Proxy : PfSense

Installation Configuration de PfSense

Version : 2.0.3
26/05/2014
M2L
AUDOUY Gauthier

SOMMAIRE
1. Installation

2. Configuration des cartes rseau

3. Interface WEB

I.

Connexion

II.

System

10

III.

General SETUP

11

IV.

Interface

11

V.

Firmware

12

VI.

Package Manager

13

VII.

Firewall

14

A. Rules

VIII.

Virtual IP

14
18

A. Serveur Maitre

18

B. Serveur Esclave

20

IX.

Portail Captif

21

X.

Supervision du trafic internet

23

XI.

Filtrage URL

26

XII.

Configuration des postes utilisateurs

28

Schma Final du rseau

29

XIII.

Installation et configuration de Pfsense

INSTALLATION ET CONFIGURATION DE PFSENSE

I.

Installation
Insrerez le CD dinstallation et lancez le dmarrage de la machine.

Un premier cran saffiche :

Laissez le choix par dfaut ou appuyez sur la touche Entre ( Boot pfSense [default] )

Lorsque plusieurs choix vous sont proposs, entrez I afin dinstaller Pfsense .

Slectionnez <Accept These Settings >

a laides des flches directionnelles du
clavier et appuyez sur Entrer.

AUDOUY
Gauthier
AU
AUDO
DOUY
UY G
Gau
auth
thier M2L

Installation et configuration de Pfsense

Slectionnez <Quick/Easy Install>

Slectionnez <OK>

Patientez quelques instants jusqu la prochaine tape

Slectionnez <Standard Kernel>

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Patientez quelquse instants jusqu la prochaine tape

Slectionnez <Reboot>

Saisissez n pour no lorsque vous est demand la cration de

VLAN.

Il est important de connaitre la correspondance des cartes em0, em1 et em2 de manire physique et
logique avant de procder ltape suivante.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Entrez les cartes rseaux correspondants chaque rseau, dans notre cas :

WAN : em0
LAN : em1
Opt1 : em2

Entrez y pour YES afin de valider les paramtres

Les divers services vont donc pouvoir se lancer

Eteignez la machine et retirez le CD dinstallation

Relancez la machine.
Appuyez sur F1 ou patientez quelques instants

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Laissez le choix par dfaut ou appuyez sur la touche Entre ( Boot pfSense [default] )

Le menu Pfsense saffiche :

Linstallation de PfSense est donc termin.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

II.

Configuration des cartes rseau

Dans le menu de Pfsense entrez 2 soit loption : Set Interface(s) IP adress

Entrer la valeur 2 correspondant la carte LAN.

6
Saisissez ladresse IP statique de la carte rseau LAN correspondant ladresse de PfSense .

Saisissez la valeur CIDR 24 correspondant au masque 255.255.255.0.

Appuyez sur deux fois Entre pour ne pas dfinir de passerelle puis une troisime fois pour ne pas
dfinir dadresse IPV6.
Entrez N pour NON afin de ne pas activer le service DHCP.

Enfin, cliquez sur Entre pour continuer.

Si cela est propos, Activez la redirection du panel de configuration graphique vers un service http.
Entrez y soit YES.
Effectuez la mme manipulation pour la carte rseau WAN et pour la carte Opt1.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

III.
I.

Interface WEB
Connexion

Tapez ladresse WEB du serveur dans le navigateur WEB :

172.16.71.253 et 172.16.71.252

La page de connexion ladministration du serveur saffiche :

Saisissez les identifiants par dfaut :

Username :

Passwords :

admin
pfsense

Un assistant de configuration saffiche

Remplissez les infos comme limage ci-dessous :

Hostname : pfsense

Domain : m2l

Primary DNS Server : 172.16.71.14

Secondary DNS Server : 172.16.224.45 Cocher la casse Override DNS

Cliquez sur Next .

Dans le timezone, slectionner Europe/Paris .
Puis cliquez sur Next .
Vrifiez que RDC1918 Networks et Block bogon networks soient dcochs.
Puis cliquez sur Next.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Lassistant affiche ladresse IP et le masque saisi prcdemment lors de linstallation.

Si les informations sont incorrectes, les corriger. Autrement, cliquez sur Next.

Pour des raisons de scurit, il est obligatoire de changer de mot de passe.

Saisissez le nouveau mot de passe : AdmS$sic31

Cliquez sur Reload, afin que le serveur prenne en compte les modifications.

Cliquez sur Click here to continue on to pfsense webConfigurator pour continuer.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Linterface web de pfsense est donc accessible.

Il est possible dajouter des modules dit Widgets via licone

Les widgets permettent de visualiser rapidement et facilement lactivit du serveur

en tout point.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

II.

System

Allez dans SYSTEM puis Advanced

10

Pour des raisons de scurit, le protocole daccs lespace dadministration sera HTTPS.
Laccs SSH sera galement scuris en cochant la case Enable Secure Shell.
Pour plus de scurit, le port SSH peut tre modifi.

Cliquez sur Save.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

III.

General SETUP

Montez les pfsenses sur le domaine et entrez les adresse IP du serveur DNS principal et des
secondaires avec la passerelle daccs a ces derniers.
Puis cliquez sur Save.

11

IV.

Interface
Opt1

Sur les deux serveurs :

Activez linterface en
cochant la case Enable
Interface.
Donnez le nom de Sync
dans Description.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Donnez-lui une adresse IP sur

le rseau et un
masque (cf.tableau
dadressage en annexe).
Puis cliquez sur Save.

12

Pour le cot WAN, vrifiez la prsence de la

passerelle : 172.16.0.1 /24
Et cliquez sur Save.

V.

Firmware

Il est important de vrifier rgulirement les mises jour du serveur laide du service :

Auto Update

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

VI.

Package Manager

Lajout de nouveau service se fait via longlet Package Manager .

Les paquets disponibles sont situs dans longlet Available Packages et les paquets installs dans
Installed Packages.

13

Installation dun widget

Exemple : LightSquid
Cliquez sur le bouton Ajouter[+] .

Puis OK

Linstallation des widgets se ralise de manire autonome.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Le paquet est par la suite visible dans

Installed Packages .

Les Package tlcharger sont les suivants :

v Squid: Proxy cache haute performance.

v
v squidGuard : Redirecteur dURL permettant de bloquer ou dautoriser laccs certains sites.
v
v LightSquid : Supervisons du trafic web
.

VII.

Firewall
A. Rules

Afin de maitriser les flux de donnes, il va falloir nautoriser que certains protocoles bien prcis.
Au niveau du WAN, rien nest modifier.
Le LAN quant lui, devra autoriser un certain nombre de service dont les plus connus : DNS, HTTP,
HTTPS.
LE FIREWALL BLOQUE TOUTES LES ENTREES ET SORTIES QUI NE SONT PAS EXPLICITEMENT
AUTORISER.

AUDOUY Gauthier M2L

14

Installation et configuration de Pfsense

15

Pour ajouter une route, cliquez sur le bouton Ajouter [+

[+].

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Exemple : Ajout du port 1270 pour le CNES Vido Confrence

I.
II.
III.
IV.

Choisir le protocole TCP/UDP .

Dans destination port range, entrez le port 1270 .
Ajoutez dans description, le motif de lautorisation douverture de ce port.
Cliquez sur Save pour sauvegarder.

16

Il est galement possible, dtre plus prcis comme sur le type dOS pouvant raliser ses requtes.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Il est important de cliquer sur Apply changes, afin que lajout soit pris en compte.
La route insre est donc dsormais visible : Services :

17

La carte SYNC comportera une seule rgle autorisant tout trafic de circuler.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

VIII.

Virtual IP

Le protocole CARP permet deffectuer la fonction de Failover-Failback en cas dinterruption de service

dun proxy pfsense.
A. Serveur Maitre

Appuyez sur le bouton [+] sur la droite.

18

Pour ladresse virtuelle WAN

Ralisez la configuration suivante et sauvegardez en cliquant sur Save.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Pour ladresse virtuelle LAN

Ralisez la configuration suivante et sauvegardez en cliquant sur Save.

19

Dans longlet CARP Setting.

Cochez la case Synchronize states.

Selectionnez linterface de Synchronisation : SYNC
Dans Synchronise config to IP entrez ladresse IP de linteface SYNC du Pfsense esclave.
Dans remote system username entrez le nom dutilisateur de ladministrateur du Pfsense
esclave.
Puis dans Remote system password entrez le mot de passe administrateur du Pfsense
esclave.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Cocher les cases :

Synchronize rules
Synchronize NAT
Synchronize virtual IPs

Et cliquez sur Save.

Visualisation

20
Allez dans longlet Status /CARP
On constate que le serveur est devenu Maitre et Actif sur les deux ports.

B. Serveur Esclave

Ce dernier est pass en attente, soit Backup.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

IX.

Portail Captif

Pour crer le portail captif, cliquez sur le bouton [+].

21
Entrez la zone name m2l et la description Portail Cpatif de la M2L .

Le portail CAPTIF de la M2L devra nautoriser laccs internet qu certains utilisateurs autoriss
venant du rseau LAN.

Cochez la case Enable captive portal.

Slectionnez linterface LAN.
Entrez la valeur 60 pour le Idle Timeout.
Entrez la valeur 720 pour le Hard Timeout sois 12H.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

22

Dans Authentification, cochez le bouton RADIUS Authentification et le protocole MSCHAPv1.

Afin de pouvoir autoriser laccs au web aux utilisateurs prsents dans le groupe user_m2l de lactive
directory.

Entrez ladresse IP du serveur RADIUS : 172.16.72.14

Le mot secret : pfsense

Saisir lURL de redirection aprs authentification de lutilisateur dans After Authentification -

Redirection URL.

Dans RADIUS Options cliquez sur

Reauthetification connected user every .
Slectionnez ladresse permettant
daccder au serveur RADIUS, dans notre
cas, le cot WAN.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

X.

Supervision du trafic internet

23

Tlcharger-installer le package Squid comme vu prcdemment.

Aller dans longlet Service puis Proxy Server.

Cocher les cases :

Allow user on interface

Transparent proxy
Bypass proxy

Et laissez les paramtres par dfaut.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Dans longlet Cache management , changer les valeur :

Hard disk cache size : 1024

Memory cache size : 32
Maximum object size in : 64

24

Puis redmarrer le serveur via longlet Diagnostic puis Reboot.

Sur le tableau de bord du Pfsense, on

constate que le service Squid est en service.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Par la suite, allez dans Service puis Proxy

Reports et effectuer les paramtres suivant :
Language : French
Refresh : 2H
Skip Url :
au.download.windowsupdate.com
Puis cliquez sur Refresh Now et Refresh Full
et cliquer sur Save.

Aprs quelque minute, il est dsormais possible, daccder au rapport en cliquant sur longlet
Lighsquid Report.

AUDOUY Gauthier M2L

25

Installation et configuration de Pfsense

XI.

Filtrage URL

Installez SquidGuard comme vu prcdement.

Puis allez dans dmarrer le proxy, allez dans longlet General Settings et cochez la case Enable,
cliquez sur Apply pour dmarrer le service.

26

Puis :

Dans Blacklist options, cochez la case : Blacklist

Dans Blacklist URL, copier lurl dune blackList, par

exemple, celle trs complte de lIUT du capitole de
Toulouse disponible ladresse :
http://dsi.ut-capitole.fr/blacklists/

Cliquez sur Save pour sauvegarder et appliquer les paramtres.

Tlchargement et installation de la black List

Allez dans longlet BlackList et cliquez sur Download.
La BlackList se tlchargera et sinstallera automatiquement.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

Pour configurer la BlackList, cliquez sur longlet Common ACL .

Cliquez sur le bouton
pour afficher en dtails les diffrentes listes regroupes par catgorie .

Cliquer sur

pour masquer celles-ci.

27
Pour chaque catgorie 4 configurations sont permises :
1. - -

paramtre par dfaut catgorie non prise en compte

2. White

catgories autorises

3. deny

catgories non autorises

4. allow

catgories autorises sauf les sites appartenant une autre catgorie

Le choix de configuration des catgories est la suivante :

En plus de ces Black Liste pr-definis, il est possible de bloquer des sites autoriss ou
encore dincorporer des White Liste permettant dautoriser des sites interdits par une
BlackList .

Pour cela, allez dans Target Categories.

Cliquez sur Ajouter [+].
Saisissez un ou des domaines, URL, Mots cls.
Cliquez sur Save pour enregistrer les modifications.

Pour dcider si il sagit dune WhiteList ou BlackList, il faut aller modifier le choix dans Common
ACL .

Pour appliquer les modifications effectues, il faut :

OBLIGATOIREMENT, REDEMARRER LE PROXY.

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

XII.

Configuration des postes utilisateurs

Configuration des navigateurs WEB [Firefox IE]

Voici la configuration suivre avec les navigateurs installz sur les postes de travail du parc
informatique de la M2L.

28

Internet Explorer :

1.
2.
3.
4.
5.

Ouvrir Internet Explorer

Aller dans les options
Cliquer sur longlet Connexion
Cliquer sur paramtres rseaux
Cocher la case Dtecter automatiquement les paramtres de connexion

Firefox :

1.
2.
3.
4.
5.
6.
7.

Ouvrir Firefox
Cliquer sur outils
Cliquer sur option
Onglet Avanc
Onglet rseau
Cliquer sur Paramtre
Cocher la case Dtection Automatique

AUDOUY Gauthier M2L

Installation et configuration de Pfsense

XIII.

Schma rseau

29

AUDOUY Gauthier M2L

ANNEXE
Plan dadressage

Nom de la carte

Position carte

Adresse

Masque

Passerelle

De0

WAN

172..16.72.8

/16

172.16.0.1

De1

LAN

172.16.72.253
/24

172.16.72.254

/16

172.16.0.1

/24

172.16.72.254

Pfsense-Maitre
S1
De2

PfSync

172.16.72.245

De0

WAN

172.16.72.9

De1

LAN

172.16.72.252

De2

PfSync

172.16.72.246

Adresse vrtuelle LAN

LAN

172.16.72.254

Adresse virtuelle WAN

WAN

172.16.72.10

Pfsense - Esclave
S2

Windows Serveur

Eth0

LAN

172.16.72.14

STA-1

Eth0

LAN

172.16.72.16