pfsense

pfSense est un routeur / pare-feu opensource basé surFreeBSD.pfSense peut être installé sur un simple ordinateur per-sonnel comme sur un serveur. Basé sur PF (packet filter),comme iptables sur GNU/Linux, il est réputé pour sa fia-bilité.Après une installation en mode console, il s’administreensuite simplement depuis une interface web et gère na-tivement les VLAN (802.1q).

1 Historique

Le projet pfsense, est basé sur un fork de m0n0wall réaliséen 2004 par Chris Buechler et Scott Ullrich[1].La version 1.0 a été lancé le 4 octobre 2006[2].La version 2.0 finale est arrivée fin décembre 2011.

2 Fonctionnalités

• Filtrage par IP source et destination, port du proto-cole, IP source et destination pour le trafic TCP etUDP

• Capable de limiter les connexions simultanéessur une base de règle

• pfSense utilise p0f, un utilitaire permettantde filtrer le trafic en fonction du systèmed'exploitation qui initie la connexion.

• Possibilité d'enregistrer ou de ne pas enregis-trer le trafic correspondant à chaque règle.

• Politique très souple de routage possible ensélectionnant une passerelle sur une base parrègle (pour l'équilibrage de charge, bascule-ment, Connexions WAN multiple, etc)

• Utilisation d'alias permettant le regroupementet la désignation des adresses IP, des réseauxet des ports, rendant ainsi votre jeu de règlesde pare-feu propre et facile à comprendre, sur-tout dans des environnements avec plusieursadresses IP publiques et de nombreux ser-veurs.

• Filtrage transparent au niveau de la Couche 2,le pare-feu est capable d'agir en pont filtrant.

• La normalisation des packets est utilisée, il n'ya donc aucune ambiguïté dans l'interprétationde la destination finale du paquet. La directive« scrub » ré-assemble aussi des paquets frag-mentés, protège les systèmes d'exploitation decertaines formes d'attaque, et laisse les paquetsTCP contenants des combinaisons de Flags in-valides.

Activé dans pfSense par défaut Vous pouvez le désactiversi nécessaire. Cette option provoque des problèmes pourcertaines implémentations NFS, mais il est sûr et devraitêtre laissée activé sur la plupart des installations. Désac-tiver le filtre - vous pouvez désactiver entièrement le filtrede pare-feu si vous souhaitez configurer pfSense commeun routeur pur.

• Network address translation (NAT)

Rediriger les ports y compris les rangs et l'utilisation deplusieurs adresses IP publiques NAT pour les adressesIP individuelles ou des sous-réseaux entiers. RedirectionNAT Par défaut, le NAT redirige tout le trafic sortant versl'adresse IP WAN. Dans le cas de connexions WAN Mul-tiples, le NAT redirige le trafic sortant vers l'adresse IP del'interface WAN utilisée. NAT réflexion : dans certainesconfigurations, NAT réflection est possible si les servicessont accessibles par IP publique à partir de réseaux in-ternes.

• Basculement base sur CARP et pfsync

Common Address Redundancy Protocol ou CARP est unprotocole permettant à un groupe d'hôtes sur un mêmesegment réseau de partager une adresse IP. Le nomCARP est en fait un sigle qui signifie « Common AddressRedundancy Protocol » (Protocole Commun De Redon-dance D'Adresse), à ne pas confondre avec « Cache Ar-ray Routing Protocol » utilisé pour faire de la réparti-tion de charge de mandataires caches web Il a été créépour contourner des brevets. Ce protocole peut être uti-lisé pour faire de la redondance et de la répartition decharge. Il supporte IPv4 et IPv6, et a le numéro de proto-cole 112. Il est supporté par pfsense

• pfsync assure la table d'état du pare-feu est répli-quée sur tous les pare-feu configurés de bascule-ment. Cela signifie que vos connexions existantes se-ront maintenues dans le cas d'échec, ce qui est im-portant pour prévenir les perturbations du réseau.

1

2 4 VOIR AUSSI

• Load Balancing/ Répartition de charge :

La répartition de charge du trafic sortant est utilisée avecplusieurs connexions WAN pour assurer la répartition decharge et des capacités de basculement. Le trafic est diri-gé vers la passerelle souhaitée ou le groupe d'équilibragelocal.

• VPN

pfSense offre trois options de connectivité VPN : IPSec,OpenVPN et PPTP.

• RRD Graphiques

Les graphiques RRD de pfSense mettent à jour des infor-mations historiques sur les points suivants : L'utilisationdu processeur Le débit total État de Firewall Débit indivi-duelle pour toutes les interfaces Paquets par seconde tauxpour toutes les interfaces Interface WAN passerelle (s) detemps de réponse ping Trafic des files d'attente de miseen forme sur les systèmes avec lissage du trafic activée.

• Dynamic DNS

Un client DNS dynamique est inclus pour vous per-mettre d'enregistrer votre adresse IP publique avecun certain nombre de fournisseurs de services DNSdynamiques. DynDNS DHS dnsExit DYNS easyDNSFreeDNS HE.net Loopia Namecheap No-IP ODS.orgOpenDNS ZoneEdit

• Captive Portal

Un Portail captif permet de forcer l'authentification, ou laredirection vers une page pour l'accès au réseau. Ceci estcommunément utilisé sur les réseaux de points chauds,mais est également largement utilisé dans les réseauxd'entreprise pour une couche supplémentaire de sécuri-té sur l'accès sans fil ou Internet. Ce qui suit est une listedes fonctionnalités du portail captif de pfSense.Connexions simultanées maximum - Limiter le nombrede connexions au portail lui-même par client IP. Cettefonctionnalité empêche un déni de service à partird'ordinateurs clients établissant des connexions réseau àplusieurs reprises sans authentification.Délai d'inactivité - Délai en minutes après lequel les ses-sions inactives seront fermées.Disk timeout - Forcer une déconnexion de tous les clientsaprès le nombre défini de minutes.Logon fenêtre pop-up - Option pour faire apparaître unefenêtre avec un bouton Déconnexion.redirection d'URL - Après authentification ou en cliquantsur le portail captif, les utilisateurs peuvent être redirigésvers l'URL définie.

Filtrage MAC - Par défaut, les filtres pfSense en utilisentdes adresses MAC. Si vous avez un sous-réseau derrièreun routeur sur une interface compatible de portail cap-tif, chaque machine derrière le routeur sera autorisé aprèsqu'un utilisateur est autorisé. Le filtrage MAC peut êtredésactivée pour ces scénarios.Les options d'authentification - Il ya trois optionsd'authentification disponibles : Aucune authentification -Cela signifie que l'utilisateur verra s’afficher votre page deportail sans avoir à entrer d'information d'identification.Gestionnaire d'utilisateur local - Une base de donnéesd'utilisateur local peut être configurée et utilisée pourl'authentification. Authentification RADIUS - Méthoded'authentification lorsque la base de données d'utilisateurest déportée sur un serveur. La négociation entre Pfsenseet le serveur utilisera la norme RADIUS.Ré-authentification forcée - Possibilité de demander àforcer une ré-authentification. authentification MAC RA-DIUS - Permet au portail captif d'utiliser l'adresse MACdu client pour l'authentification à un serveur RADIUSau lieu du login. HTTP ou HTTPS - La page du portailpeuvent être configurés pour utiliser le protocole HTTPou HTTPS. Pass-Through adresses MAC et IP - adressesMAC et IP peuvent être white-listés pour contournerle portail. Toutes les machines s’authentifiant avec lesadresses MAC et IP listées seront autorisées sans avoirbesoin de passer par le portail captif. Vous pouvez ex-clure certaines machines pour d'autres raisons. Gestion-naire de fichiers - Ceci vous permet de télécharger desimages pour les utiliser dans vos pages du portail.

• Serveur DHCP et relais

pfSense comprend à la fois les fonctionnalités de serveurDHCP et de relais DHCP

• Une gestion de plugin vient parfaire l'installationde base, avec notamment Avahi (Zeroconf), *FreeRADIUS, haproxy, Iperf, Squid, squidGuard,Nmap, short, Varnish, Zabbix.

3 Références[1] (en) « pfSense Open Source Firewall Distribution - His-

tory »

[2] (en) Scott Ullrich, « 1.0-RELEASED ! », pfSense Digest, October 13th, 2006

4 Voir aussi

4.1 Articles connexes

• m0n0wall

4.2 Lien externe 3

• PF

• IPCop

• IPFire

4.2 Lien externe

• Site officiel

• Liste exhaustive des fonctionnalités de pfSensev.2.0.

• Nombreux articles et tutoriels sur pfSense en langueFrançaise

• Portail de la sécurité informatique

• Portail des logiciels libres

4 5 SOURCES, CONTRIBUTEURS ET LICENCES DU TEXTE ET DE L’IMAGE

5 Sources, contributeurs et licences du texte et de l’image

5.1 Texte• Pfsense Source : http://fr.wikipedia.org/wiki/Pfsense?oldid=111209186 Contributeurs : Mi Ga, Dadu, Jmax, Jul.H, Phd0, Sebleouf, Sa-

lebot, Gregober, Ange Gabriel, LoX, ZetudBot, Bub’s wikibot, Azurfrog, JackBot, Coyote du 57, EmausBot, ZéroBot, DiliBot, Addbot,Bilel chouchene, AS42929 et Anonyme : 15

5.2 Images• Fichier:Ambox_rewrite_orange.svg Source : http://upload.wikimedia.org/wikipedia/commons/6/69/Ambox_rewrite_orange.svg Li-cence : Public domain Contributeurs : self-made in Inkscape Artiste d’origine : penubag

• Fichier:Gtk-dialog-info.svg Source : http://upload.wikimedia.org/wikipedia/commons/b/b4/Gtk-dialog-info.svg Licence : LGPLContri-buteurs : http://ftp.gnome.org/pub/GNOME/sources/gnome-themes-extras/0.9/gnome-themes-extras-0.9.0.tar.gz Artiste d’origine : DavidVignoni

• Fichier:Nuvola_apps_emacs.png Source : http://upload.wikimedia.org/wikipedia/commons/6/6a/Nuvola_apps_emacs.png Licence :LGPL Contributeurs : http://icon-king.com Artiste d’origine : David Vignoni

• Fichier:Nuvola_apps_kgpg.png Source : http://upload.wikimedia.org/wikipedia/commons/a/a2/Nuvola_apps_kgpg.png Licence : LGPLContributeurs : http://icon-king.com Artiste d’origine : David Vignoni / ICON KING

• Fichier:Pfs-logo-vector.svg Source : http://upload.wikimedia.org/wikipedia/commons/f/fb/Pfs-logo-vector.svg Licence : ? Contribu-teurs : self-made using potrace and Inkscape Artiste d’origine : DanielSHaischt

• Fichier:Pfsense_main_window.png Source : http://upload.wikimedia.org/wikipedia/commons/7/7a/Pfsense_main_window.png Li-cence : CC0 Contributeurs : Travail personnel Artiste d’origine : Hugovilchis

5.3 Licence du contenu• Creative Commons Attribution-Share Alike 3.0