pfSense WEB

Sécurisation du pfSense

Nous allons maintenant parametrer le pfSense à partir d’une interface web. Celle-ci a pour but de filtrer les différents paquets qui pourront transiter par ce routeur. Pour cela, n’importe quelle machine reliée au pfSense peut être utilisée. Ici nous avons le choisi ADM01.

Ouvrir un navigateur web (1):

DM1

Entrer dans la barre d’url l’IP du pfSense de l’interface réseau par laquelle votre machine y est racordée, ici 192.168.2.1:

DM1

Entrer vos identifiants, ou les identifiants par défaut (1) et (2)
Cliquer sur “SIGN IN” pour continuer (3):

DM1

Cliquer sur “NEXT” (1):

DM1

Cliquer sur “NEXT” (1):

DM1

Décocher “Override DNS” (1)
Cliquer sur “NEXT” (2):

DM1

Entrer “fr.pool.ntp.org” dans “Time server hostname” (1)
Sélectionner “Europe/Paris” dans “Timezone” (2)
Cliquer sur “NEXT” (3):

DM1

Descendre en bas de la page (1)
Cliquer sur “NEXT” (2):

DM1

Vérifier que l’auto-complétion de l’adresse LAN IP et du mask de sous-réseau du pfSense correspondent bien aux valeurs entrées précédemment dans la configuration du pfSense (1) (2)
Cliquer sur “NEXT” (3):

DM1

Changer le mot de passe administrateur par défaut de l’interface web pfSense (1)
Confirmer la saisie (2)
Cliquer sur “NEXT” (3):

DM1

Cliquer sur “Reload” (1):

DM1

Cliquer sur “Check for updates” (1):

DM1

Vérifier que le pfSense est à jour. Sinon, sélectionner une nouvelle version dans “Branch”:

DM1

La configuration du Wizard est terminée (1)
Cliquer sur “Finish” (2):

DM1

Descendre en bas de la page (1)
Cliquer sur “Accepter” (2):

DM1

Cliquer sur “Close” (1):

DM1

Créons maintenant les règles du pfSense.

Cliquer sur “Firewall” (1)
Cliquer sur “Rules” (2) pour les éditer:

DM1

Cliquer sur “LAN” (1):

DM1

Sélectionner les règles par défaut (1)
Cliquer sur “Delete” (2):

DM1

Cliquer sur “OK” (1) pour confirmer les suppression:

DM1

Cliquer sur “Apply Changes” (1) pour rendre effectif le nouveau jeu de règles dans le pfSense:

DM1

Un message de confirmation des changements apparaît.

DM1

On remarque maintenant que nous n’avons plus accès à internet depuis ADM01 car les paquets sont filtrés. Les règles par défaut ayant été supprimées, il est désormais impossible de communiquer avec le monde extérieur par pfsense-DM1.

DM1

Nous allons ajouter une règle qui laisse passer les paquets HTTP.

Cliquer sur “Up add” pour ajouter un règle en tête de liste (1):

DM1

Sélectionner l’“Action” “Pass” (1)
Sélectionner l’“Interface” “LAN” (2)
Sélectionner l’“Address” “IPv4” (3)
Sélectionner le “Protocol” “TCP” (4)
Descendre pour accéder aux paramètres suivants (5):

DM1

Sélectionner la “Source” “LAN net” (6)
Sélectionner la “destination” “any” (7) pour permettre à n’importe quel destinataire de recevoir les paquets HTTP.
Sélectionner les ports qui vont emettre et recevoir les paquets HTTP, 80 (8)
Donner une description compréhensible (9) à votre nouvelle règle afin de pouvoir comprendre ce qu’elle fait depuis le menu des règles
Descendre pour accéder aux paramètres suivants (10):

DM1

Sauvegarder la règle en cliquant sur “Save” (1):

DM1

Vérifier que la crétion a bien fonctionnée (1)
Cliquer sur “Apply Changes” (2):

DM1

Un message de confirmation des changements apparaît.

DM1

Nous allons ajouter une règle qui laisse passer les paquets HTTPS.

Cliquer sur “Up add” pour ajouter un règle en tête de liste (1):

DM1

Sélectionner l’“Action” “Pass” (1)
Sélectionner l’“Interface” “LAN” (2)
Sélectionner l’“Address” “IPv4” (3)
Sélectionner le “Protocol” “TCP” (4)
Descendre pour accéder aux paramètres suivants (5):

DM1

Sélectionner la “Source” “LAN net” (6)
Sélectionner la “destination” “any” (7) pour permettre à n’importe quel destinataire de recevoir les paquets HTTPS.
Sélectionner les ports qui vont emettre et recevoir les paquets HTTPS, 443 (8)
Donner une description compréhensible (9) à votre nouvelle règle afin de pouvoir comprendre ce qu’elle fait depuis le menu des règles
Descendre pour accéder aux paramètres suivants (10):

DM1

Sauvegarder la règle en cliquant sur “Save” (1):

DM1

Cliquer sur “Apply Changes” (1):

DM1

Nous allons ajouter une règle qui laisse passer les requête depuis DC01 uniquement.

Cliquer sur “Up add” pour ajouter un règle en tête de liste (1):

DM1

Sélectionner le “Protocol” “TCP/UDP” (1)
Descendre pour accéder aux paramètres suivants (2):

DM1

Sélectionner la “Source” “Single host or alias” pour n’autoriser que DCO1 comme émetteur (3)
Entrer l’adresse IPv4 de DC01, 192.168.2.2 (4)
Sélectionner la “Destination” “any” (5)
Sélectionner le port d’origine 53 (6), utilisé pour les requêtes DNS
Donner une description compréhensible (7) à votre nouvelle règle afin de pouvoir comprendre ce qu’elle fait depuis le menu des règles
Descendre pour accéder aux paramètres suivants (8):

DM1

Sauvegarder la règle en cliquant sur “Save” (1):

DM1

Cliquer sur “Apply Changes” (1):

DM1

Vérifier dans un navigateur que les filtres DNS, HTTP et HTTPS sont fonctionnels en effectuant une recherche sur votre navigateur:

DM1