Les premiers pas avec une image firewall pfSense

Published on Cloud Hosting and Virtual Data Centre help (http://cloudhelp.claranet.com)
Home > Printer-friendly PDF
Les premiers pas avec une image firewall
pfSense
Cette page explique les fonctions basiques des firewalls pfSense et comment configurer votre
firewall depuis la plateforme VDC.
Déployer le firewall
Le firewall pfSense devra être initialement déployée comme toute machine virtuelle,
documentée dans la vidéo 'Ajouter une Machine Virtuelle'. Quand vous arrivez à l?étape de
l'ajout des interfaces réseau, il est important de s'assurer que le NIC0 (interface eth0) soit l'IP
publique (ou la première IP publique si vous en mettez plusieurs), et que NIC1 soit l'interface
privée. L'image de base pfSense a été pré-configurée pour s'attendre à cette configuration.
Pour plus d'informations sur la marche à suivre, reportez-vous à la section 'configuration des
ressources réseau' de la documentation 'Configurer les machines virtuelles'
Configurer le firewall
Vous devez configurer le firewall pour autoriser le trafic entrant et sortant, de même que le
trafic depuis l?intérieur du réseau vers l?extérieur, et finalement autoriser le port 80 depuis
internet (HTTP pour un serveur web).
N.B. Vous devez utiliser du HTTP sécurisé, eg : https://195.157.12.255 [1]
Ignorez l'erreur de certificat en cliquant sur 'continuer vers le site', l?écran suivant apparaîtra:
Les identifiants de connexions par défaut se trouvent dans la documentation 'Détails des
identifiants des images Claranet'. Vous serez alors en présence de la page principale du
firewall.
D'abord, nous devons changer le mot de passe de l'utilisateur admin. Sous le menu system,
cliquez sur 'User Manager'.
L?écran suivant apparaîtra:
Passez la souris sur le bouton d?édition
pour modifier l'utilisateur.
L?écran suivant apparaîtra:
Remplissez les champs password. Défilez vers le bas et cliquez sur sauvegarder.
Puis, nous devons déplacer le port SSH, ceci vous permettra d?accéder au serveur WEB en
SSH. Sélectionnez 'System ? Advanced' et l?écran suivant apparaitra:
Défilez jusqu'à la section SSH:
Cliquez sur 'Enable Secure Shell' et réglez le port SSH sur '8022'. Défilez jusqu'en bas et
sauvegardez.
Ensuite, nous devons configurer le firewall avec la règle suivante:
Allow SSH on port 8022 to Firewall
Sélectionnez ?Firewall? ? ?Rules?
Sélectionnez ?WAN? puis cliquez sur
pour ajouter un nouveau rôle:
Remplissez le formulaire comme suit:
Action: Pass
Disabled: not selected
Interface: WAN
Protocol: TCP
Source: any
Destination: Wan Address
Destination Port Range ? From: 8022
Description: SSH to Firewall on Port 8022
Enregistrez les modifications. Vous pouvez maintenant utiliser SSH sur le port 8022.
Exemples de règles NAT
La section suivante fournit des exemples de configurations NAT.
Exemple de règle NAT - Allow SSH on port 22 to Web Server
Sélectionnez 'firewall ? NAT' puis 'port forward':
Cliquez sur le bouton 'Add NAT Rule'
Remplissez le formulaire comme suit:
Disabled: Not selected
No RDR (NOT): Not selected
Interface: WAN
Protocol: TCP
Source: Ignore
Destination: Wan Address
Destination Port Range ? SSH
Redirect Target IP Address: 192.168.2.2 (or your webserver IP)
Redirect Target Port: SSH
Description: SSH to Web Server
NAT Reflection: leave as default
Filter Rule Association: Pass
Sauvegardez la règle. Vous pouvez maintenant vous connecter en SSH au serveur WEB
(l'adresse IP utilisé est celle du firewall), avec les identifiants de connexion du serveur WEB.
Exemple de règle NAT - Allow HTTP on port 80 to Web Server
Sélectionnez 'firewall ? NAT' puis 'port forward':
Cliquez sur le bouton 'Add NAT Rule'
Remplissez le formulaire comme suit:
Disabled: Not selected
No RDR (NOT): Not selected
Interface: WAN
Protocol: TCP
Source: Ignore
Destination: Wan Address
Destination Port Range ? HTTP
Redirect Target IP Address: 192.168.2.2 (or your
Redirect Target Port: HTTP
Description: HTTP to Web Server
NAT Reflection: leave as default
Filter Rule Association: Pass
webserver IP)
Sauvegardez la règle. Votre serveur web est maintenant disponible depuis internet à l'adresse
http://IP_Publique_Du_Firewall [2].
1:1 NAT mapping
Cette section fournit des instructions pour expliquer comment configurer du mappage NAT 1:1
avec de multiples adresses IP publiques.
Dans cet exemple, une IP publique de 195.157.13.200 sera nattée vers l'IP privé de
192.168.0.3
Voici ce qu'il faut pour le fonctionnement:
Il faudra une interface publique pour chaque IP à natter.
Il faut s'assurer que les interfaces publiques soient nommées NIC2 ou supérieur
(conservant la première IP publique en NIC0 et l'interface privée en NIC1)
Il faut configurer le mappage NAT 1:1 pour cette IP
Il faudra aussi créer une règle pour autoriser les ports voulus pour cette IP.
Ajouter une interface
En respectant les indications précédentes, la première interface WAN sera assignée à em0 et
l'interface LAN à em1:
Cliquez sur le bouton
assigné à em2:
pour assigner une nouvelle interface. OPT1 sera automatiquement
Sélectionnez l'item OPT1 dans le menu interfaces
Sélectionnez 'enable' en haut et réglez le type sur 'DHCP'. Sauvegardez les modifications
Si vous utilisez plusieurs interfaces avec 1:1 NAT mappé sur chacun, vous aurez besoin
d'ajouter les paramètres de configuration suivants :
Premièrement, dans les options additionnelles de la configuration firewall, allez dans le menu
'System', 'User Manager', et ensuite cliquer sur 'Groups'.
Cliquer sur
puis éditer le bouton 'Superuser' groupe. Ensuite, descendez dans la section
'Assigned Privileges', et cliquer sur
pour ajouter de nouvelles règles.
Sur la page option, cliquez 'Select all', et ensuite 'Save'.
Maintenant, il faut désactiver Reply-To. Allez dans le menu 'System', 'Advanced' et cliquer sur
'Firewall / NAT'. Cliquer sur 'Disable reply-to on WAN rules' check box.
Click 'Save'. Next, go to the 'System' menu, 'Advanced' and click on the 'Networking' tab. Click
'Suppress ARP messages':
Click 'Save' to finish.
Configurez le nat 1:1
Cliquez sur 'FIREWALL' puis 'NAT'. Sélectionnez l'onglet 1:1.
Sélectionnez
pour ajouter une nouvelle règle et positionnez l'interface sur OPT1, Pour le
sous-réseau externe, définissez l'adresse IP publique (le masque sous réseau devra être /32
si vous ne définissez qu'une seule IP).
Réglez l'IP privée sur l'adresse privée de l?hôte que vous souhaitez joindre.
Ajoutez une description pour cette règle. Sauvegardez les modifications.
Ajouter une règle firewall
Sélectionnez le menu 'FIREWALL ? RULES'
Sélectionnez l'onglet OPT1. Sélectionnez
pour créer une nouvelle règle
Assurez-vous que l'interface est positionnée sur OPT1 (ou le nom de l'interface que vous
utilisez pour cette IP publique)
Réglez le type de la destination sur 'single address' et spécifiez l'adresse IP du hôte à joindre,
dans ce cas 192.168.0.3
Définissez l?éventail de ports à joindre, dans ce cas SSH. Précisez un commentaire pour
cette règle.
Sauvegardez les modifications.
Vous devriez maintenant pouvoir établir une connexion SSH à l'adresse publique
195.157.13.200 qui sera redirigé vers 192.168.0.3.
Source URL: http://cloudhelp.claranet.com/fr/content/les-premiers-pas-avec-une-image-firewall-pfsense
Links:
[1] https://195.157.12.255
[2] http://IP_Publique_Du_Firewall