# pfSense

# Installation de pfSense 2.5

On commence par définir la langue du clavier (French), puis on installe en mode Auto.

On clique sur "No" ici.

[![image-1618526621009.png](https://docs.khroners.fr/uploads/images/gallery/2021-04/scaled-1680-/mHf5XwwV6VVnU5LW-image-1618526621009.png)](https://docs.khroners.fr/uploads/images/gallery/2021-04/mHf5XwwV6VVnU5LW-image-1618526621009.png)

On reboot.

[![image-1618526642853.png](https://docs.khroners.fr/uploads/images/gallery/2021-04/scaled-1680-/2LA4BK1aN6dhZla2-image-1618526642853.png)](https://docs.khroners.fr/uploads/images/gallery/2021-04/2LA4BK1aN6dhZla2-image-1618526642853.png)

Je n'ai pas de VLAN. On peut en ajouter plus tard via l'interface Web.

[![image-1618526967885.png](https://docs.khroners.fr/uploads/images/gallery/2021-04/scaled-1680-/ZH0zinjJ3temDnrN-image-1618526967885.png)](https://docs.khroners.fr/uploads/images/gallery/2021-04/ZH0zinjJ3temDnrN-image-1618526967885.png)

Pour chaque interface, on définit laquelle désigne laquelle (on peut comparé les adresses MAC sur l'ESXI).

[![image-1618527208155.png](https://docs.khroners.fr/uploads/images/gallery/2021-04/scaled-1680-/M3MDENvCQPPqGUo0-image-1618527208155.png)](https://docs.khroners.fr/uploads/images/gallery/2021-04/M3MDENvCQPPqGUo0-image-1618527208155.png)

[![image-1618527419809.png](https://docs.khroners.fr/uploads/images/gallery/2021-04/scaled-1680-/NL96rwbUywcuCheD-image-1618527419809.png)](https://docs.khroners.fr/uploads/images/gallery/2021-04/NL96rwbUywcuCheD-image-1618527419809.png)

On attribue ensuite les adresses IP en prenant l'option 2.

[![image-1618867417374.png](https://docs.khroners.fr/uploads/images/gallery/2021-04/scaled-1680-/w0VIdbHyUEjDPbim-image-1618867417374.png)](https://docs.khroners.fr/uploads/images/gallery/2021-04/w0VIdbHyUEjDPbim-image-1618867417374.png)

[![image-1618867624164.png](https://docs.khroners.fr/uploads/images/gallery/2021-04/scaled-1680-/mYrEyEYTKXmI3eB1-image-1618867624164.png)](https://docs.khroners.fr/uploads/images/gallery/2021-04/mYrEyEYTKXmI3eB1-image-1618867624164.png)

[![image-1618868185164.png](https://docs.khroners.fr/uploads/images/gallery/2021-04/scaled-1680-/JstQ5XS4Izw9n5Ij-image-1618868185164.png)](https://docs.khroners.fr/uploads/images/gallery/2021-04/JstQ5XS4Izw9n5Ij-image-1618868185164.png)

# Installation, attribution de cartes et adresses IP

[![image-1615640930875.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/j2R6QZGElDF9Gs5f-image-1615640930875.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/j2R6QZGElDF9Gs5f-image-1615640930875.png)

On met non et on attribue les cartes.

[![image-1615641246899.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/hSo9C64tkDCMbiBV-image-1615641246899.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/hSo9C64tkDCMbiBV-image-1615641246899.png)

On attribue ensuite des adresses IP en choisissant l'option 2.

[![image-1615641315978.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/rDajUIWbqgCJJgbo-image-1615641315978.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/rDajUIWbqgCJJgbo-image-1615641315978.png)

On rentre une passerelle pour l'accès Internet.

On fait de même pour les autres cartes.

[![image-1615641457760.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/uQJ5UWhdCzenKfe5-image-1615641457760.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/uQJ5UWhdCzenKfe5-image-1615641457760.png)

# Ajouter un proxy Zabbix

Sous "System &gt; Package Manager &gt; Available Packages", on recherche Zabbix Proxy. On prend la dernière version.

[![image-1616349053866.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/EOX3Y28Qjd4CPgZU-image-1616349053866.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/EOX3Y28Qjd4CPgZU-image-1616349053866.png)

Ensuite, sous "Services &gt; Zabbix Proxy", on le configure.

On rentre les informations suivantes :

> Server
> 
> Server Port
> 
> Hostname (nom du proxy, doit correspondre dans Zabbix)
> 
> ListenIP (sur quelles interfaces le proxy écoute)
> 
> Proxy Mode (Active est par défaut, et préférable)
> 
> Config Frequency (fréquence d'actualisation de la configuration, c'est à dire la fréquence de la récupération de configuration de la part du serveur)
> 
> TLSConnect : psk
> 
> TLS accept : psk
> 
> TLS Psk Identity : idendité du proxy psk. Par exemple : homelab. Devra correspondre pour le chiffrement dans Zabbix
> 
> TLS PSK : la clé. On peut la générer sur une machine linux via la commande openssl rand -hex 32

On clique ensuite sur "Show Advanced Options" et on rajoute :

> StartDiscoverers=10  
> StartVMwareCollectors=2  
> VMwareFrequency=60  
> VMwarePerfFrequency=60  
> VMwareCacheSize=50M  
> VMwareTimeout=10

Ces valeurs sont utiles si on supervise un hôte VMware.

On peut vérifier si le service est démarré sous "Status &gt; Services".

[![image-1616349584271.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/749nD2NAdYrV8X07-image-1616349584271.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/749nD2NAdYrV8X07-image-1616349584271.png)

# Paramétrage via l'interface web

[![image-1615642261733.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/nBNEqEZoKI8iJD9Q-image-1615642261733.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/nBNEqEZoKI8iJD9Q-image-1615642261733.png)

admin:pfsense

[![image-1615642291968.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/BVqTVyOkBuBo1gb0-image-1615642291968.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/BVqTVyOkBuBo1gb0-image-1615642291968.png)

[![image-1615642335939.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/HZIloR1vPHBlqjR9-image-1615642335939.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/HZIloR1vPHBlqjR9-image-1615642335939.png)

[![image-1615642836986.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/jYljYayhxjQUMird-image-1615642836986.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/jYljYayhxjQUMird-image-1615642836986.png)

On vérifie ensuite les informations puis on clique sur "Reload".

# Ajouter l'agent Zabbix

Sous "System &gt; Package Manager &gt; Available Packages", on recherche Zabbix Agent. On prend la dernière version.

[![image-1616349053866.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/EOX3Y28Qjd4CPgZU-image-1616349053866.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/EOX3Y28Qjd4CPgZU-image-1616349053866.png)

Ensuite, sous "Services &gt; Zabbix Agent", on le configure.

On définit les valeurs : Server, Server Active (pour le mode actif), Hostname. Pour le chiffrement, on peut définir les options comme pour le proxy si l'on souhaite chiffrer en local.

# Mise à jour

[![image-1615643562159.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/GiSo7Ney3NLgv6S8-image-1615643562159.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/GiSo7Ney3NLgv6S8-image-1615643562159.png)

On clique sur le nuage puis on met à jour.

[![image-1615643601444.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/KhjDye5hcAp8zg5h-image-1615643601444.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/KhjDye5hcAp8zg5h-image-1615643601444.png)

# Paramètres généraux

## Changement du port par défaut

Dans System &gt; Advanced :

[![image-1615924483097.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/Pz9IpcM8kdXnjGQn-image-1615924483097.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/Pz9IpcM8kdXnjGQn-image-1615924483097.png)

[![image-1615924588198.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/M9EcYFPoZl7Zqhgw-image-1615924588198.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/M9EcYFPoZl7Zqhgw-image-1615924588198.png)

La règle s'est donc modifiée :

[![image-1615924691796.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/oSnYPMxzCt2bPHno-image-1615924691796.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/oSnYPMxzCt2bPHno-image-1615924691796.png)

On coche également cette case. Par défaut, pfsense redirige le port 80 vers le port https.

[![image-1615924944170.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/r1ha8XqpE6CfhvA7-image-1615924944170.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/r1ha8XqpE6CfhvA7-image-1615924944170.png)

## Ajout de widget au menu principal

[![image-1615924624489.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/8mHQLmzZQTXN5H6I-image-1615924624489.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/8mHQLmzZQTXN5H6I-image-1615924624489.png)

## Création d'un nouveau compte admin

Il est recommandé de créer un autre compte que "admin".

[![image-1615924996299.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/tk2v9deyQdrlynXl-image-1615924996299.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/tk2v9deyQdrlynXl-image-1615924996299.png)

On désactive ensuite le compte admin.

Changement du nom d'interface

Dans Interfaces &gt; Assisgnments :

[![image-1615925119230.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/E5ZrPa9jBVdKntbu-image-1615925119230.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/E5ZrPa9jBVdKntbu-image-1615925119230.png)

On change la description pour "DMZ".

# Règles de pare-feu

Le LAN par défaut autorise tout, le WAN rejete tout et la DMZ aussi.

## Création d'alias

[![image-1615925849984.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/d1iBvg4HVAXsRtZ5-image-1615925849984.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/d1iBvg4HVAXsRtZ5-image-1615925849984.png)

[![image-1615925860899.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/2YiqrIG42vw5Kh3C-image-1615925860899.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/2YiqrIG42vw5Kh3C-image-1615925860899.png)

[![image-1615926061791.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/gchP6FKH9unhNtwe-image-1615926061791.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/gchP6FKH9unhNtwe-image-1615926061791.png)

## Règles DMZ

Pour la DMZ, on refuse l'accès au pare-feu (administration).

[![image-1615925727807.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/gubGnBAellzwC4cN-image-1615925727807.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/gubGnBAellzwC4cN-image-1615925727807.png)

[![image-1615925742697.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/vo05LjZNzxyyqwOk-image-1615925742697.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/vo05LjZNzxyyqwOk-image-1615925742697.png)

On bloque l'accès au LAN.

[![image-1615926091395.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/Dw9jd7exOWG1SZxg-image-1615926091395.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/Dw9jd7exOWG1SZxg-image-1615926091395.png)

[![image-1615926154695.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/AaY7esVJuMaUuNCi-image-1615926154695.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/AaY7esVJuMaUuNCi-image-1615926154695.png)

[![image-1615926428135.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/YjN4Z5296oBikeGZ-image-1615926428135.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/YjN4Z5296oBikeGZ-image-1615926428135.png)

# Plugins

Pfsense dispose de nombreux plugins installables, comme open-vm-tools (si virtualisé), pfblockerng pour bloquer des sites/IP, agent Zabbix...

Par exemple, arpwatch.

## arpwatch

Ce plugin détecte les nouvelles adresses MAC du réseau.

[![image-1615926627014.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/zXaTMVBiNBlkklKc-image-1615926627014.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/zXaTMVBiNBlkklKc-image-1615926627014.png)

[![image-1615926643151.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/InP24KwgX9j8mE5t-image-1615926643151.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/InP24KwgX9j8mE5t-image-1615926643151.png)

[![image-1615926741962.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/Bkh91MoqkBxKWAYX-image-1615926741962.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/Bkh91MoqkBxKWAYX-image-1615926741962.png)

[![image-1615926893910.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/JRG8mgpMnXrDMRCL-image-1615926893910.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/JRG8mgpMnXrDMRCL-image-1615926893910.png)

Dans l'onglet Database, on aura une liste.

[![image-1615927220856.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/Wf0kWycD8IiIlSIP-image-1615927220856.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/Wf0kWycD8IiIlSIP-image-1615927220856.png)

## pfblockerng

Voir : A VENIR.

# Reverse-proxy

On ajoute un certificat SSL (Wildcard) dans System &gt; Cert. Manager, et dans l'onglet "Certificates".

[![image-1615988271719.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/8Bim0ZEylMHUbTvN-image-1615988271719.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/8Bim0ZEylMHUbTvN-image-1615988271719.png)

[![image-1615988378723.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/2wCuihenlxNCQJdf-image-1615988378723.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/2wCuihenlxNCQJdf-image-1615988378723.png)

[![image-1616016606607.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/JyQcsL4tH8GqrTez-image-1616016606607.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/JyQcsL4tH8GqrTez-image-1616016606607.png)

[![image-1616016618290.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/yngFgNrqSJDzsl67-image-1616016618290.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/yngFgNrqSJDzsl67-image-1616016618290.png)

[![image-1616016628466.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/Ers7ug8GImyGEstW-image-1616016628466.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/Ers7ug8GImyGEstW-image-1616016628466.png)

[![image-1616016648894.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/QsZyscO1ySwgXmRB-image-1616016648894.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/QsZyscO1ySwgXmRB-image-1616016648894.png)

[![image-1616017812521.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/xXDlM4uRC8QWilCj-image-1616017812521.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/xXDlM4uRC8QWilCj-image-1616017812521.png)

[![image-1616017825343.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/0y95YbArypGwHYkd-image-1616017825343.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/0y95YbArypGwHYkd-image-1616017825343.png)

[![image-1616017833806.png](https://docs.khroners.fr/uploads/images/gallery/2021-03/scaled-1680-/HKv3Ttsn5dgYbSZq-image-1616017833806.png)](https://docs.khroners.fr/uploads/images/gallery/2021-03/HKv3Ttsn5dgYbSZq-image-1616017833806.png)