Technoaddict Monter une DMZ avec Pfsense

http://www.technoaddict.fr/index.php/2010/08/monter-une-dmz-avec-p...

Monter une DMZ avec Pfsense12/08/2010 Commenter Allez aux commentaires Rcemment jai refait un peu le rseau chez moi (opration durant laquelle jai appris les ACLs sous BIND, voire mon prcdent billet) car je voulais mettre en place une DMZ. Le firewall que jutilise est lexcellent PfSense dans la dernire version stable 1.2.3 que je recommande chaudement. La version 2.0 est actuellement en bta et devrait tre l avant la fin de lanne. Voici donc un modeste tutoriel destination de ceux qui souhaiteraient reproduire cette architecture. Pour commencer il y a des prrequis matriels. Il vous 3 cartes rseau dans la machine ddie PfSense. 1 pour le LAN 1 pour le WAN et 1 pour la DMZ. Dans le tuto, PfSense est dj en production avec le WAN et le LAN configurs. Aprs avoir insr la nouvelle carte et reboot la machine il faut la dclarer sur PfSense. On se connecte alors sur la console en SSH avec le compte admin (le mme que pour le GUI). sur le menu prsent on choisit : 1) Assign InterfacespfSense console setup *************************** 0) Logout (SSH only) 1) Assign Interfaces 2) Set LAN IP address 3) Reset webConfigurator password 4) Reset to factory defaults 5) Reboot system 6) Halt system 7) Ping host Shell 9) PFtop 10) Filter Logs 11) Restart webConfigurator 12) pfSense Developer Shell 13) Upgrade from console 14) Disable Secure Shell (sshd)

PfSense vous pose ensuite des questions :Valid interfaces are: em0 rl0 em1 tun0 00:1b:21:10:5f:47 00:08:54:55:1f:68 00:1b:21:10:5c:7a 0 (up) (up) (up) (up)

Do you want to set up VLANs first? If you are not going to use VLANs, or only for optional interfaces, you should say no here and use the webConfigurator to configure VLANs later, if required. Do you want to set up VLANs now [y|n]?n *NOTE* pfSense requires *AT LEAST* 2 assigned interfaces to function. If you do not have two interfaces you CANNOT continue. If you do not have at least two *REAL* network interface cards or one interface with multiple VLANs then pfSense *WILL NOT* function correctly. If you do not know the names of your interfaces, you may choose to use auto-detection. In that case, disconnect all interfaces now before hitting 'a' to initiate auto detection. Enter the LAN interface name or 'a' for auto-detection: em1 Enter the WAN interface name or 'a' for auto-detection: em0

em0 et em1 sont dj configurs il sagit des interfaces LAN et WAN. rentrez les alors leur place respective. Dans mon cas la nouvelle carte rseau est rl0 (FreeBSD sur lequel repose PfSense nomme les interfaces par le nom du pilote ici une Realtek) Il faut alors rentrer rl0 quand PfSense vous demande de spcifier une interface optionnelle :Enter the Optional 1 interface name or 'a' for auto-detection (or nothing if finished): rl0

On presse Entre la question :Enter the Optional 2 interface name or 'a' for auto-detection

1 sur 4

03/09/2010 14:26

Technoaddict Monter une DMZ avec Pfsense

http://www.technoaddict.fr/index.php/2010/08/monter-une-dmz-avec-p...

Enter the Optional 2 interface name or 'a' for auto-detection (or nothing if finished):

On valide ensuite la configuration :Do you want to proceed [y|n]?y

Voila on en a termin avec lajout de la nouvelle carte. On se rend ensuite dans le GUI. Aprs vous tre logu passez la souris sur Interfaces dans la barre de menu et cliquez sur OPT1 :

. On commence par cocher la case :Enable Optional 1 interface

Puis on lui donne un nom ici DMZ. Dans la partie General configuration, on choisit le type dinterface Static ou DHCP (ici Static) On passe ensuite la partie IP configuration et on rentre lIP de linterface ici 192.168.2.1. On valide ensuite avec le bouton Save en bas de page. On passe ensuite la souris sur Services dans la barre de menus et on clique sur DHCP Server. Il y a 2 onglets un LAN et UN DMZ, on clique sur DMZ et on paramtre ou pas le serveur DHCP sur linterface DMZ. En ce qui me concerne le DHCP est activ avec des rservations dadresses ce qui me permets de cocher la case :Deny unknown client

De cette faon aucune machine ne pourra obtenir dIP dans la zone DMZ sans que ce soit expressment autoris.

2 sur 4

03/09/2010 14:26

Technoaddict Monter une DMZ avec Pfsense

http://www.technoaddict.fr/index.php/2010/08/monter-une-dmz-avec-p...

A ce stade votre DMZ est prte accueillir les machines. En ce qui me concerne mon installation comporte 2 switchs un pour le LAN et un pour la DMZ. Le plus important reste venir savoir le paramtrage des rgles du Firewall. Sur mon installation le LAN est autoris communiquer avec la DMZ mais la DMZ ne peut pas aller vers le LAN alors que les machines peuvent aller sur Internet. Pour raliser cette dernire partie on passe sa souris sur Firewall dans la barre de menu et on clique sur Rules. On clique sur longlet DMZ et on cre la rgle suivante :

Voici les dtails de la rgle :

3 sur 4

03/09/2010 14:26

Technoaddict Monter une DMZ avec Pfsense

http://www.technoaddict.fr/index.php/2010/08/monter-une-dmz-avec-p...

On laisse tout le reste par dfaut. Il ne vous reste plus qu crer les rgles sur linterface WAN pour atteindre les serveurs dans la DMZ (ici serveur web et mail). Vous pouvez passer par les rgles de NAT qui peuvent crer automatiquement les rgles du Firewall.

Tags: dmz, lan, monter, nat, pfsense, rseau Categories: Linux et Open-Source, Planet-libre, Securite Informatique Commentaires (2) Trackbacks (1) Commenter Trackback 1. Lelent 14/08/2010 07:54 | #1 Rpondre | Citer Bonjour, Je tique sur la rgle ANY BUT LAN. Jaurais plutt explicitement autoris tout de DMZ vers WAN, et bloqu tout le reste ; a me semble plus propre, et potentiellement plus sr. Cest ma premire visite sur votre site : je le trouve esthtiquement trs russi. Bonne continuation. 2. Julien Patriarca 14/08/2010 11:23 | #2 Rpondre | Citer Oui c est une autre facon de faire. Merci pour les encouragements

4 sur 4

03/09/2010 14:26