.252
/24 172.16.72.254
De2 PfSync 172.16.72.246
Adresse vrtuelle LAN
LAN 172.16.72.254
Adresse virtuelle WAN WAN 172.16.72.10
Windows Serveur Eth0 LAN 172.16.72.14
STA-1 Eth0 LAN 172.16.72.16