pfSense

Installation de pfSense 2.5

On commence par définir la langue du clavier (French), puis on installe en mode Auto.

On clique sur "No" ici.

image-1618526621009.png

On reboot.

image-1618526642853.png

Je n'ai pas de VLAN. On peut en ajouter plus tard via l'interface Web.

image-1618526967885.png

Pour chaque interface, on définit laquelle désigne laquelle (on peut comparé les adresses MAC sur l'ESXI).

image-1618527208155.png

image-1618527419809.png

On attribue ensuite les adresses IP en prenant l'option 2.

image-1618867417374.png

image-1618867624164.png

image-1618868185164.png

 

 

 

Installation, attribution de cartes et adresses IP

image-1615640930875.png

On met non et on attribue les cartes.

image-1615641246899.png

On attribue ensuite des adresses IP en choisissant l'option 2.

image-1615641315978.png

On rentre une passerelle pour l'accès Internet.

On fait de même pour les autres cartes.

image-1615641457760.png

 

 

 

 

 

Ajouter un proxy Zabbix

Sous "System > Package Manager > Available Packages", on recherche Zabbix Proxy. On prend la dernière version.

image-1616349053866.png

Ensuite, sous "Services > Zabbix Proxy", on le configure.

On rentre les informations suivantes : 

Server

Server Port

Hostname (nom du proxy, doit correspondre dans Zabbix)

ListenIP (sur quelles interfaces le proxy écoute)

Proxy Mode (Active est par défaut, et préférable)

Config Frequency (fréquence d'actualisation de la configuration, c'est à dire la fréquence de la récupération de configuration de la part du serveur)

TLSConnect : psk 

TLS accept : psk

TLS Psk Identity : idendité du proxy psk. Par exemple : homelab. Devra correspondre pour le chiffrement dans Zabbix

TLS PSK : la clé. On peut la générer sur une machine linux via la commande openssl rand -hex 32

On clique ensuite sur "Show Advanced Options" et on rajoute : 

StartDiscoverers=10
StartVMwareCollectors=2
VMwareFrequency=60
VMwarePerfFrequency=60
VMwareCacheSize=50M
VMwareTimeout=10

Ces valeurs sont utiles si on supervise un hôte VMware.

On peut vérifier si le service est démarré sous "Status > Services".

image-1616349584271.png

Paramétrage via l'interface web

image-1615642261733.png

admin:pfsense

image-1615642291968.png

image-1615642335939.png

image-1615642836986.png

On vérifie ensuite les informations puis on clique sur "Reload".

 

 

 

Ajouter l'agent Zabbix

Sous "System > Package Manager > Available Packages", on recherche Zabbix Agent. On prend la dernière version.

image-1616349053866.png

Ensuite, sous "Services > Zabbix Agent", on le configure.

On définit les valeurs : Server, Server Active (pour le mode actif), Hostname. Pour le chiffrement, on peut définir les options comme pour le proxy si l'on souhaite chiffrer en local.

Mise à jour

image-1615643562159.png

On clique sur le nuage puis on met à jour.

image-1615643601444.png

Paramètres généraux

Changement du port par défaut

Dans System > Advanced :

image-1615924483097.png

image-1615924588198.png

La règle s'est donc modifiée : 

image-1615924691796.png

On coche également cette case. Par défaut, pfsense redirige le port 80 vers le port https.

image-1615924944170.png

 

Ajout de widget au menu principal

image-1615924624489.png

Création d'un nouveau compte admin

Il est recommandé de créer un autre compte que "admin".

image-1615924996299.png

On désactive ensuite le compte admin.

Changement du nom d'interface

Dans Interfaces > Assisgnments :

image-1615925119230.png

On change la description pour "DMZ".

Règles de pare-feu

Le LAN par défaut autorise tout, le WAN rejete tout et la DMZ aussi.

 

Création d'alias

image-1615925849984.png

image-1615925860899.png

image-1615926061791.png

Règles DMZ

Pour la DMZ, on refuse l'accès au pare-feu (administration).

image-1615925727807.png

image-1615925742697.png

On bloque l'accès au LAN.

image-1615926091395.png

image-1615926154695.png

image-1615926428135.png

 

 

 

 

 

 

Plugins

Pfsense dispose de nombreux plugins installables, comme open-vm-tools (si virtualisé), pfblockerng pour bloquer des sites/IP, agent Zabbix...

Par exemple, arpwatch.

arpwatch

Ce plugin détecte les nouvelles adresses MAC du réseau.

image-1615926627014.png

image-1615926643151.png

image-1615926741962.png

 

image-1615926893910.png

Dans l'onglet Database, on aura une liste.

image-1615927220856.png

pfblockerng

Voir : A VENIR.

 

Reverse-proxy

 

On ajoute un certificat SSL (Wildcard) dans System > Cert. Manager, et dans l'onglet "Certificates".

image-1615988271719.png

image-1615988378723.png

image-1616016606607.png

image-1616016618290.png

image-1616016628466.png

image-1616016648894.png

image-1616017812521.png

image-1616017825343.png

image-1616017833806.png