Installation de pfSense en VM, configuration de pare-feu et session SSH.
Dans ce cours j’utilise trois VM, la première pour pfSense et les deux autres en Windows pour
tester deux réseaux LAN indépendants.
Ce document est une introduction à PFSense, un logiciel de routage, pare-feu et outils de
sécurité basé sur FreeBSD.
https://en.wikipedia.org/wiki/PfSense
Pour commencer téléchargez pfSense à partir de la page web suivante :
https://www.pfsense.org/download/
Notez que j’ai également déposé les fichiers requis sur le serveur de la classe.
Comme vous constaterez il existe plusieurs versions. Voici comment lire les noms de fichiers et
faire le bon choix.
Premier exemple :
pfSense-CE-2.4.1-RELEASE-amd64.iso.gz
• 2.4.1 est la version,
• AMD64 désigne que cette version est destinée aux processeurs 64 bits (même Intel),
• iso c’est une version qui sera montée dans un lecteur DVD (p.e. installer en VM),
• gz c’est un fichier compressé (il faut le décompressé pour le monter sur DVD).
Deuxième exemple :
pfSense-2.0.3-RELEASE-4g-i386-nanobsd_vga-20130412-1022.img.gz
• 2.0.3 est la version,
• 4g est l’espace requis en mémoire flash,
• I386 désigne les processeurs 32 bits,
• VGA indique le support graphique et par conséquent l’accès direct sur la machine et non
un accès seulement à distance ou par console,
• 20130412-1022 est la date de sortie de cette version.
Comme défi si vous avez un vieux PC que vous ne savez pas quoi faire avec, essayez d’installer
pfSense pour le transformer en un puissant routeur. Tout ce dont vous avez besoin est, au
minimum, 2 cartes réseaux PCI, une pour le WAN et une pour le LAN. Vous n’aurez pas de
pilotes fatiguant à installer car pfSense fonctionne nativement avec presque tous les modèles.
Vous pouvez même installer une carte WIFI et pfSense sera aussi un routeur sans-fil.
Personnellement je m’en sers à la maison sur un vieux AMD Athlon 3200 avec 512 MO de ram et
un disque de 20 GO et c’est plus que suffisant à un usage domestique.
Page 1 de 27
�Installation sur VMware :
Maintenant que vous avez téléchargé votre version de pfSense nous allons l’installer sur
VMware Workstation.
1- Préparation de la nouvelle VM
Créer une nouvelle machine virtuelle en suivant les étapes illustrées ci-dessous.
Bien entendu, pour le choix du système d’exploitation, j’ai choisi FreeBSD 64-bit car j’installe la
version 64 bits, si vous avez téléchargé la version 32 bits le choix sera, de toute évidence,
FreeBSD tout court.
Page 2 de 27
�Vous pouvez mettre deux processeurs si vous voulez, moi je me suis limité à un seul processeur
ce qui est suffisant. Évidement sous vous avez la version 32 bits le choix sera 1 processeur avec 1
cœur.
Pour la mémoire 256 megs serait suffisant à ce stade, par contre si vous commencez à installer
des fonctionnalités de plus dans PFSense vous aurez besoin d’augmenter. Nul besoin de
recommencer l’installation, fermer la VM PFSense et faites seulement un ajustement dans les
options de la VM et redémarrer, PFSense prendra en charge la mémoire de plus. De mon côté
j’utilise 1024MO.
pfSense peut-être installé en VM avec différente topologie réseau. Pour cette installation nous
allons utiliser la suivante :
Page 3 de 27
�10 GO d’espace est plus que suffisant, par contre si vous commencez à installer des
fonctionnalités et garder beaucoup de logs il serait préférable d’en augmenter l’espace
disponible. Malheureusement pour ce faire il faudra créer une toute nouvelle VM.
Page 4 de 27
�Ici nous allons ajouter nos cartes réseaux de plus. Il n’est pas obligatoire de le faire à ce stade
mais je vous le recommande car ceci facilitera la configuration de l’accès à l’interface WEB
d’administration de pfSense. À tout moment vous pouvez en ajouter de plus, il suffit de fermer
la machine virtuelle, d’en ajouter et la redémarrer.
Ici j’ai choisi VMnet2 pour la deuxième carte réseau car je veux que PFSense prenne en charge le
routage et que ce ne soit pas VMware. Attention il faut vous assurer de fermer le service DHCP
de VMware, comme vous allez voir un peu plus loin. Vous pouvez aussi mettre la carte dans un
segment LAN (vous devez utiliser VmWare network editor pour définir votre segment LAN).
Pour la troisième j’ai choisi VMnet3 (ou un second segment LAN).
Page 5 de 27
�Ce qui nous donne nos 3 réseaux ainsi dans votre labo vous devriez avoir Bridged, VMnet2 et
VMnet3, comme ceci :
Une fois les cartes réseaux configurées, il faut s’assurer que le service DHCP de VMware est
fermé sur chaque segment réseau car il entrera en conflit avec celui de PFSense.
Il est possible que vous ne voyez pas VMnet2 dans la liste et par conséquent qu’il ne soit pas
configuré dans le « Virtual Network Editor » donc pas besoin de l’ajouter dans cette liste
(vmware ne lui donnera pas d’adresse DHCP), comme ceci :
Si par contre vous le voyez dans la liste (même chose pour VMnet3) il faut le désactiver, en
cliquant sur la case « Use local DHCP … » comme l’image de droite ci-dessus. Si vous avez
configuré des segments LAN, il n’y aura pas de DHCP à désactiver dans vmWare.
On insert l’image ISO dans le lecteur DVD comme ceci :
Page 6 de 27
� 2- Installation de pfSense sur la nouvelle VM
Maintenant que notre réseau est configuré comme nous le voulons on peut démarrer la VM.
Choisissez l’option 1.
Comme nous utilisons l’image ISO de pfSense démarre automatiquement avec cette option.
Accepter de respecter les droits d’auteur.
Page 7 de 27
�Démarrez l’installation…
Choisir le clavier (je suggère de conserver le clavier américain par défaut).
Laisser les options par défaut à moins que vous sentiez le besoin de les configurer.
Page 8 de 27
�Attention, Attendez un peu avant de cliquer sur « Reboot »…
Il faudra assigner les cartes réseaux dans les bons sous-réseaux. Allez prendre en note les
adresses MAC de chaque carte, cela sera utile pour la suite de la configuration du réseau dans
pfSense.
Page 9 de 27
�C’est aussi un bon moment pour détacher l’image ISO.
On peut maintenant redémarrer… <REBOOT>
Démarrer en mode normal (Multi User)…
Page 10 de 27
�Avec les adresses MAC configurer les cartes réseau en les associant au bon sous-réseau. Les
VLAN peuvent être configuré plus tard à partir de l’interface graphique. Faites le choix 1 (Assign
Interfaces) :
On voit les trois interfaces réseaux em0, em1, em2. Faites attention aux adresses MAC et
assurez-vous qu’elles correspondent au réseau que vous voulez configurer (em1 est sur VMnet2
et em2 est sur VMnet3).
Répondez n pour la configuration des VLANs.
Page 11 de 27
�La carte « bridged » sera sur le WAN (c’est elle qui se nomme em0, confirmez par son adresse
MAC), la carte em1 sera sur le segment VMnet2 et em2 sur VMnet3 (validez les adresses MAC
pour votre installation). Ne faites pas auto-detection (ça ne fonctionne pas toujours bien en
virtuel).
Il est important de désactiver le service DHCP de vmWare sur le réseau LAN (réseau NAT) avant
de poursuivre. Dans le « Virtual Network Editor » de vmWare (nous l’avons fait à une étape
précédente, mais afin d’être certain que vous l’avez fait avant de poursuivre).
Page 12 de 27
�Nous allons maintenant configurer les adresses IP des cartes réseaux, faites le choix 2.
Répétez la même opération pour la 3e carte réseau, en mettant l’adresse 192.168.203.1 et en
activant le service DHCP pour donner des adresses entre 192.168.203.51 et 99.
Page 13 de 27
�La configuration du réseau est terminée pour pfSense… validez les adresses affichées juste en
haut du menu.
Pour un accès à l’interface graphique (en page Web) nous allons configurer le réseau LAN. Par
défaut, pfSense le rend disponible sur le réseau local en utilisant un logiciel de navigation vers
192.168.202.1. Vous allez configurer vos deux Windows 7 pour obtenir une adresse par le
service DHCP de pfSense, la première sur VMnet2 et la seconde sur VMnet3. ATTENTION : vous
allez nommer vos machines Windows 7 (nom Windows) en utilisant le format suivant :
• pilon-net2 et
• pilon-net3
• soit nom famille suivi de net2 pour la VM dans VMnet2 et net3 pour la VM dans VMnet3
Et voilà l’installation et configuration initiale de pfSense est maintenant terminée. Vous pouvez
démarrer vos VM (Windows 7) qui obtiendront une adresse de notre pfSense et qui pourront se
connecter à l’interface Web de pfSense par le LAN.
3- L’accès à l’interface web de pfSense à partir du client Windows 7.
Page 14 de 27
�À titre de précaution je suggère de vérifier qu’une adresse à belle et bien été obtenue. L’adresse
de l’interface web sera celle de la passerelle par défaut. Ainsi j’ouvre un logiciel de navigation et
j’entre l’URL 192.168.202.1.
Voici l’adresse obtenue dans ma VM Windows 7 se trouvant dans VMnet2 :
Par défaut pour se
connecter :
Username : admin
Password : pfsense
pfSense vous fera suivre une configuration de départ. Vous pouvez faire des changements si
vous voulez ou simplement laisser les options par défaut. Toutes les options peuvent être
changées plus tard avec les différents menus et options.
Page 15 de 27
�Conserver les configurations par défaut… jusqu’à l’étape 4 :
Dans le bas de cette fenêtre, il faut comprendre que si nous sommes directement sur Internet
avec une adresse publique, nous ne devons pas faire les changements que je propose, mais dans
un réseau WAN privé, il faut laisser passer ce trafic :
Page 16 de 27
�Continuer la configuration par défaut…
Une fois terminé, cliquez sur le mot pfSense en haut à gauche, vous serez redirigé vers le
« Dashboard ». C’est ici que vous pouvez avoir une aperçue globale de ce qui se passe et si ça
fonctionne.
4- Configuration de l’interface par le site Web
Page 17 de 27
�Choisissez l’interface OPT1 comme ceci :
Encore une fois l’adresse 192.168.203.1 est utilisée à titre d’exemple. Cette interface peut aussi
être configurée en même temps que le LAN en console (comme nous avons démontrer
auparavant).
Appliquer les changements avant de changer de page sinon elles seront annulées.
N’oubliez pas qu’il faut activer le serveur DHCP sur l’interface OPT1.
5- Configuration du pare-feu sur les interfaces
PFSense fonctionne comme un ASA, c’est-à-dire qu’il bloque tout et qu’il faut ouvrir pour
assurer la communication.
Ainsi, par défaut, la carte WAN n’a aucune règle de définit, ce qui veut dire que tout est bloqué.
Page 18 de 27
�Cliquer sur le bouton « Add » et le menu suivant s’ouvrira.
Voici un exemple où j’ai configuré l’accès pour le port 80 (laisse les requêtes pour le serveur
Web) :
Page 19 de 27
�Il faut enregistrer les changements et surtout ne pas oublier d’appliquer les changements :
Page 20 de 27
�Voici les configurations pour le port 80, permettre ICMP (ping) et permettre ssh sur le port WAN
(en provenance d’Internet).
Il ne reste plus qu’à configurer le firewall pour la carte réseau sur le segment VMnet3. Je
suggère dans un premier temps que vous laissiez passer tout le trafic et par la suite lorsque vous
serez assez familier avec l’outil, précisez les détails de configuration afin de laisser passer
uniquement les paquets voulus. Testez que vous avez la connectivité de partout.
Finalement, identifiez les besoins spécifiques de configuration que vous avez et configurez
uniquement les services nécessaires dans votre firewall.
Page 21 de 27
� 6- Installation et configuration du serveur et client SSH
Sur le site de Putty vous trouverez un client (PuTTY) et un serveur SSH (Bitvise WinSSHD) que
vous pouvez télécharger et utiliser gratuitement. http://www.putty.org/
Le serveur SSH
Installer votre serveur SSH sur la machine dans le réseau VMnet3 (OPT1). Suivez simplement les
étapes illustrées ici-bas. Les règles configurées plus haut sur cette interface feront en sorte que
seulement SSH passera.
Page 22 de 27
�Page 23 de 27
�Redémarrer votre VM pour compléter l’installation.
Page 24 de 27
�Ensuite configurer les interfaces sur lesquels le serveur écoutera. Ici j’ai inclus l’interface
loopback au cas où j’aurais besoin de tester le serveur.
Ajouter le ou les utilisateurs qui auront un accès. Vous pouvez en configurer plusieurs. J’ai choisi
le compte administrateur car je veux un contrôle total de la machine une fois que je serais
connecté.
N’oubliez pas de démarrer le serveur SSH dans son panneau de contrôle!
Page 25 de 27
�Le client SSH
Le client SSH Putty ne requiert aucune installation, il suffit de l’exécuter et configurer la
connexion que nous voulons faire.
Si tout est bien configuré vous aurez la fenêtre suivante :
Cliquer sur « oui » pour accepter la clé qui servira à l’authentification pour les futures sessions.
Page 26 de 27
�Vous pouvez aussi le faire à partir de la ligne de commande comme ceci :
L’exemple ci-dessus est une console en Linux mais la commande reste la même sous Windows.
Voici la fenêtre de commande de la machine serveur.
Page 27 de 27
