Créer une machine virtuelle pfSense
1
Choix du système d'exploitation
Sélectionnez l'option "Other" puis "FreeBSD 12 64-bit" lors de la création de la machine virtuelle pour permettre l'installation de pfSense.
2
Configuration des paramètres
Ajustez la mémoire vive (1Go mini.), la taille du disque (16 Go mini.) et le nombre de processeurs en fonction des besoins de votre réseau.
3
Démarrage et installation
Lancez la machine virtuelle et suivez l'assistant d'installation de pfSense pour configurer votre pare-feu.
Installation du pfSense, voir le guide Neptunet
Une fois que vous avez terminé la configuration de votre VM, suivez le guide pfSense par Neptunet pour l'installation et la configuration complètes. Le guide vous fournira des instructions détaillées et des conseils pour une configuration optimale de votre pare-feu pfSense. Vous pouvez le trouver sur le site web Awoui.
Ajouter des "Network Adapter" pour faire les connexion à vos réseaux.
Dans VMware Workstation Pro, cliquez sur "Settings" de la VM pfSense, allez dans "Network" puis ajoutez des adaptateurs réseau "Custom" pour configurer les interfaces de votre pare-feu. Ces adaptateurs permettront à pfSense de se connecter aux différents réseaux de votre infrastructure.
Relevez les adresses MAC dans Advanced et assurez vous d'enregistrer les adresses MAC pour chaque adaptateur réseau ajouté. Vous aurez besoin de ces adresses pour configurer les interfaces correspondantes dans pfSense.
Conseil : Réaliser un tableau récapitulatif des interfaces réseaux
Pour faciliter la configuration de vos interfaces réseau, il est recommandé de créer un tableau récapitulatif des interfaces réseaux. Dans ce tableau, vous pouvez indiquer le nom de chaque interface, l'adresse IP attribuée, le masque de sous-réseau, et éventuellement d'autres informations pertinentes, comme . Cela vous permettra de garder une trace claire de votre configuration et de vous assurer que chaque interface est correctement attribuée.
Assigner les interfaces à pfSense
Dans l'assistant d'installation de pfSense, sélectionnez l'option "Assign Interfaces" avec le numéro 1. Vous serez ensuite invité à attribuer chaque interface à un réseau spécifique. Suivez les instructions à l'écran pour configurer correctement les interfaces de votre pare-feu en fonction de votre infrastructure réseau.
Relever la liaison entre les n° d'interfaces "em" et l'adresse MAC
Pour vous assurer que chaque interface Ethernet est correctement assignée, vous pouvez relever la correspondance entre les numéros des interfaces em et leur adresse MAC. Pour cela, vous pouvez utiliser l'option 1 dans le Terminal de pfSense.
Une fois que vous avez noté la correspondance, assurez vous de l'utiliser pour attribuer les interfaces de manière appropriée.
Suivre l'assistant de configuration
Après avoir relevé la correspondance entre les numéros des interfaces em et leurs adresses MAC, vous pouvez suivre l'assistant de configuration de pfSense pour configurer ces interfaces correctement. L'assistant vous guidera à travers les différentes étapes, telles que la configuration des interfaces WAN et LAN, et d'autres paramètres réseau nécessaires pour votre infrastructure.
Pour commencer les VLANs ne seront pas définis car dans notre lab. VMWare Workstation Pro ne les prend pas en charge.
L'interface WAN est définit sur em0 car l'adresse MAC relever correspond bien à celle inscrite dans le tableau pour l'adaptateur réseau menant au vmnet8 NAT.
L'interface LAN est définit sur em1 car de la même façon elle correspond à l'adapteur connecté au vmnet VLAN ADMIN
Les autres interfaces seront à définir en fonction de votre répartition entre OPT 1, OPT2 et VLANs supplémentaires.
Attribuer les adresses IP
En vous basant sur les réseaux que vous avez dans votre infrastructure.
Utiliser l'option 2. de pfSense pour configurer vos interfaces une à une.
L'interface web se met par défaut sur l'interface LAN quand elle est configurée et passe parfois sur la OPT1.
Lorsqu'il vous est proposé Do you want to revert as http protocol ?
Utilisez "no", sinon il faudra utiliser http://IP_pfSense à la place de https://IP_pfSense
L'utilisation de https est fortement recommandé !
Configuration avancée de pfSense
Paramètres réseau
Définissez les interfaces réseau, les adresses IP, les règles de routage et les paramètres DHCP pour adapter pfSense à votre infrastructure.
Gestion du pare-feu
- Créez des règles de pare-feu personnalisées
- Activez la filtration de contenu et la prévention d'intrusion
- Configurez des VPNs pour sécuriser les connexions à distance
Surveillance et journalisation
Analysez les journaux d'événements et surveillance le trafic réseau pour détecter et résoudre les problèmes de sécurité.
Exemple typique de schéma réseau avec pfSense
Exemple de règles pour la zone LAN
Anti-Lockout Rule
Permet de s'assurer que l'administrateur ne se verrouille pas hors de l'interface de gestion.
Ports : 80 (HTTP) et 22 (SSH) pour l'accès à l'administration du pfSense.
1. Allow DNS to pfSense
Autorise le trafic DNS (port 53) vers le pare-feu pour résoudre les noms de domaine.
Ports : 53 (DNS).
2. NAT Redirect DNS
Redirige les requêtes DNS vers le pare-feu pour qu'il gère la résolution des noms de domaine localement. Le pare-feu, dans ce cas, joue le rôle de serveur DNS.
Ports : 53 (DNS).
3. Block DNS everything else
Bloque toutes les autres requêtes DNS qui ne sont pas dirigées vers le pare-feu et qui tenteraient d'accéder à des serveurs DNS externes, pour des raisons de sécurité.
Ports : 53 (DNS).
4. Autoriser HTTP
Autorise le trafic HTTP (port 80) pour la navigation web non sécurisée.
Ports : 80 (HTTP).
5. Autoriser HTTPS
Autorise le trafic HTTPS (port 443) pour la navigation web sécurisée.
Ports : 443 (HTTPS).
6. Autoriser NTP
Autorise la synchronisation de l'heure via le protocole NTP (port 123).
Port : 123 (NTP).
7. Autoriser PING
Autorise les requêtes ICMP (ping) pour tester la connectivité réseau.
Protocole : ICMP (echo request).
8. Tout bloquer
Règle par défaut pour bloquer tout le trafic non autorisé par les règles précédentes.
Règles IPv6 désactivées
Règles par défaut pour IPv6, désactivées car non utilisées dans cette configuration.