Nouveau Tutorial PfSense en Francais disponible au téléchargement
-
C'est très bien ca.
Dès que vous le postez je vous pose le topic en Sticky.
Merci.
-
Puisqu'il en est question j'en ai un petit déjà prêt.
Sujet : Comment créer une dmz en bridge.
Réponse:
Remarque liminaire :
Lors d'évolutions de l'architecture il est parfois fort pénible de devoir modifier le plan d'adressage, la création d'une dmz sur un réseau existant est un cas parmi d'autres. L'héritage ou l'existant nous empêche parfois de modifier tout ou partie d'un plan d'adressage, ou encore ces modifications sont longues donc couteuses. L'utilisation des capacités de filtrage en bridge de Pfsense peut être une solution à ces problèmes.
Prérequis :
On suppose une configuration Pfsense de base avec trois interfaces physiques opérationnelles. Dans l'exemple le LAN est le réseau 192.168.1.0/24. L'interface Wan est une ip publique au moins ou une ip privée (cas des box routeur impossible à mettre en bridge) dans un réseau différent du LAN, par exemple 192.168.2.0/24. L'ensemble est opérationnel, une machine du lan accède à internet et l'on peut se connecter depuis le LAN à l'interface d'administration de Pfsense.
On suppose par ailleurs que l'utilisateur à une connaissance minimale du fonctionnement de Pfsense en ce qui concerne son interface et plus spécifiquement l'organisation des règles dans Pfsense.
Enfin vous devez vous assurez que la carte réseau sur OPT1 supporte le mode promiscuité.La solution va nous permettre de constituer une dmz avec des machines comportant une ip dans le même sous réseau que notre LAN. Il n'y aura pas de NAT entre le LAN et la DMZ, mais nous pourrons appliquer des règles de filtrage du LAN vers la DMZ et de la DMZ vers le LAN.
Par ailleurs des règles de NAT et d'accès pourront être créées de WAN vers la DMZ pour rendre accessibles certaines machines de la DMZ depuis l'extérieur (Internet).Connectivité:
Chaque interface de Pfsense est connectée à un hub ou un switch. En particulier le switch (ou hub) de la dmz est physiquement isolé du lan.Configuration Pfense:
Opérations à réaliser sur l'interface d'administration de Pfsense.1.Interfaces -> Opt1 :
Cocher Enable Optional 1 interface
Dans General configuration Type reste sur Static
Dans IP Configuration mettre Brige with sur LAN
Cliquer Save2.System -> Advanced
Dans la zone Filtering Bridge : cocher Enable filtering bridge.
Cliquer sur Save3.Firewall -> Aliases
Dans Pfsense un alias est utilisé pour grouper des éléments sous un nom commun. Ce nom est utilisable dans certaines zones, lors de la création de règles par exemple. Un alias (ou “groupe”) peut être constitués de ports, d'adresses ip, ou de réseaux. Ces éléments, de différentes natures, ne peuvent pas être mélangés au sein d'un même alias.
Créer un nouvel alias pour les machines se trouvant dans la Dmz connectée à OPT 1. Cette opération n'est pas indispensable mais elle est nettement préférable pour faciliter l'administration et éviter de revoir toutes les règles en cas d'ajout ou de modification d'une machine en Dmz. Le nombre de règles à créer sera plus faible. La lisibilité des règles est grandement améliorée.
Nommer l'alias, par exemple, DmzServers. Y ajouter toutes las machines de la Dmz.
Cliquer Save
Ne pas oublier ensuire de cliquer le bouton “Apply changes” en haut de la page si vous voulez que vos modifications soient effectives.4.Firewall -> Rules
Pour tester le bon fonctionnement de la dmz en bridge nous allons créer deux règles sur l'interface LAN.Règle 1 (la première dans la liste lue de haut en bas)
Action : Block
Interface LAN
Protocol : Any
Source -> Type : LAN Subnet
Destination -> Type Single host or alias
Destination -> Address : DmzServers (le nom ed l'alias créé précédement)
Cocher “Log packets that are handled by this rule” pour pouvoir visualiser le résultat dans les logs.
Cliquer Save et ne pas Oublier de cliquer “Apply changes” ensuite.Régle 2
Action : Pass
Interface LAN
Protocol : Any
Source -> Type : LAN Subnet
Destination -> AnyCliquer Save et ne pas Oublier de cliquer “Apply changes” ensuite.
Important :
Le règle 1 doit être en haut, la règle 2 en dessous.Ne jamais oublier de cliquer l'option "Apply chnages” sinon vos modifications sont inopérantes.
Test :
Modifier la règle 1 de Pass à Block (Action) doit vous permettre (Pass) – empêcher (Block) de pinguer depuis le lan une machine de la dmz. Dans le journal du firewall vous devriez voir les paquest icmp acceptés, refusés suivant le réglage de la première règle.Ces informations ne constituent pas une recommandation de règles à appliquer, elles ont simplement pour but de montrer le principe de mise en oeuvre d'une dmz en avec un pont filtrant dans Pfsense. Il est bien évident que vous devez avoir défini les règles propres au réseau que vous administrez.
-
Bonsoir
une petite suggestion
Peut-être serait-il intéressant d'intégrer la problématique à laquelle (ou auxquelles) répondent vos tutos
Par exemple pour la DMZ en bridge vous l'avez un peu fait au départ, mais en créant un petit paragraphe à part exprès qui pose la question "à quoi cela sert?" en faitBonne continuation !
-
Salut à tous,
Plus que quelques jours avant la sortie du tutorial, des nouvelles très vite :PLylian
PS: De notre côté chaque service présenté part d'une problématique précise et une application pratique en découle, je ne vois pas l'utilité sinon du tutorial ^^. Mais très bonne remarque pour les futurs contributeurs Epy ;)
-
Bon bon bon, ça y est le tutorial est enfin disponible en version Draft ;D.
Malheureusement par manque de temps nous n'avons pu intégrer Squid et SquidGuard dans cette version 2 v 0.1.0 …Cependant tout le reste annoncé en début de ce Topic est présent ;)
N'hésitez pas à nous faire des retours, bonne lecture
Lylian, Anthony et Damien
Lien vers les tutoriaux 1 et 2 de PfSense ==> http://tutoriaux.forumhandball.com
PS: J'ai supprimé l'ancien lien du premier tutorial sur PfSense. Tout est désormais centralisé sur le nouveau site ^^
-
Je viens de le lire en diagonale, il est bien fait et assez complet. Il sera utile pour les nouveaux utilisateurs.
Comme convenu je stickify ce topic et le verrouille. -
Merci Juve !
Je rappelle que les contributions sont les bienvenues… ;) -
Merci à Costanzo - Grillat - Lefrancois !
Très beau travail et précieux !
On attends la suite …. :-)
Bon courage !
Merci -
Ce document est un régale à lire !
Merci beaucoup pour votre contribution, à quand une suite / mise à jour ? :) -
Bonjour les (nouveaux) amis, j'ai traduit pas mal de tutorial en Français sur mon site qui est presque entièrement consacré à pfSense.
Ce site a pour vocation de fédérer une communauté de plus en plus importante autour de ce superbe outil.J'ai aussi créé une section vidéo avec quelques exemples assez court pour le moment… mais cela ne demande qu'à être complété.
J'espère aussi convaincre Chris Buechler de traduire l'interface (ou de nous offrir des méthodes standards pour pouvoir le faire sans créer un fork du projet) pour nous permettre de traduire l'interface en langue Française. Ceci permettrait à certain d'entre nous de pouvoir répondre à certains appel d'offre publique avec ce pfSense.
Si certains d'entre vous souhaitent faire figurer leur tutoriaux sur ce site, je leur accorderais avec plaisir un statut d'éditeur.
Bien cordialement.
-
La traduction FR est deja en cours depuis 3 ans.
Un projet pootle a été créé mais pour l'instant il est en pause pour le rendre compatible avec la branche 2.x