1 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
Installation du Pfsense Prérequis : Votre machine devra posséder 3 cartes réseaux différentes afin de pouvoir connecter le
Pfsense à tous les sous-réseaux existants.
Attention : En cas d’installation de la machine sur VMware Workstation, lors de la création de la
machine le logiciel ne détectera pas automatiquement le système d’exploitation Pfsense. Il vous suffira
donc de sélectionner Other et FreeBS 64-bit pour la version (voir ci-dessous)
- La machine se lancera sur le menu principal en indiquant que l’autoboot se fera dans 10
secondes. Laisser l’autoboot s’effectuer afin que l’installation s’initialise (voir ci-dessous)
-
-
2 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
- L’écran de configuration de la console se lancera ensuite. Il vous permettra de modifier
plusieurs paramètres. Afin de continuer, choisir < Accept these Settings > (voir ci-dessous)
- L’écran suivant vous demandera de choisir la tâche que vous voulez effectuer. Choisir <
Quick/Easy Install > afin de lancer l’installation.
3 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
- Confirmer l’installation du système d’exploitation en choisissant < OK >
- Choisir < Standard Kernel >
4 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
- Choisir enfin < Reboot > afin de redémarrer la machine et de finaliser l’installation
- Suite au redémarrage, la phase de configuration du Pfsense commencera automatiquement
5 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
Paramétrage des interfaces du Pfsense Dans notre situation, aucun VLAN ne sera présent sur le Pfsense. Il faudra donc répondre N à la question
affichée automatiquement par le Pfsense (voir ci-dessous)
Nous allons désormais assigner les interfaces des cartes réseaux aux réseaux auxquels ils vont
appartenir (WAN-LAN-DMZ). Une fois arrivé sur le menu choisir l’option 1.
6 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
Une nouvelle fois, le Pfsense demandera si des VLAN devront être mis en place. Répondre donc une
nouvelle fois N
- Indiquer ensuite quelle interface correspondra au réseau WAN. Ici notre interface sera la em2
Attention le clavier peut être en QWERTY
- Même opération pour le réseau LAN
- Le réseau DMZ sera indiqué en OPT1. (Le nom pourra être modifié ultérieurement)
- Ensuite valider sans ne rien saisir afin de terminer cette assignation.
- Une demande de validation apparaitra ensuite. Si la configuration vous convient, entrer Y
7 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
- Le menu s’affichera de nouveau, sélectionner l’option 2 afin d’assigner une adresse IP à chaque
interface.
- Choisir l’interface qui vous intéresse et la configurer selon votre topologie.
Dans notre cas l’interface du WAN prendra l’adresse 192.168.3.254 ; l’interface du LAN prendra
l’adresse 192.168.1.254 et l’interface de la DMZ prendra l’adresse 192.168.2.254
- Une fois votre configuration d’interfaces terminée, vous pourrez vérifier l’exactitude de votre
configuration grâce au résumé placé juste au-dessus du menu principal.
Le paramétrage des interfaces du Pfsense est désormais terminée. Nous allons donc passer à
l’élaboration des règles et aux phases de tests correspondantes.
8 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
Paramétrage des règles et phase de tests
Nous allons dans cette partie montrer comment autoriser ou refuser certaines actions aux
ordinateurs et serveurs présents sur les différents sous-réseaux. Nous allons mettre en place
des règles permettant :
- De pouvoir effectuer un ping du serveur AD vers le réseau DMZ
- De pouvoir accéder au IIS de la DMZ depuis le réseau WAN
- Permettre l’obtention du DNS par la DMZ
- Permettre l’échange de mails entre la DMZ et le réseau WAN
Ces règles seront mises en place depuis la console web du Pfsense. Nous allons y accéder depuis le
serveur LAN grâce à l’adresse attribuée à l’interface du Pfsense liée au LAN.
Permission de ping du serveur AD vers la DMZ
1. Mise en place de la règle
Aller dans le menu Firewall puis Rules
Cliquer sur l’onglet OPT1 (ou DMZ si vous l’avez renommé)
Cliquer sur ADD
9 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
Configurer les paramètres comme ci-dessous (le protocole ICMP est celui qui est utilisé afin d’effectuer
un ping)
Cliquer sur Save puis sur Apply Changes sur la page suivante.
2. Phase de test
Se connecter sur le serveur AD/DNS
Lancer une invite de commande en tant qu’administrateur
Effectuer un ping vers l’adresse de votre serveur DMZ (ici 192.168.2.1)
10 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
Le résultat devrait être le suivant :
11 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
Accès au service IIS depuis le PC du réseau WAN
1. Mise en place de la règle
Aller dans le menu Firewall puis Rules
Cliquer sur l’onglet OPT1 (ou DMZ si vous l’avez renommé)
Cliquer sur ADD
Configurer les paramètres comme ci-dessous (les ports 80 et 443 correspondent aux ports utilisés pour
le http et le https)
Cliquer sur Save puis sur Apply Changes sur la page suivante.
12 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
2. Phase de test Se connecter sur le PC dans le réseau WAN.
Entrer l’adresse du serveur DMZ dans le navigateur
Le site web devra s’afficher sans problème ni message d’erreur
Obtention du DNS par la DMZ
1. Mise en place de la règle Aller dans le menu Firewall puis Rules
Cliquer sur l’onglet OPT1 (ou DMZ si vous l’avez renommé)
Cliquer sur ADD
Configurer les paramètres comme ci-dessous (le port 53 est celui utilisé pour le passage du DNS)
Cliquer sur Save puis sur Apply Changes sur la page suivante.
13 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
2. Phase de test
Se connecter sur le serveur de la DMZ
Lancer une invite de commande en tant qu’administrateur
Lancer la commande nslookup
Le résultat devra être le suivant
14 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
Permission de l’échange de mails entre la DMZ et le réseau WAN Aller dans le menu Firewall puis Rules
Cliquer sur l’onglet OPT1 (ou DMZ si vous l’avez renommé)
Cliquer sur ADD
Configurer les paramètres comme ci-dessous (les ports 25 et 110 sont ceux utilisés pour les protocoles
SMTP et POP3 nécessaires pour l’émission et la réception de mails)
Cliquer sur Save puis sur Apply Changes sur la page suivante.
2. Phase de test Installer un logiciel de mail sur votre DMZ et votre PC du réseau WAN.
Tenter un envoi et une réponse de mail
Les mails doivent être émis et reçus sans message d’erreur
15 De : LEAN Guillaume ; ARNOULD Jérome ; OUDIN Alexandre ; DE CARVALHO Marvin
Accès au service de Bureau à distance
Aller dans le menu Firewall puis Rules
Cliquer sur l’onglet OPT1 (ou DMZ si vous l’avez renommé)
Cliquer sur ADD
Configurer les paramètres comme ci-dessous (le port 53 est celui utilisé pour le passage du DNS)
Cliquer sur Save puis sur Apply Changes sur la page suivante.
2. Phase de tests
Lancer le bureau à distance sur le PC présent dans le WAN.
Entrer l’adresse IP du serveur DMZ
La connexion doit se faire sans erreur