pfSense

• Installation de pfSense 2.5
• Installation, attribution de cartes et adresses IP
• Ajouter un proxy Zabbix
• Paramétrage via l'interface web
• Ajouter l'agent Zabbix
• Mise à jour
• Paramètres généraux
• Règles de pare-feu
• Plugins
• Reverse-proxy

Installation de pfSense 2.5

On commence par définir la langue du clavier (French), puis on installe en mode Auto.

On clique sur "No" ici.

On reboot.

Je n'ai pas de VLAN. On peut en ajouter plus tard via l'interface Web.

Pour chaque interface, on définit laquelle désigne laquelle (on peut comparé les adresses MAC sur l'ESXI).

On attribue ensuite les adresses IP en prenant l'option 2.

 

 

 

Installation, attribution de cartes et adresses IP

On met non et on attribue les cartes.

On attribue ensuite des adresses IP en choisissant l'option 2.

On rentre une passerelle pour l'accès Internet.

On fait de même pour les autres cartes.

 

 

 

 

 

Ajouter un proxy Zabbix

Sous "System > Package Manager > Available Packages", on recherche Zabbix Proxy. On prend la dernière version.

Ensuite, sous "Services > Zabbix Proxy", on le configure.

On rentre les informations suivantes : 

Server

Server Port

Hostname (nom du proxy, doit correspondre dans Zabbix)

ListenIP (sur quelles interfaces le proxy écoute)

Proxy Mode (Active est par défaut, et préférable)

Config Frequency (fréquence d'actualisation de la configuration, c'est à dire la fréquence de la récupération de configuration de la part du serveur)

TLSConnect : psk 

TLS accept : psk

TLS Psk Identity : idendité du proxy psk. Par exemple : homelab. Devra correspondre pour le chiffrement dans Zabbix

TLS PSK : la clé. On peut la générer sur une machine linux via la commande openssl rand -hex 32

On clique ensuite sur "Show Advanced Options" et on rajoute : 

StartDiscoverers=10
StartVMwareCollectors=2
VMwareFrequency=60
VMwarePerfFrequency=60
VMwareCacheSize=50M
VMwareTimeout=10

Ces valeurs sont utiles si on supervise un hôte VMware.

On peut vérifier si le service est démarré sous "Status > Services".

Paramétrage via l'interface web

admin:pfsense

On vérifie ensuite les informations puis on clique sur "Reload".

 

 

 

Ajouter l'agent Zabbix

Sous "System > Package Manager > Available Packages", on recherche Zabbix Agent. On prend la dernière version.

Ensuite, sous "Services > Zabbix Agent", on le configure.

On définit les valeurs : Server, Server Active (pour le mode actif), Hostname. Pour le chiffrement, on peut définir les options comme pour le proxy si l'on souhaite chiffrer en local.

Mise à jour

On clique sur le nuage puis on met à jour.

Paramètres généraux

Changement du port par défaut

Dans System > Advanced :

La règle s'est donc modifiée : 

On coche également cette case. Par défaut, pfsense redirige le port 80 vers le port https.

 

Ajout de widget au menu principal

Création d'un nouveau compte admin

Il est recommandé de créer un autre compte que "admin".

On désactive ensuite le compte admin.

Changement du nom d'interface

Dans Interfaces > Assisgnments :

On change la description pour "DMZ".

Règles de pare-feu

Le LAN par défaut autorise tout, le WAN rejete tout et la DMZ aussi.

 

Création d'alias

Règles DMZ

Pour la DMZ, on refuse l'accès au pare-feu (administration).

On bloque l'accès au LAN.

 

 

 

 

 

 

Plugins

Pfsense dispose de nombreux plugins installables, comme open-vm-tools (si virtualisé), pfblockerng pour bloquer des sites/IP, agent Zabbix...

Par exemple, arpwatch.

arpwatch

Ce plugin détecte les nouvelles adresses MAC du réseau.

 

Dans l'onglet Database, on aura une liste.

pfblockerng

Voir : A VENIR.

 

Reverse-proxy

 

On ajoute un certificat SSL (Wildcard) dans System > Cert. Manager, et dans l'onglet "Certificates".