pfSense
- Installation de pfSense 2.5
- Installation, attribution de cartes et adresses IP
- Ajouter un proxy Zabbix
- Paramétrage via l'interface web
- Ajouter l'agent Zabbix
- Mise à jour
- Paramètres généraux
- Règles de pare-feu
- Plugins
- Reverse-proxy
Installation de pfSense 2.5
On commence par définir la langue du clavier (French), puis on installe en mode Auto.
On clique sur "No" ici.
On reboot.
Je n'ai pas de VLAN. On peut en ajouter plus tard via l'interface Web.
Pour chaque interface, on définit laquelle désigne laquelle (on peut comparé les adresses MAC sur l'ESXI).
On attribue ensuite les adresses IP en prenant l'option 2.
Installation, attribution de cartes et adresses IP
On met non et on attribue les cartes.
On attribue ensuite des adresses IP en choisissant l'option 2.
On rentre une passerelle pour l'accès Internet.
On fait de même pour les autres cartes.
Ajouter un proxy Zabbix
Sous "System > Package Manager > Available Packages", on recherche Zabbix Proxy. On prend la dernière version.
Ensuite, sous "Services > Zabbix Proxy", on le configure.
On rentre les informations suivantes :
Server
Server Port
Hostname (nom du proxy, doit correspondre dans Zabbix)
ListenIP (sur quelles interfaces le proxy écoute)
Proxy Mode (Active est par défaut, et préférable)
Config Frequency (fréquence d'actualisation de la configuration, c'est à dire la fréquence de la récupération de configuration de la part du serveur)
TLSConnect : psk
TLS accept : psk
TLS Psk Identity : idendité du proxy psk. Par exemple : homelab. Devra correspondre pour le chiffrement dans Zabbix
TLS PSK : la clé. On peut la générer sur une machine linux via la commande openssl rand -hex 32
On clique ensuite sur "Show Advanced Options" et on rajoute :
StartDiscoverers=10
StartVMwareCollectors=2
VMwareFrequency=60
VMwarePerfFrequency=60
VMwareCacheSize=50M
VMwareTimeout=10
Ces valeurs sont utiles si on supervise un hôte VMware.
On peut vérifier si le service est démarré sous "Status > Services".
Paramétrage via l'interface web
admin:pfsense
On vérifie ensuite les informations puis on clique sur "Reload".
Ajouter l'agent Zabbix
Sous "System > Package Manager > Available Packages", on recherche Zabbix Agent. On prend la dernière version.
Ensuite, sous "Services > Zabbix Agent", on le configure.
On définit les valeurs : Server, Server Active (pour le mode actif), Hostname. Pour le chiffrement, on peut définir les options comme pour le proxy si l'on souhaite chiffrer en local.
Mise à jour
On clique sur le nuage puis on met à jour.
Paramètres généraux
Changement du port par défaut
Dans System > Advanced :
La règle s'est donc modifiée :
On coche également cette case. Par défaut, pfsense redirige le port 80 vers le port https.
Ajout de widget au menu principal
Création d'un nouveau compte admin
Il est recommandé de créer un autre compte que "admin".
On désactive ensuite le compte admin.
Changement du nom d'interface
Dans Interfaces > Assisgnments :
On change la description pour "DMZ".
Règles de pare-feu
Le LAN par défaut autorise tout, le WAN rejete tout et la DMZ aussi.
Création d'alias
Règles DMZ
Pour la DMZ, on refuse l'accès au pare-feu (administration).
On bloque l'accès au LAN.
Plugins
Pfsense dispose de nombreux plugins installables, comme open-vm-tools (si virtualisé), pfblockerng pour bloquer des sites/IP, agent Zabbix...
Par exemple, arpwatch.
arpwatch
Ce plugin détecte les nouvelles adresses MAC du réseau.
Dans l'onglet Database, on aura une liste.
pfblockerng
Voir : A VENIR.
Reverse-proxy
On ajoute un certificat SSL (Wildcard) dans System > Cert. Manager, et dans l'onglet "Certificates".