Les premiers pas avec une image firewall pfSense
Transcription
Les premiers pas avec une image firewall pfSense
Published on Cloud Hosting and Virtual Data Centre help (http://cloudhelp.claranet.com) Home > Printer-friendly PDF Les premiers pas avec une image firewall pfSense Cette page explique les fonctions basiques des firewalls pfSense et comment configurer votre firewall depuis la plateforme VDC. Déployer le firewall Le firewall pfSense devra être initialement déployée comme toute machine virtuelle, documentée dans la vidéo 'Ajouter une Machine Virtuelle'. Quand vous arrivez à l?étape de l'ajout des interfaces réseau, il est important de s'assurer que le NIC0 (interface eth0) soit l'IP publique (ou la première IP publique si vous en mettez plusieurs), et que NIC1 soit l'interface privée. L'image de base pfSense a été pré-configurée pour s'attendre à cette configuration. Pour plus d'informations sur la marche à suivre, reportez-vous à la section 'configuration des ressources réseau' de la documentation 'Configurer les machines virtuelles' Configurer le firewall Vous devez configurer le firewall pour autoriser le trafic entrant et sortant, de même que le trafic depuis l?intérieur du réseau vers l?extérieur, et finalement autoriser le port 80 depuis internet (HTTP pour un serveur web). N.B. Vous devez utiliser du HTTP sécurisé, eg : https://195.157.12.255 [1] Ignorez l'erreur de certificat en cliquant sur 'continuer vers le site', l?écran suivant apparaîtra: Les identifiants de connexions par défaut se trouvent dans la documentation 'Détails des identifiants des images Claranet'. Vous serez alors en présence de la page principale du firewall. D'abord, nous devons changer le mot de passe de l'utilisateur admin. Sous le menu system, cliquez sur 'User Manager'. L?écran suivant apparaîtra: Passez la souris sur le bouton d?édition pour modifier l'utilisateur. L?écran suivant apparaîtra: Remplissez les champs password. Défilez vers le bas et cliquez sur sauvegarder. Puis, nous devons déplacer le port SSH, ceci vous permettra d?accéder au serveur WEB en SSH. Sélectionnez 'System ? Advanced' et l?écran suivant apparaitra: Défilez jusqu'à la section SSH: Cliquez sur 'Enable Secure Shell' et réglez le port SSH sur '8022'. Défilez jusqu'en bas et sauvegardez. Ensuite, nous devons configurer le firewall avec la règle suivante: Allow SSH on port 8022 to Firewall Sélectionnez ?Firewall? ? ?Rules? Sélectionnez ?WAN? puis cliquez sur pour ajouter un nouveau rôle: Remplissez le formulaire comme suit: Action: Pass Disabled: not selected Interface: WAN Protocol: TCP Source: any Destination: Wan Address Destination Port Range ? From: 8022 Description: SSH to Firewall on Port 8022 Enregistrez les modifications. Vous pouvez maintenant utiliser SSH sur le port 8022. Exemples de règles NAT La section suivante fournit des exemples de configurations NAT. Exemple de règle NAT - Allow SSH on port 22 to Web Server Sélectionnez 'firewall ? NAT' puis 'port forward': Cliquez sur le bouton 'Add NAT Rule' Remplissez le formulaire comme suit: Disabled: Not selected No RDR (NOT): Not selected Interface: WAN Protocol: TCP Source: Ignore Destination: Wan Address Destination Port Range ? SSH Redirect Target IP Address: 192.168.2.2 (or your webserver IP) Redirect Target Port: SSH Description: SSH to Web Server NAT Reflection: leave as default Filter Rule Association: Pass Sauvegardez la règle. Vous pouvez maintenant vous connecter en SSH au serveur WEB (l'adresse IP utilisé est celle du firewall), avec les identifiants de connexion du serveur WEB. Exemple de règle NAT - Allow HTTP on port 80 to Web Server Sélectionnez 'firewall ? NAT' puis 'port forward': Cliquez sur le bouton 'Add NAT Rule' Remplissez le formulaire comme suit: Disabled: Not selected No RDR (NOT): Not selected Interface: WAN Protocol: TCP Source: Ignore Destination: Wan Address Destination Port Range ? HTTP Redirect Target IP Address: 192.168.2.2 (or your Redirect Target Port: HTTP Description: HTTP to Web Server NAT Reflection: leave as default Filter Rule Association: Pass webserver IP) Sauvegardez la règle. Votre serveur web est maintenant disponible depuis internet à l'adresse http://IP_Publique_Du_Firewall [2]. 1:1 NAT mapping Cette section fournit des instructions pour expliquer comment configurer du mappage NAT 1:1 avec de multiples adresses IP publiques. Dans cet exemple, une IP publique de 195.157.13.200 sera nattée vers l'IP privé de 192.168.0.3 Voici ce qu'il faut pour le fonctionnement: Il faudra une interface publique pour chaque IP à natter. Il faut s'assurer que les interfaces publiques soient nommées NIC2 ou supérieur (conservant la première IP publique en NIC0 et l'interface privée en NIC1) Il faut configurer le mappage NAT 1:1 pour cette IP Il faudra aussi créer une règle pour autoriser les ports voulus pour cette IP. Ajouter une interface En respectant les indications précédentes, la première interface WAN sera assignée à em0 et l'interface LAN à em1: Cliquez sur le bouton assigné à em2: pour assigner une nouvelle interface. OPT1 sera automatiquement Sélectionnez l'item OPT1 dans le menu interfaces Sélectionnez 'enable' en haut et réglez le type sur 'DHCP'. Sauvegardez les modifications Si vous utilisez plusieurs interfaces avec 1:1 NAT mappé sur chacun, vous aurez besoin d'ajouter les paramètres de configuration suivants : Premièrement, dans les options additionnelles de la configuration firewall, allez dans le menu 'System', 'User Manager', et ensuite cliquer sur 'Groups'. Cliquer sur puis éditer le bouton 'Superuser' groupe. Ensuite, descendez dans la section 'Assigned Privileges', et cliquer sur pour ajouter de nouvelles règles. Sur la page option, cliquez 'Select all', et ensuite 'Save'. Maintenant, il faut désactiver Reply-To. Allez dans le menu 'System', 'Advanced' et cliquer sur 'Firewall / NAT'. Cliquer sur 'Disable reply-to on WAN rules' check box. Click 'Save'. Next, go to the 'System' menu, 'Advanced' and click on the 'Networking' tab. Click 'Suppress ARP messages': Click 'Save' to finish. Configurez le nat 1:1 Cliquez sur 'FIREWALL' puis 'NAT'. Sélectionnez l'onglet 1:1. Sélectionnez pour ajouter une nouvelle règle et positionnez l'interface sur OPT1, Pour le sous-réseau externe, définissez l'adresse IP publique (le masque sous réseau devra être /32 si vous ne définissez qu'une seule IP). Réglez l'IP privée sur l'adresse privée de l?hôte que vous souhaitez joindre. Ajoutez une description pour cette règle. Sauvegardez les modifications. Ajouter une règle firewall Sélectionnez le menu 'FIREWALL ? RULES' Sélectionnez l'onglet OPT1. Sélectionnez pour créer une nouvelle règle Assurez-vous que l'interface est positionnée sur OPT1 (ou le nom de l'interface que vous utilisez pour cette IP publique) Réglez le type de la destination sur 'single address' et spécifiez l'adresse IP du hôte à joindre, dans ce cas 192.168.0.3 Définissez l?éventail de ports à joindre, dans ce cas SSH. Précisez un commentaire pour cette règle. Sauvegardez les modifications. Vous devriez maintenant pouvoir établir une connexion SSH à l'adresse publique 195.157.13.200 qui sera redirigé vers 192.168.0.3. Source URL: http://cloudhelp.claranet.com/fr/content/les-premiers-pas-avec-une-image-firewall-pfsense Links: [1] https://195.157.12.255 [2] http://IP_Publique_Du_Firewall