Professional Documents
Culture Documents
Suivi du document : Mai 2012 : Version 0.1 Installation et paramtrages de Pfsense avec les rgles sur les ports et le filtrage squid
Page 1
Les rgles daccs .......................................................................................................................... 14 2.1) Paramtrer les rgles de base .................................................................................................... 14 2.2) Bloquer laccs au https de facebook ........................................................................................ 19 2.2.1) Cration dun alias facebook ............................................................................................... 19 2.2.2) Dfinir les plages horaires daccs Facebook ................................................................... 20 2.2.3) Rgle pour le blocage de laccs https Facebook ............................................................. 22 2.3) Rgles dfinir dans le cas de plusieurs LAN............................................................................. 23
3)
Le filtrage Internet ......................................................................................................................... 24 3.1) Installation des paquets pour le filtrage Internet ...................................................................... 25 3.2) Configuration du serveur proxy ................................................................................................. 26 3.3) Configuration du filtrage ............................................................................................................ 27 3.3.1) Configuration gnrale du filtrage ...................................................................................... 27 3.3.2) Filtrage en fonction des horaires ........................................................................................ 30 3.3.3) Filtrage en fonction des adresses IP .................................................................................... 32 3.3.4) La page de redirection du proxy ......................................................................................... 33 3.3.5) Mise jour automatique de la blacklist .............................................................................. 34 3.4) Les journaux du proxy ................................................................................................................ 35
4)
Les VPNs ........................................................................................................................................ 35 4.1) VPN entre un pare-feu Pfsense et un pare-feu ipcop ................................................................ 35 4.2) VPN entre deux pare-feu Pfsense .............................................................................................. 35 4.3) VPN avec des clients mobiles laide du logiciel ................................................................. 35
5) 6)
Mise en place dune DMZ .............................................................................................................. 35 Les mises jour de PfSense ........................................................................................................... 36
Page 2
pfSense-2.0.1-RELEASE-i386.iso.gz pour les Pcs anciens avec des processeurs ne grant pas le 64 bits pfSense-2.0.1-RELEASE-amd64.iso.gz pour les Pcs avec des processeurs 64 bits
Une fois l'image grave, on boot sur le CD et on arrive aux menus suivants :
Linstallation va se poursuivre un moment, avec un dfilement de commandes, jusqu sarrter sur lcran suivant :
Page 3
Tapez la lettre I pour lancer l'installation (sinon on boot sur le live-cd Pfsense mais on ne l'installe pas)
Placez-vous sur Accept these Settings et tapez Entre NB : Jai choisi de garder ces paramtres car mes nombreuses tentatives pour changer la langue se sont rvles infructueuses. Michel Bonnefond Version 0.1 du document Page 4
Tapez Entre
Page 5
L'installation est termine. Tapez sur Entre pour redmarrer la machine. Enlevez le CD du lecteur.
Page 6
Le temps de chargement des divers paramtres du systme dexploitation peut tre long, mais on arrive ensuite lcran suivant :
Il est demand sil y a des VLANs configurer. Ici, rpondre non ( adapter selon votre cas bien videmment)
Ensuite, il va falloir paramtrer les cartes rseaux afin de correctement les attribuer. Le nommage des diffrentes cartes tant parfois peu explicite, je vous conseille de prparer les cbles rseaux connecter (au moins ceux du rseau local (LAN) et celui reli la box Internet (WAN)). En effet, PfSense pourra vous dtecter automatiquement la bonne carte si vous branchez le cble au moment opportun. Par contre, ne branchez pas les cbles avant quon vous le demande !! On arrive donc lcran suivant :
Page 7
Tapez a pour dclencher la dtection automatique (attention, le clavier est srement en qwerty !!). Branchez le cble qui sera reli au WAN (Pfsense vous dira quil voit un lien sactiver (up)) puis validez par Entre . Rptez lopration pour le cble LAN (et les ventuels autres). Une fois la configuration des cartes effectue, on arrive un cran qui rcapitule les diffrentes cartes rseau et leur association :
Tapez y et validez par Entre A ce moment-l, Pfsense est accessible via son interface web sur ladresse IP 192.168.1.1. Nous allons donc la modifier pour lintgrer notre rseau et poursuivre la configuration.
Page 8
Tapez 2 puis Entre .Choisissez ensuite le numro associ la carte LAN et validez finalement par Entre
Une fois ladresse IP et le masque de sous-rseau renseigns, il vous est demand si vous vous voulez remettre le configurateur web en http (il est en https dorigine).Rpondre y (contrairement la capture dcran) car n peut poser quelques soucis avec les configurations ultrieures. NB : Il est possible de paramtrer galement le(s) autre(s) carte(s) rseaux mais nous le ferons depuis linterface web.
Page 9
Connectez-vous avec les identifiants suivants : Login : admin Mot de passe : pfsense La premire chose faire est de modifier le mot de passe par dfaut. Pour cela, il faut se rendre dans longlet System/User Manager :
Page 10
Renseignez le nouveau mot de passe sur les deux lignes surlignes. Confirmez en cliquant sur Save .
Ensuite, il faut se rendre dans longlet System/Advanced et cocher la case suivante (en bas de la page), ce qui permettra dactiver la connexion via SSH au pare feu :
Page 11
Dans cet onglet, renseignez ladresse IP (avec ladresse IP publique de votre fournisseur daccs) avec son masque de sous-rseau et ladresse de la passerelle (cliquez sur add a new one ). Validez bien en cliquant sur Save
Enfin, il est ncessaire de paramtrer les DNS du fournisseur daccs. Pour cela, se rendre dans longlet : System/General Setup
Page 12
Renseignez le hostname (nom donn la machine), le(s) serveur(s) DNS ainsi que la Time Zone (qui permettra de synchroniser le pare-feu avec un serveur de temps). Vous pouvez galement renseigner le domaine (pas obligatoire) mais en vitant de mettre local . Validez en cliquant sur Save NB : Sur cet onglet, vous avez la possibilit de changer le thme des pages de configuration de pfsense.
Attention, partir de ce moment-l, Internet est accessible toutes les machines du rseau, sans restriction ni filtre !!
Michel Bonnefond Version 0.1 du document Page 13
Rgles par dfaut sur linterface WAN Michel Bonnefond Version 0.1 du document Page 14
Rgles par dfaut sur linterface LAN Afin de raliser un meilleur filtrage, il est dabord conseill de bloquer tout trafic et densuite autoriser un un les ports et/ou protocole. Concernant les deux rgles par dfaut du LAN, il ne faut surtout pas dsactiver la rgle AntiLockout , qui permet de se connecter linterface web de Pfsense via un autre PC (sous peine de devoir reconfigurer voir rinstaller Pfsense). Par contre, la seconde rgle est celle qui autorise tout le trafic. Il faut donc soit la dsactiver, soit la supprimer (je lavais dans un premier temps dsactive car au besoin, javais juste la ractiver pour avoir de nouveau accs Internet rapidement) Pour la supprimer, cliquez sur la croix correspondant la rgle, et validez le message de confirmation de suppression :
Page 15
Cochez la case surligne pour dsactiver la rgle. Validez en cliquant sur Save .
Ensuite, il faudra crer une rgle qui bloque tout. En effet, comme cela, tout le trafic ne rpondant pas une rgle dfinie dans pfsense sera automatiquement bloqu par cette rgle-ci. Il est donc impratif de positionner cette rgle en dernire position sur la liste de toutes les rgles. Cliquez donc sur le bouton +
Page 16
Rgle bloquant tout trafic provenant du LAN A ce stade-ci, tout trafic depuis le LAN est bloqu.
Rgles avec tout le trafic bloqu Dsormais, il va falloir crer une rgle par port, protocole, Cest--dire pour chaque besoin spcifique.
Page 17
Rgle autorisant le trafic http Ensuite, pour plus de facilit, il est possible de cliquer sur le bouton + suivant pour crer un clone dune rgle existante (pratique lorsque lon cre des rgles qui diffrent uniquement sur le port par exemple)
Vous trouverez donc pour vous aider, une liste des ports utiles au sein dun EPL en annexe :
Page 19
Attention bien respecter les masques de sous-rseau ! 2.2.2) Dfinir les plages horaires daccs Facebook
Si vous souhaitez uniquement bloquer tout le temps laccs facebook, vous pouvez passer directement au chapitre suivant : Rgle pour le blocage de laccs https Facebook
Page 20
Dans cet exemple, un calendrier nomm horaires_cours va tre cr. En cliquant sur Add Time , une plage horaire, allant de minuit 12h15, les lundis, mardis, mercredis, jeudis et vendredis, sera cre. Il va falloir dfinir ici toutes les plages horaires pendant lesquelles laccs Facebook sera bloqu.
Calendrier pour Facebook autoris les mercredis aprs-midi (de 12h15 19h), les lundis, mardis et jeudis de 12h15 13h30, les lundis et jeudis de 17h30 18h et les mardis de 17h30 19h.
Page 21
Une fois toutes les plages horaires dfinies, cliquez sur Save pour enregistrer votre calendrier. Il ne reste plus dsormais qu dfinir la rgle pour bloquer laccs. 2.2.3) Rgle pour le blocage de laccs https Facebook Enfin, il faut crer une rgle associe cet alias. Pour cela, se rendre dans Firewall/Rules, puis cliquer sur le + . La rgle doit alors avoir les caractristiques suivantes :
Page 22
Leffet de Schedule est dactiver la rgle pendant les plages horaires dfinis (ici horaires_cours) et de la dsactiver hors de ces horaires.
Page 23
Ensuite, de la mme manire, il vous sera possible de crer des rgles en fonction des besoins de communications entre plusieurs LAN (serveur web, partage de fichiers, dimprimantes,)
3) Le filtrage Internet
Il est ncessaire de tracer toutes les communications vers lInternet au sein des tablissements, et pour cela, il va falloir installer des paquets additionnels pfsense. Pour cela, il faut se rendre dans longlet System/Package Manager.
Page 24
Page 25
Paramtres modifier pour configurer le serveur proxy Une fois ces paramtres renseigns, laccs internet est inactif. En effet, il va falloir crer une rgle concernant le port utilis par le serveur proxy (ici 3128).
Ensuite, il faut configurer le filtrage en lui-mme. Michel Bonnefond Version 0.1 du document Page 26
Paramtres modifier pour configurer le filtre proxy. La blacklist de luniversit de Toulouse sera utilise. Son adresse pour pfsense est la suivante: ftp://ftp.univ-tlse1.fr/blacklist/blacklists_for_pfsense.tar.gz Ensuite, se rendre dans longlet Blacklist . La blacklist sera tlcharge afin dtre intgre pfsense :
Cliquez sur le bouton Download Michel Bonnefond Version 0.1 du document Page 27
Avec ces paramtres : laccs aux sites Internet directement avec les adresses IP sera bloqu les moteurs de recherche ne retourneront pas de rsultats pour certains types de recherches les demandes daccs (autorises ou non) seront journalises.
Ensuite, en cliquant sur la flche verte, le dtail des diffrentes catgories de la blacklist sera accessible :
Page 28
Extrait du dtail des catgories de la blacklist Il conviendra donc ici de dfinir la stratgie gnrale daccs aux diffrentes catgories de la blacklist de Toulouse. Le dtail de ces catgories est accessible ladresse suivante : http://cri.univtlse1.fr/blacklists/ . Attention toutefois bien dfinir la dernire ligne (default acces) sur le paramtre allow , sinon laccs tous les sites sera impossible. Une fois les accs dfinis, validez en cliquant sur Save . NB : Il est possible que Pfsense ne prenne pas tout de suite en compte les modifications. Pour une prise en compte plus rapide, dsactiver puis activer le filtre en dcochant puis cochant la case suivante
Cliquez sur Apply et attendez que le service passe de Started Stopped (et vice-versa) Michel Bonnefond Version 0.1 du document Page 29
Afin de pouvoir dfinir des rgles de filtrages en fonction des horaires, il convient tout dabord de dfinir la ou les plages horaires. Pour cela, se rendre dans longlet Times , puis cliquez sur le bouton + afin dajouter une plage horaire :
Une fois la plage horaire dfinie, se rendre dans longlet Groups ACL . Cliquez sur le + pour crer une nouvelle ACL pour des rgles de filtrages. Il faudra dfinir les rgles de filtrage qui sappliqueront pendant les horaires dfinis prcdemment et celles qui sappliquent en dehors.
Page 30
Configuration dune ACL en fonction des horaires Michel Bonnefond Version 0.1 du document Page 31
Configuration dune ACL en fonction des adresses IP La notion importante concernant les ACL est que, comme pour les rgles, pfsense va les appliquer en fonction de leur classement . Par exemple sur la capture dcran ci-dessous : LACL service-info est applique en premier, lACL dfiltrer est dsactive et lACL hors-cours est applique ensuite. Toute machine ne correspondant aucune de ces ACL se verra appliquer les rgles de filtrage dfinies dans longlet Common ACL
Page 32
Extrait de la page de redirection Si lon souhaite modifier cette page, il convient alors de modifier le fichier suivant de pfsense:
/usr/local/www/sgerror.php
Pour une question de pratique, se connecter laide du logiciel WinSCP (tlchargeable sur la page suivante http://winscp.net/eng/download.php ). Copiez le fichier depuis pfsense sur votre poste. Ainsi, vous pourrez faire une copie de sauvegarde du fichier dorigine afin de commencer les modifications. NB : Il est possible de modifier le fichier directement depuis le logiciel WinSCP. Il est possible de modifier de nombreux paramtres, mais, afin dafficher une page sans les codes erreurs, le fichier a t modifi de la manire suivante :
Page 33
IMPORTANT : une fois votre page correctement configure, faites une copie de sauvegarde du fichier sgerror.php. En effet, lors des mises jour de squid et/ou squidguard, la mise jour remplace le fichier par le fichier dorigine !
Sous pfsense, il nexiste pas de possibilit par dfaut pour mettre jour la blacklist (si ce nest se rendre manuellement dans longlet Proxy Filter/Blacklist et cliquer sur le bouton download). Afin dautomatiser la mise jour, il est ncessaire deffectuer quelques paramtrages. Tout dabord, lorsque Pfsense met jour la blacklist, il cre un script dans le dossier tmp. Il va falloir rcuprer ce script. Pour cela, laide de WinSCP, copier le fichier squidGuard_blacklist_update.sh dans un dossier (il a t choisi de le copier dans le dossier etc, il est tout fait possible de le copier ailleurs voir de crer un dossier). Une fois le fichier copi, rajoutez les lignes ci-dessous dans le fichier /cf/conf/config.xml :
Page 34
Lignes ajouter pour la mise jour automatique de la blacklist (ces lignes dfinissent en fait lexcution du script copie dans le dossier etc tous les jours 23h30)
4) Les VPNs
4.1) VPN entre un pare-feu Pfsense et un pare-feu ipcop
Une documentation permettant la mise en place dun VPN entre un ipcop et un pfsense existe dj. Elle est accessible en Annexe 2 NB : Bien que cette mthode soit parfaitement fonctionnelle, une mthode base de certificats serait plus scurise. Des tests sont en cours afin de permettre une telle mthode. Si ceux-ci aboutissent, la documentation sera mise jour.
Page 35
Page 36
ANNEXES
Annexe 1 : Liste des ports utiliss au sein dun rseau Ports & Protocoles
TCP : 80 TCP : 110 TCP : 25 TCP : 443 TCP & UDP : 22 TCP & UDP : 21 TCP & UDP : 119 TCP : 143 TCP & UDP : 123 TCP : 510 TCP : 81 TCP : 1717 TCP : 1494 UDP : 10000 TCP : 264 TCP : 256 TCP : 709 UDP : 2746 UDP & TCP : 500 TCP : 389 TCP & UDP : 8080 TCP & UDP : 8081 TCP : 18231, 18232, 18233, 18234 TCP & UDP : 53 TCP & UDP : 800 TCP : 1863 TCP: 1495 TCP: 2598
Services
HTTP (pas obligatoire si proxy transparent) POP3 SMTP HTTPS SSH FTP NNTP IMAP NTP FirstClass Nocia/Page de redirection SquidGuard Module Java d'EVA Luciole Magellan Prisme / EPICEA Prisme / EPICEA Prisme / EPICEA Prisme / EPICEA (Isakmp) Prisme / EPICEA / Magellan (LDAP) Prisme / EPICEA Webcache tproxy Checkpoint DNS Proxy Squid MSN Messenger Citrix Citrix
Page 37
Page 38
Page 39
Page 40
Page 41
Page 42
Page 43