Les premiers pas avec une image firewall pfSense

Cette page explique les fonctions basiques des firewalls pfSense et comment configurer votre firewall depuis la plateforme VDC.

Déployer le firewall

Le firewall pfSense devra être initialement déployée comme toute machine virtuelle, documentée dans la vidéo 'Ajouter une Machine Virtuelle'. Quand vous arrivez à l’étape de l'ajout des interfaces réseau, il est important de s'assurer que le NIC0 (interface eth0) soit l'IP publique (ou la première IP publique si vous en mettez plusieurs), et que NIC1 soit l'interface privée. L'image de base pfSense a été pré-configurée pour s'attendre à cette configuration.

firewall-security.png

Pour plus d'informations sur la marche à suivre, reportez-vous à la section 'configuration des ressources réseau' de la documentation 'Configurer les machines virtuelles'

Configurer le firewall

Vous devez configurer le firewall pour autoriser le trafic entrant et sortant, de même que le trafic depuis l’intérieur du réseau vers l’extérieur, et finalement autoriser le port 80 depuis internet (HTTP pour un serveur web).

N.B. Vous devez utiliser du HTTP sécurisé, eg : https://195.157.12.255

Ignorez l'erreur de certificat en cliquant sur 'continuer vers le site', l’écran suivant apparaîtra:

1-pfsense-login.jpg

Les identifiants de connexions par défaut se trouvent dans la documentation 'Détails des identifiants des images Claranet'. Vous serez alors en présence de la page principale du firewall.

D'abord, nous devons changer le mot de passe de l'utilisateur admin. Sous le menu system, cliquez sur 'User Manager'.

2-pfsense-usermanager.jpg

L’écran suivant apparaîtra:

3-pfsense-usermanager-2.jpg

Passez la souris sur le bouton d’édition 4-pfsense-editbutton.jpg pour modifier l'utilisateur.

L’écran suivant apparaîtra:

5-pfsense-passwordedit.jpg

Remplissez les champs password. Défilez vers le bas et cliquez sur sauvegarder.

Puis, nous devons déplacer le port SSH, ceci vous permettra d’accéder au serveur WEB en SSH. Sélectionnez 'System – Advanced' et l’écran suivant apparaitra:

6-pfsense-adminaccess.jpg

Défilez jusqu'à la section SSH:

7-pfsense-adminssh.jpg

Cliquez sur 'Enable Secure Shell' et réglez le port SSH sur '8022'. Défilez jusqu'en bas et sauvegardez.

Ensuite, nous devons configurer le firewall avec la règle suivante:

Allow SSH on port 8022 to Firewall

Sélectionnez “Firewall” – “Rules”

8-pfsense-firewallrules.jpg

Sélectionnez “WAN” puis cliquez sur 9-pfsense-addrulebutton.jpg pour ajouter un nouveau rôle:

10-pfsense-editrule.jpg

Remplissez le formulaire comme suit:

Action: Pass
Disabled: not selected
Interface: WAN
Protocol: TCP
Source: any
Destination: Wan Address
Destination Port Range – From: 8022
Description: SSH to Firewall on Port 8022

Enregistrez les modifications. Vous pouvez maintenant utiliser SSH sur le port 8022.

Exemples de règles NAT

La section suivante fournit des exemples de configurations NAT.

Exemple de règle NAT - Allow SSH on port 22 to Web Server

Sélectionnez 'firewall – NAT' puis 'port forward':

11-pfsense-addnatwindow.jpg

Cliquez sur le bouton 'Add NAT Rule'

12-pfsense-editnatwindow.jpg

Remplissez le formulaire comme suit:

Disabled: Not selected
No RDR (NOT): Not selected
Interface: WAN
Protocol: TCP
Source: Ignore
Destination: Wan Address
Destination Port Range – SSH
Redirect Target IP Address: 192.168.2.2 (or your webserver IP)
Redirect Target Port: SSH
Description: SSH to Web Server
NAT Reflection: leave as default
Filter Rule Association: Pass

Sauvegardez la règle. Vous pouvez maintenant vous connecter en SSH au serveur WEB (l'adresse IP utilisé est celle du firewall), avec les identifiants de connexion du serveur WEB.

Exemple de règle NAT - Allow HTTP on port 80 to Web Server

Sélectionnez 'firewall – NAT' puis 'port forward':

11-pfsense-addnatwindow.jpg

Cliquez sur le bouton 'Add NAT Rule'

12-pfsense-editnatwindow.jpg

Remplissez le formulaire comme suit:


Disabled: Not selected
No RDR (NOT): Not selected
Interface: WAN
Protocol: TCP
Source: Ignore
Destination: Wan Address
Destination Port Range – HTTP
Redirect Target IP Address: 192.168.2.2 (or your  webserver IP)
Redirect Target Port: HTTP
Description: HTTP to Web Server
NAT Reflection: leave as default
Filter Rule Association: Pass

Sauvegardez la règle. Votre serveur web est maintenant disponible depuis internet à l'adresse http://IP_Publique_Du_Firewall.

1:1 NAT mapping

Cette section fournit des instructions pour expliquer comment configurer du mappage NAT 1:1 avec de multiples adresses IP publiques.

Dans cet exemple, une IP publique de 195.157.13.200 sera nattée vers l'IP privé de 192.168.0.3

Voici ce qu'il faut pour le fonctionnement:

  • Il faudra une interface publique pour chaque IP à natter.
  • Il faut s'assurer que les interfaces publiques soient nommées NIC2 ou supérieur (conservant la première IP publique en NIC0 et l'interface privée en NIC1)
  • Il faut configurer le mappage NAT 1:1 pour cette IP
  • Il faudra aussi créer une règle pour autoriser les ports voulus pour cette IP.

Ajouter une interface

En respectant les indications précédentes, la première interface WAN sera assignée à em0 et l'interface LAN à em1:

13-pfsense-assign-net1.jpg

Cliquez sur le bouton 9-pfsense-addrulebutton.jpg pour assigner une nouvelle interface. OPT1 sera automatiquement assigné à em2:

14-pfsense-assign-net-closeup.jpg

Sélectionnez l'item OPT1 dans le menu interfaces

Sélectionnez 'enable' en haut et réglez le type sur 'DHCP'. Sauvegardez les modifications

15-pfsense-assign-net-apply.jpg

Si vous utilisez plusieurs interfaces avec 1:1 NAT mappé sur chacun, vous aurez besoin d'ajouter les paramètres de configuration suivants :

Premièrement, dans les options additionnelles de la configuration firewall, allez dans le menu 'System', 'User Manager', et ensuite cliquer sur 'Groups'.

Cliquer sur 4-pfsense-editbutton.jpg puis éditer le bouton 'Superuser' groupe. Ensuite, descendez dans la section 'Assigned Privileges', et cliquer sur 9-pfsense-addrulebutton.jpg pour ajouter de nouvelles règles.

Sur la page option, cliquez 'Select all', et ensuite 'Save'.

Maintenant, il faut désactiver Reply-To. Allez dans le menu 'System', 'Advanced' et cliquer sur 'Firewall / NAT'. Cliquer sur 'Disable reply-to on WAN rules' check box.

30-pfsense-disable-reply-to.jpg

Click 'Save'. Next, go to the 'System' menu, 'Advanced' and click on the 'Networking' tab. Click 'Suppress ARP messages':

31-pfsense-suppress-ARP.jpg

Click 'Save' to finish.

Configurez le nat 1:1

Cliquez sur 'FIREWALL' puis 'NAT'. Sélectionnez l'onglet 1:1.

Sélectionnez 9-pfsense-addrulebutton.jpg pour ajouter une nouvelle règle et positionnez l'interface sur OPT1, Pour le sous-réseau externe, définissez l'adresse IP publique (le masque sous réseau devra être /32 si vous ne définissez qu'une seule IP).

16-pfsense-1-1natrule.jpg

Réglez l'IP privée sur l'adresse privée de l’hôte que vous souhaitez joindre.

Ajoutez une description pour cette règle. Sauvegardez les modifications.

Ajouter une règle firewall

Sélectionnez le menu 'FIREWALL – RULES'

Sélectionnez l'onglet OPT1. Sélectionnez 9-pfsense-addrulebutton.jpg pour créer une nouvelle règle

17-pfsense-1-1firewalledit.jpg

Assurez-vous que l'interface est positionnée sur OPT1 (ou le nom de l'interface que vous utilisez pour cette IP publique)
Réglez le type de la destination sur 'single address' et spécifiez l'adresse IP du hôte à joindre, dans ce cas 192.168.0.3

Définissez l’éventail de ports à joindre, dans ce cas SSH. Précisez un commentaire pour cette règle.

Sauvegardez les modifications.

Vous devriez maintenant pouvoir établir une connexion SSH à l'adresse publique 195.157.13.200 qui sera redirigé vers 192.168.0.3.