Cette section décrit l'installation et la configuration complète d'un firewall pfSense. Elle permet de mettre en place une solution de sécurité réseau professionnelle avec gestion multi-zones (WAN, LAN, DMZ, PRI). Elle inclut également la configuration du DHCP Relay, du NAT et des règles de pare-feu pour sécuriser et gérer le trafic réseau.

Création de la machine virtuelle et téléchargement de l'ISO

Télécharger l'image ISO de pfSense depuis le dépôt officiel :

https://repo.ialab.dsu.edu/pfsense/

Créer une nouvelle machine virtuelle avec l'ISO pfSense téléchargé.

Spécifications recommandées :

• RAM : 2 Go minimum
• CPU : 2 cœurs minimum
• Disque : 20 Go minimum
• Interfaces réseau : 4 Network Devices (configuration détaillée ci-dessous)

Dans la section Hardware de votre hyperviseur, créer 4 Network Devices :

Interface 1 (net0) - WAN :

Bridge : vmbr0
Model : Intel E1000

Interface 2 (net1) - LAN :

Bridge : vmbrlan
Model : VirtIO (paravirtualized)

Interface 3 (net2) - DMZ :

Bridge : vmbrdmz
Model : VirtIO (paravirtualized)

Interface 4 (net3) - PRI :

Bridge : vmbrpri
Model : VirtIO (paravirtualized)

Une fois la configuration terminée, démarrer la VM.

Attribution et configuration des interfaces réseau dans pfSense

Au démarrage de pfSense, vous accédez à la console en ligne de commande.

Appuyer sur 1 pour accéder à "Assign Interfaces".

Instructions d'assignation :

• Assigner la première interface au WAN
• Assigner la seconde interface au LAN
• Assigner la troisième interface à OPT1 (qui deviendra DMZ)
• Assigner la quatrième interface à OPT2 (qui deviendra PRI)

⚠ ATTENTION : L'ordre d'assignation doit correspondre exactement à l'ordre de configuration dans la section Hardware.

Appuyer sur 2 pour accéder à "Set Interfaces IP Address".

Sélectionner chaque interface une par une et effectuer les opérations suivantes :

• Refuser l'assignation d'adresse IPv4 par DHCP
• Entrer une adresse IPv4 statique
• Entrer le masque de sous-réseau
• Refuser l'assignation d'adresse IPv6 par DHCP
• Ne rien entrer pour l'IPv6
• Refuser le retour sur HTTP
• Appuyer sur Entrée pour valider

Répéter cette procédure pour chaque interface.

Après configuration, la console pfSense doit afficher :

┌─────────────────────────────────────────────────────┐
│  WAN (wan)  → em0     → v4: 192.168.20.200/24       │
│  LAN (lan)  → vtnet0  → v4: 192.168.30.254/24       │
│  DMZ (opt1) → vtnet1  → v4: 192.168.10.254/24       │
│  PRI (opt2) → vtnet2  → v4: 192.168.40.254/24       │
└─────────────────────────────────────────────────────┘

Schéma de l'architecture réseau :

                        Internet
                           │
                           ▼
                    ┌──────────────┐
                    │   pfSense    │
                    │  Firewall    │
                    └──────┬───────┘
                           │
        ┌──────────────────┼──────────────────┐
        │                  │                  │
        ▼                  ▼                  ▼
    ┌───────┐         ┌────────┐        ┌────────┐
    │  LAN  │         │  DMZ   │        │  PRI   │
    │ .30.x │         │ .10.x  │        │ .40.x  │
    └───────┘         └────────┘        └────────┘

Mise en place d'une VM client pour accéder à l'interface web de pfSense

Créer une machine virtuelle Windows (ou Linux avec interface graphique) pour accéder à l'interface web de pfSense.

Configuration réseau de la VM :

Bridge : vmbrlan
Model : Intel E1000

Démarrer la VM Windows.

Ouvrir la fenêtre de configuration des cartes réseau :

ncpa.cpl

Sélectionner la carte réseau présente et configurer manuellement l'adresse IP :

Adresse IP            : 192.168.30.100
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 192.168.30.254

Ouvrir un navigateur web et saisir l'adresse suivante :

http://192.168.30.254

Identifiants de connexion par défaut :

Nom d'utilisateur : admin
Mot de passe      : pfsense

Vous devez accéder à l'interface d'administration web de pfSense.

Configuration de la passerelle WAN, du DHCP Relay, du NAT et des règles de pare-feu

Dans l'interface web de pfSense, configurer la passerelle de l'interface WAN pour permettre la connexion à Internet.

Navigation :

System → Routing → Gateways

Configuration de la gateway WAN :

Gateway IP : 192.168.20.254

Sauvegarder et appliquer les changements.

Le DHCP Relay permet de transférer les requêtes DHCP vers un serveur DHCP central.

Navigation :

Services → DHCP Relay

Configuration :

• Activer le DHCP Relay
• Sélectionner toutes les interfaces où le DHCP Relay sera utilisé
• Cliquer sur "Add upstream server"
• Entrer l'adresse IP de votre serveur DHCP

Sauvegarder et appliquer les changements.

Schéma du DHCP Relay :

┌─────────────┐       Requête DHCP         ┌──────────────┐
│   Client    │ ─────────────────────────→ │   pfSense    │
│ (LAN/DMZ)   │                            │ DHCP Relay   │
└─────────────┘                            └──────┬───────┘
                                                  │
                                    Transfert     │
                                                  ▼
                                           ┌──────────────┐
                                           │ Serveur DHCP │
                                           │   Central    │
                                           └──────────────┘

Le NAT permet aux machines du réseau interne d'accéder à Internet en masquant leurs adresses IP privées.

Navigation :

Firewall → NAT → Outbound

Configuration :

• Laisser le mode en "Automatic outbound NAT"
• Sauvegarder et appliquer les changements

Des règles NAT seront automatiquement créées pour chaque interface interne.

Schéma du NAT :

┌─────────────────┐                   ┌─────────────────┐
│  Réseau Interne │                   │    Internet     │
│  192.168.30.x   │  ───────NAT────→  │  IP Publique    │
│  192.168.10.x   │                   │                 │
│  192.168.40.x   │                   │                 │
└─────────────────┘                   └─────────────────┘

Les règles de pare-feu permettent de contrôler le trafic réseau entre les différentes zones.

Navigation :

Firewall → Rules

Exemple de règle pour autoriser le ping (ICMP) :

Configuration d'une règle ICMP :

Action        : Pass
Interface     : LAN / DMZ / PRI (selon besoin)
Protocol      : ICMP
ICMP Type     : Echo Request
Source        : LAN net / DMZ net / PRI net
Destination   : Any
Description   : Autoriser ping depuis [interface]

⚠ IMPORTANT : Les règles de pare-feu doivent être configurées interface par interface (LAN, DMZ, PRI).

Schéma des règles de pare-feu :

┌─────────────────────────────────────────────────────┐
│                   pfSense Firewall                  │
├─────────────────────────────────────────────────────┤
│                                                     │
│  LAN Rules    : ✓ Ping  ✓ HTTP  ✓ HTTPS            │
│  DMZ Rules    : ✓ Ping  ✓ HTTP  ✓ HTTPS            │
│  PRI Rules    : ✓ Ping  ✗ Accès limité             │
│  WAN Rules    : ✗ Bloqué par défaut                │
│                                                     │
└─────────────────────────────────────────────────────┘

Sauvegarder et appliquer les changements après chaque création de règle.

Vérification du bon fonctionnement de pfSense

Depuis une machine cliente (LAN, DMZ ou PRI), vérifier :

• Connectivité locale : Ping vers la passerelle pfSense

ping 192.168.30.254

• Connectivité Internet : Ping vers un serveur externe

ping 8.8.8.8

• Résolution DNS : Ping vers un nom de domaine

ping google.com

Vérifier que les services suivants fonctionnent correctement :

• ✓ Interface web accessible depuis le réseau LAN
• ✓ DHCP Relay attribue correctement les adresses IP
• ✓ NAT permet l'accès à Internet
• ✓ Règles de pare-feu autorisent/bloquent le trafic selon la configuration

Cette configuration pfSense remplace efficacement un firewall iptables traditionnel en offrant une interface graphique intuitive et des fonctionnalités avancées de sécurité réseau. Le système est maintenant opérationnel avec une architecture multi-zones sécurisée (WAN, LAN, DMZ, PRI). N'oubliez pas de sauvegarder régulièrement votre configuration pfSense via Diagnostics → Backup & Restore.