Si vous avez installé pfSense sur une machine virtuelle VMware, vous devez installer les "VMware Tools".
Menu :
"System" => "Package Manager"
=>
Cliquez sur "Available Packages"
=>
Recherchez le package "pfSense-pkg-Open-VM-Tools"
=>
Cliquez sur le bouton "Install"
La fenêtre suivante apparaît :
=>
Cliquez sur le bouton "Confirm"
Si tout se déroule correctement, l'écran suivant apparaît :
Les "VMware Tools" sont installés. Pour vérifier les packages installés sur le système :
=>
Cliquez sur le bouton "Installed Packages"
Cette partie explique comment activer l'accès SSH sur pfSense. SSH est généralement utilisé pour le dépannage et le débogage.
Menu :
"System" => "Advanced"
=>
Cliquez sur "Admin Access"
=>
Cochez l'option "Enable Secure Shell"
=>
Cliquez sur le bouton "Save"
Lancez l'utilitaire "Putty" sous un système Windows. Entrez les informations requises. Vous devez obtenir l'écran suivant :
Le compte à utiliser est : "root". Après validation, vous obtenez l'affichage de la console pfSense. Pour quitter :
=>
Tapez sur la touche [0] - Logout (SSH only)
Il peut être utile d'exécuter une commande à chaque démarrage du système. Exemple : obtenir un clavier français sur la console de pfSense.
=>
Recherchez le package "Shellcmd"
=>
Cliquez sur le bouton "Install" puis sur le bouton "Confirm"
Vous souhaitez maintenant automatiser le lancement d'une commande permettant d'obtenir un clavier français pour la console de pfSense.
Menu :
"Services" => "Shellcmd"
=>
Cliquez sur le bouton "Add"
Remplissez les champs de la manière suivante :
[Command] =>
kbdcontrol -l /usr/share/vt/keymaps/fr.kbd
[Shellcmd Type] =>
shellcmd
[Description] =>
Clavier Azerty
=>
Cliquez sur le bouton "Save"
Vous obtenez l'écran suivant :
=>
Cliquez une nouvelle fois sur le bouton "Save"
Au prochain démarrage de pfSense, la console basculera automatiquement en français.
Pour obliger les clients à utiliser obligatoirement les DNS configurés sur pfSense vous pouvez mettre en place un mécanisme qui capturera toutes les requêtes DNS envoyées à des serveurs externes. Commencez par créer une règle pour le NAT :
Menu :
"Firewall" => "NAT"
=>
Cliquez sur "Port forward"
=>
Cliquez sur le bouton "Add"
Une nouvelle fenêtre s'ouvre pour ajouter une règle. Effectuez les manipulations suivantes :
[Interface] =>
LAN
[Protocol] =>
TCP/UDP
[Destination] =>
Cochez l'option "Invert match" puis sélectionnez "LAN address"
[Destination port range] =>
From port "DNS" To port "DNS"
[Redirect target IP] =>
127.0.0.1
[Redirect target port] =>
DNS
[Description] =>
Redirect DNS
[NAT reflextion] =>
Disable
=>
Cliquez sur le bouton "Save"
Vous devez obtenir l'écran suivant :
=>
Cliquez sur le bouton "Apply Changes"
Modifiez ensuite le parefeu de pfSense pour rediriger toutes les requêtes DNS sur pfSense.
Menu :
"Firewall" => "Rules"
=>
Cliquez sur "LAN"
=>
Cliquez sur le bouton "Add"
Une nouvelle fenêtre s'ouvre pour ajouter une règle. Effectuez les manipulations suivantes :
[Action] =>
Pass
[Interface] =>
LAN
[Address Family] =>
IPv4
[Protocol] =>
TCP/UDP
[Source] =>
any
[Destination] =>
LAN Address
[Destination port range] =>
From DNS (53) To DNS (53)
[Description] =>
Allow DNS to pfSense
=>
Cliquez sur le bouton "Save"
=>
Positionnez les deux règles en haut du tableau
=>
Cliquez sur le bouton "Apply Changes"
Enfin, créez une règle pour bloquer les requêtes DNS vers des serveurs extérieurs.
Menu :
"Firewall" => "Rules"
=>
Cliquez sur "LAN"
=>
Cliquez sur le bouton "Add"
Une nouvelle fenêtre s'ouvre pour ajouter une règle. Effectuez les manipulations suivantes :
[Action] =>
Block
[Interface] =>
LAN
[Address Family] =>
IPv4
[Protocol] =>
TCP/UDP
[Source] =>
any
[Destination] =>
any
[Destination port range] =>
From DNS (53) To DNS (53)
[Description] =>
Block DNS everything else
=>
Cliquez sur le bouton "Save"
=>
Positionnez les deux règles en haut du tableau
=>
Cliquez sur le bouton "Apply Changes"
N'oubliez pas de modifier l'ordre d'application des règles :
Pour changer l'ordre, utilisez le "glissé-déplacé" puis cliquez sur les boutons "Save" et "Apply Changes".
Modifiez le paramétrage des serveurs DNS de pfSense.
Menu :
"System" => "General Setup"
Modifiez les informations liées aux serveurs DNS de la manière suivante :
[DNS Servers] =>
"208.67.220.220 / none" et "208.67.222.222 / none"
[DNS Server Override] =>
Décochez l'option
Menu :
"System" => "General Setup"
La configuration pour la redirection des requêtes DNS est terminée.
Par défaut, tout est autorisé. Il est donc conseillé de bloquer tout le trafic puis, ensuite, d'autoriser les ports et/ou protocole.
Menu :
"Firewall" => "Rules"
=>
Cliquez sur "LAN"
Commencez par désactiver les deux règles (IPv4 et IPv6) qui autorisent tout :
=>
Cliquez sur le symbole représentant un crayon
=>
Cochez l'option "Disable this rule"
=>
Cliquez sur le bouton "Save"
=>
Cliquez sur le bouton "Apply Changes"
Bloquez tout :
=>
Cliquez sur le bouton "Add"
Effectuez les manipulations suivantes :
[Action] =>
Block
[Interface] =>
LAN
[Address Family] =>
IPv4 + IPv6
[Protocol] =>
any
[Source] =>
any
[Destination] =>
any
[Description] =>
Tout bloquer
=>
Cliquez sur le bouton "Save"
=>
Cliquez sur le bouton "Apply Changes"
Autorisez les protocoles ou ports que vous souhaitez ; exemple pour le protocole HTTP :
[Action] =>
Pass
[Interface] =>
LAN
[Address Family] =>
IPv4
[Protocol] =>
TCP
[Source] =>
any
[Destination] =>
any
[Destination Port Range] =>
From "HTTP (80)" To "HTTP (80)"
[Description] =>
Autoriser HTTP
=>
Cliquez sur le bouton "Save"
=>
Cliquez sur le bouton "Apply Changes"
Effectuez les mêmes manipulations pour le protocole HTTPS. Vous devez ensuite organiser les règles par un "glissé-déplacé" :
Notez, qu'ici, j'ai rajouté la règle n° 6 pour autoriser les synchronisations horaires avec des serveurs extérieurs et la règle n° 7 (echoreq) pour autoriser les "ping".
Vous pouvez effectuer les manipulations suivantes pour optimiser pfSense (FreeBSD).
Menu :
"System" => "Advanced"
=>
Cliquez sur "System Tunables"
=>
Cliquez sur le bouton "New"
Tapez les valeurs suivantes :
[Tunable] =>
kern.ipc.nmbclusters
[Value] =>
131072
=>
Cliquez sur le bouton "Save"
=>
Cliquez sur le bouton "Apply Changes"
Modifiez également la valeur pour "vfs.read_max" : remplacez "32" par "128".
=>
Cliquez sur le bouton "Save"
=>
Cliquez sur le bouton "Apply Changes"
Redémarrez le pfSense.