proxy : pfsensepfsense.audouyg.fr/ccf-situation1-pfsense.pdf · installation et configuration de...

Proxy : PfSense

Installation – Configuration de PfSense

Version : 2.0.3

26/05/2014

M2L

AUDOUY Gauthier

SOMMAIRE

1. Installation 1

2. Configuration des cartes réseau 6

3. Interface WEB 7

I. Connexion 7

II. System 10

III. General SETUP 11

IV. Interface 11

V. Firmware 12

VI. Package Manager 13

VII. Firewall 14

A. Rules 14

VIII. Virtual IP 18

A. Serveur Maitre 18

B. Serveur Esclave 20

IX. Portail Captif 21

X. Supervision du trafic internet 23

XI. Filtrage URL 26

XII. Configuration des postes utilisateurs 28

XIII. Schéma Final du réseau 29

Installation et configuration de Pfsense

AUDOUY Gauthier – M2L

1

AUAUDODOUYUY G Gauauththier –

I. Installation

Insérerez le CD d’installation et lancez le démarrage de la machine.

Un premier écran s’affiche :

Laissez le choix par défaut ou appuyez sur la touche Entrée ( Boot pfSense [default] )

Lorsque plusieurs choix vous sont proposés, entrez I afin d’installer Pfsense .

Sélectionnez <Accept These Settings >

a l’aides des flèches directionnelles du

clavier et appuyez sur Entrer.

INSTALLATION ET CONFIGURATION DE PFSENSE



2

Sélectionnez <Quick/Easy Install>

Sélectionnez <OK>

Patientez quelques instants jusqu’à la prochaine étape …

Sélectionnez <Standard Kernel>



3

Patientez quelquse instants jusqu’à la prochaine étape …

Sélectionnez <Reboot>

Saisissez n pour no lorsque vous est demandé la création de

VLAN.

Il est important de connaitre la correspondance des cartes em0, em1 et em2 de manière physique et

logique avant de procéder à l’étape suivante.



4

Entrez les cartes réseaux correspondants à chaque réseau, dans notre cas :

· WAN : em0

· LAN : em1

· Opt1 : em2

Entrez y pour YES afin de valider les paramètres

Les divers services vont donc pouvoir se lancer

Eteignez la machine et retirez le CD d’installation

Relancez la machine.

Appuyez sur F1 ou patientez quelques instants



5

Laissez le choix par défaut ou appuyez sur la touche Entrée ( Boot pfSense [default] )

Le menu Pfsense s’affiche :

L’installation de PfSense est donc terminé.



6

II. Configuration des cartes réseau

Dans le menu de Pfsense entrez 2 soit l’option : Set Interface(s) IP adress

Entrer la valeur 2 correspondant à la carte LAN.

Saisissez l’adresse IP statique de la carte réseau LAN correspondant à l’adresse de PfSense .

Saisissez la valeur CIDR 24 correspondant au masque 255.255.255.0.

Appuyez sur deux fois Entrée pour ne pas définir de passerelle puis une troisième fois pour ne pas

définir d’adresse IPV6.

Entrez N pour NON afin de ne pas activer le service DHCP.

Enfin, cliquez sur Entrée pour continuer.

Si cela est proposé, Activez la redirection du panel de configuration graphique vers un service http.

Entrez y soit YES.

Effectuez la même manipulation pour la carte réseau WAN et pour la carte Opt1.



7

III. Interface WEB

I. Connexion

Tapez l’adresse WEB du serveur dans le navigateur WEB : 172.16.71.253 et 172.16.71.252

La page de connexion à l’administration du serveur s’affiche :

Saisissez les identifiants par défaut :

· Username : admin

· Passwords : pfsense

Un assistant de configuration s’affiche

Remplissez les infos comme l’image ci-dessous :

· Hostname : pfsense

· Domain : m2l

· Primary DNS Server : 172.16.71.14

· Secondary DNS Server : 172.16.224.45 Cocher la casse Override DNS

Cliquez sur Next .

Dans le timezone, sélectionner Europe/Paris .

Puis cliquez sur Next .

Vérifiez que RDC1918 Networks et Block bogon networks soient décochés.

Puis cliquez sur Next.



8

L’assistant affiche l’adresse IP et le masque saisi précédemment lors de l’installation.

Si les informations sont incorrectes, les corriger. Autrement, cliquez sur Next.

Pour des raisons de sécurité, il est obligatoire de changer de mot de passe.

Saisissez le nouveau mot de passe : AdmS$sic31

Cliquez sur Reload, afin que le serveur prenne en compte les modifications.

Cliquez sur Click here to continue on to pfsense webConfigurator pour continuer.



9

L’interface web de pfsense est donc accessible.

Il est possible d’ajouter des modules dit « Widgets » via l’icone

Les widgets permettent de visualiser rapidement et facilement l’activité du serveur

en tout point.



10

II. System

Allez dans SYSTEM puis Advanced

Pour des raisons de sécurité, le protocole d’accès à l’espace d’administration sera HTTPS.

L’accès SSH sera également sécurisé en cochant la case Enable Secure Shell.

Pour plus de sécurité, le port SSH peut être modifié.

Cliquez sur Save.



11

III. General SETUP

Montez les pfsenses sur le domaine et entrez les adresse IP du serveur DNS principal et des

secondaires avec la passerelle d’accès a ces derniers.

Puis cliquez sur Save.

IV. Interface

ð Opt1

Sur les deux serveurs :

Activez l’interface en

cochant la case Enable

Interface.

Donnez le nom de Sync

dans Description.



12

Donnez-lui une adresse IP sur

le réseau et un

masque (cf.tableau

d’adressage en annexe).

Puis cliquez sur Save.

Pour le coté WAN, vérifiez la présence de la

passerelle : 172.16.0.1 /24

Et cliquez sur Save.

V. Firmware

Il est important de vérifier régulièrement les mises à jour du serveur à l’aide du service :

Auto Update



13

VI. Package Manager

L’ajout de nouveau service se fait via l’onglet Package Manager .

Les paquets disponibles sont situés dans l’onglet Available Packages et les paquets installés dans

Installed Packages.

Installation d’un widget

Exemple : LightSquid

Cliquez sur le bouton Ajouter[+] .

Puis OK

L’installation des widgets se réalise de manière autonome.

Ajouter[+] .



14

Le paquet est par la suite visible dans

Installed Packages .

Les Package à télécharger sont les suivants :

v Squid: Proxy cache haute performance.

v

v squidGuard : Redirecteur d’URL permettant de bloquer ou d’autoriser l’accès à certains sites.

v

v LightSquid : Supervisons du trafic web

.

VII. Firewall

A. Rules

Afin de maitriser les flux de données, il va falloir n’autoriser que certains protocoles bien précis.

Au niveau du WAN, rien n’est à modifier.

Le LAN quant à lui, devra autoriser un certain nombre de service dont les plus connus : DNS, HTTP,

HTTPS….

LE FIREWALL BLOQUE TOUTES LES ENTREES ET SORTIES QUI NE SONT PAS EXPLICITEMENT

AUTORISER.



15

Pour ajouter une route, cliquez sur le bouton Ajouter [+].

Ajouter [+



16

Exemple : Ajout du port 1270 pour le CNES – Vidéo Conférence

I. Choisir le protocole TCP/UDP .

II. Dans destination port range, entrez le port 1270 . III. Ajoutez dans description, le motif de l’autorisation d’ouverture de ce port.

IV. Cliquez sur Save pour sauvegarder.

Il est également possible, d’être plus précis comme sur le type d’OS pouvant réaliser ses requêtes.



17

Il est important de cliquer sur Apply changes, afin que l’ajout soit pris en compte.

La route insérée est donc désormais visible : Services :

La carte SYNC comportera une seule règle autorisant tout trafic de circuler.

Services



18

VIII. Virtual IP

Le protocole CARP permet d’effectuer la fonction de Failover-Failback en cas d’interruption de service

d’un proxy pfsense.

A. Serveur Maitre

Appuyez sur le bouton [+] sur la droite.

ð Pour l’adresse virtuelle WAN

Réalisez la configuration suivante et sauvegardez en cliquant sur Save.



19

ð Pour l’adresse virtuelle LAN

Réalisez la configuration suivante et sauvegardez en cliquant sur Save.

ð Dans l’onglet CARP Setting.

· Cochez la case Synchronize states.

· Selectionnez l’interface de Synchronisation : SYNC

· Dans Synchronise config to IP entrez l’adresse IP de l’inteface SYNC du Pfsense esclave.

· Dans remote system username entrez le nom d’utilisateur de l’administrateur du Pfsense

esclave.

· Puis dans Remote system password entrez le mot de passe administrateur du Pfsense

esclave.



20

Cocher les cases :

· Synchronize rules

· Synchronize NAT

· Synchronize virtual IPs

Et cliquez sur Save.

ð Visualisation

Allez dans l’onglet Status /CARP

On constate que le serveur est devenu Maitre et Actif sur les deux ports.

B. Serveur Esclave

Ce dernier est passé en attente, soit Backup.



21

IX. Portail Captif

Pour créer le portail captif, cliquez sur le bouton [+].

Entrez la zone name « m2l » et la description « Portail Cpatif de la M2L ».

Le portail CAPTIF de la M2L devra n’autoriser l’accès à internet qu’à certains utilisateurs autorisés

venant du réseau LAN.

Ø Cochez la case Enable captive portal. Ø Sélectionnez l’interface LAN.

Ø Entrez la valeur 60 pour le Idle Timeout.

Ø Entrez la valeur 720 pour le Hard Timeout sois 12H.



22

Dans Authentification, cochez le bouton RADIUS Authentification et le protocole MSCHAPv1.

Afin de pouvoir autoriser l’accès au web aux utilisateurs présents dans le groupe user_m2l de l’active

directory.

· Entrez l’adresse IP du serveur RADIUS : 172.16.72.14

· Le mot secret : pfsense

Saisir l’URL de redirection après authentification de l’utilisateur dans After Authentification -

Redirection URL.

Dans RADIUS Options cliquez sur

Reauthetification connected user every .

Sélectionnez l’adresse permettant

d’accéder au serveur RADIUS, dans notre

cas, le coté WAN.



23

X. Supervision du trafic internet

Télécharger-installer le package Squid comme vu précédemment.

Aller dans l’onglet Service puis Proxy Server.

Cocher les cases :

· Allow user on interface

· Transparent proxy

· Bypass proxy …

Et laissez les paramètres par défaut.



24

Dans l’onglet Cache management , changer les valeur :

· Hard disk cache size : 1024

· Memory cache size : 32

· Maximum object size in : 64

Puis redémarrer le serveur via l’onglet Diagnostic puis Reboot.

Sur le tableau de bord du Pfsense, on

constate que le service Squid est en service.



25

Par la suite, allez dans Service puis Proxy

Reports et effectuer les paramètres suivant :

· Language : French

· Refresh : 2H

· Skip Url :

au.download.windowsupdate.com

Puis cliquez sur Refresh Now et Refresh Full

et cliquer sur Save.

Après quelque minute, il est désormais possible, d’accéder au rapport en cliquant sur l’onglet

Lighsquid Report.



26

XI. Filtrage URL

Installez SquidGuard comme vu précédement.

Puis allez dans démarrer le proxy, allez dans l’onglet General Settings et cochez la case Enable,

cliquez sur Apply pour démarrer le service.

Puis :

· Dans Blacklist options, cochez la case : Blacklist

· Dans Blacklist URL, copier l’url d’une blackList, par

exemple, celle très complète de l’IUT du capitole de

Toulouse disponible à l’adresse :

http://dsi.ut-capitole.fr/blacklists/

· Cliquez sur Save pour sauvegarder et appliquer les paramètres.

ð Téléchargement et installation de la black List

Allez dans l’onglet BlackList et cliquez sur Download.

La BlackList se téléchargera et s’installera automatiquement.



27

Pour configurer la BlackList, cliquez sur l’onglet Common ACL . Cliquez sur le bouton pour afficher en détails les différentes listes regroupées par « catégorie ».

Cliquer sur pour masquer celles-ci.

Pour chaque catégorie 4 configurations sont permises :

1. - - paramètre par défaut catégorie non prise en compte

2. White catégories autorisées

3. deny catégories non autorisées

4. allow catégories autorisées sauf les sites appartenant à une autre catégorie

Le choix de configuration des catégories est la suivante :

Ø En plus de ces Black Liste pré-definis, il est possible de bloquer des sites autorisés ou

encore d’incorporer des White Liste permettant d’autoriser des sites interdits par une

BlackList .

Pour cela, allez dans Target Categories.

Cliquez sur Ajouter [+].

Saisissez un ou des domaines, URL, Mots clés.

Cliquez sur Save pour enregistrer les modifications.

Pour décider si il s’agit d’une WhiteList ou BlackList, il faut aller modifier le choix dans Common

ACL .

Pour appliquer les modifications effectuées, il faut :

OBLIGATOIREMENT, REDEMARRER LE PROXY.



28

XII. Configuration des postes utilisateurs

· Configuration des navigateurs WEB [Firefox – IE]

Voici la configuration à suivre avec les navigateurs installéz sur les postes de travail du parc

informatique de la M2L.

Ø Internet Explorer :

1. Ouvrir Internet Explorer

2. Aller dans les options

3. Cliquer sur l’onglet Connexion

4. Cliquer sur paramètres réseaux

5. Cocher la case « Détecter automatiquement les paramètres de connexion »

Ø Firefox :

1. Ouvrir Firefox

2. Cliquer sur outils

3. Cliquer sur option

4. Onglet Avancé

5. Onglet réseau

6. Cliquer sur Paramètre

7. Cocher la case « Détection Automatique »



29

XIII. Schéma réseau

ANNEXE

Plan d’adressage

Nom de la carte Position carte Adresse Masque Passerelle

Pfsense-Maitre

S1

De0 WAN 172..16.72.8 /16 172.16.0.1

De1 LAN 172.16.72.253

/24 172.16.72.254

De2 PfSync 172.16.72.245

Pfsense - Esclave

S2

De0 WAN 172.16.72.9 /16 172.16.0.1

De1 LAN 172.16.72.252

/24 172.16.72.254

De2 PfSync 172.16.72.246

Adresse vrtuelle LAN

LAN 172.16.72.254

Adresse virtuelle WAN WAN 172.16.72.10

Windows Serveur Eth0 LAN 172.16.72.14

STA-1 Eth0 LAN 172.16.72.16

proxy : pfsensepfsense.audouyg.fr/ccf-situation1-pfsense.pdf · installation et configuration de...

Documents