Sie sind auf Seite 1von 4

pfsense

La normalisation des packets est utilise, il n'y


a donc aucune ambigut dans l'interprtation
de la destination nale du paquet. La directive
scrub r-assemble aussi des paquets fragments, protge les systmes d'exploitation de
certaines formes d'attaque, et laisse les paquets
TCP contenants des combinaisons de Flags invalides.

pfSense est un routeur / pare-feu opensource bas sur


FreeBSD.
pfSense peut tre install sur un simple ordinateur personnel comme sur un serveur. Bas sur PF (packet lter),
comme iptables sur GNU/Linux, il est rput pour sa abilit.

Aprs une installation en mode console, il sadministre


ensuite simplement depuis une interface web et gre nativement les VLAN (802.1q).
Activ dans pfSense par dfaut Vous pouvez le dsactiver
si ncessaire. Cette option provoque des problmes pour
certaines implmentations NFS, mais il est sr et devrait
tre laisse activ sur la plupart des installations. Dsac1 Historique
tiver le ltre - vous pouvez dsactiver entirement le ltre
de pare-feu si vous souhaitez congurer pfSense comme
Le projet pfsense, est bas sur un fork de m0n0wall ralis
un routeur pur.
en 2004 par Chris Buechler et Scott Ullrich[1] .
La version 1.0 a t lanc le 4 octobre 2006[2] .

Network address translation (NAT)

La version 2.0 nale est arrive n dcembre 2011.

Rediriger les ports y compris les rangs et l'utilisation de


plusieurs adresses IP publiques NAT pour les adresses
IP individuelles ou des sous-rseaux entiers. Redirection
2 Fonctionnalits
NAT Par dfaut, le NAT redirige tout le trac sortant vers
l'adresse IP WAN. Dans le cas de connexions WAN Mul Filtrage par IP source et destination, port du proto- tiples, le NAT redirige le trac sortant vers l'adresse IP de
cole, IP source et destination pour le trac TCP et l'interface WAN utilise. NAT rexion : dans certaines
congurations, NAT rection est possible si les services
UDP
sont accessibles par IP publique partir de rseaux in Capable de limiter les connexions simultanes ternes.
sur une base de rgle
Basculement base sur CARP et pfsync
pfSense utilise p0f, un utilitaire permettant

de ltrer le trac en fonction du systme


Common Address Redundancy Protocol ou CARP est un
d'exploitation qui initie la connexion.
protocole permettant un groupe d'htes sur un mme
Possibilit d'enregistrer ou de ne pas enregis- segment rseau de partager une adresse IP. Le nom
trer le trac correspondant chaque rgle.
CARP est en fait un sigle qui signie Common Address
Politique trs souple de routage possible en Redundancy Protocol (Protocole Commun De Redonslectionnant une passerelle sur une base par dance D'Adresse), ne pas confondre avec Cache Arrgle (pour l'quilibrage de charge, bascule- ray Routing Protocol utilis pour faire de la rpartition de charge de mandataires caches web Il a t cr
ment, Connexions WAN multiple, etc)
pour contourner des brevets. Ce protocole peut tre utiUtilisation d'alias permettant le regroupement lis pour faire de la redondance et de la rpartition de
et la dsignation des adresses IP, des rseaux charge. Il supporte IPv4 et IPv6, et a le numro de protoet des ports, rendant ainsi votre jeu de rgles cole 112. Il est support par pfsense
de pare-feu propre et facile comprendre, surtout dans des environnements avec plusieurs
pfsync assure la table d'tat du pare-feu est rpliadresses IP publiques et de nombreux serque sur tous les pare-feu congurs de basculeveurs.
ment. Cela signie que vos connexions existantes seFiltrage transparent au niveau de la Couche 2,
ront maintenues dans le cas d'chec, ce qui est imle pare-feu est capable d'agir en pont ltrant.
portant pour prvenir les perturbations du rseau.
1

4
Load Balancing/ Rpartition de charge :

VOIR AUSSI

Filtrage MAC - Par dfaut, les ltres pfSense en utilisent


des adresses MAC. Si vous avez un sous-rseau derrire
un routeur sur une interface compatible de portail captif, chaque machine derrire le routeur sera autoris aprs
qu'un utilisateur est autoris. Le ltrage MAC peut tre
dsactive pour ces scnarios.

La rpartition de charge du trac sortant est utilise avec


plusieurs connexions WAN pour assurer la rpartition de
charge et des capacits de basculement. Le trac est dirig vers la passerelle souhaite ou le groupe d'quilibrage
local.
Les options d'authentication - Il ya trois options
d'authentication disponibles : Aucune authentication VPN
Cela signie que l'utilisateur verra sacher votre page de
portail sans avoir entrer d'information d'identication.
pfSense ore trois options de connectivit VPN : IPSec, Gestionnaire d'utilisateur local - Une base de donnes
d'utilisateur local peut tre congure et utilise pour
OpenVPN et PPTP.
l'authentication. Authentication RADIUS - Mthode
d'authentication
lorsque la base de donnes d'utilisateur
RRD Graphiques
est dporte sur un serveur. La ngociation entre Pfsense
Les graphiques RRD de pfSense mettent jour des infor- et le serveur utilisera la norme RADIUS.
mations historiques sur les points suivants : L'utilisation
du processeur Le dbit total tat de Firewall Dbit individuelle pour toutes les interfaces Paquets par seconde taux
pour toutes les interfaces Interface WAN passerelle (s) de
temps de rponse ping Trac des les d'attente de mise
en forme sur les systmes avec lissage du trac active.
Dynamic DNS
Un client DNS dynamique est inclus pour vous permettre d'enregistrer votre adresse IP publique avec
un certain nombre de fournisseurs de services DNS
dynamiques. DynDNS DHS dnsExit DYNS easyDNS
FreeDNS HE.net Loopia Namecheap No-IP ODS.org
OpenDNS ZoneEdit

R-authentication force - Possibilit de demander


forcer une r-authentication. authentication MAC RADIUS - Permet au portail captif d'utiliser l'adresse MAC
du client pour l'authentication un serveur RADIUS
au lieu du login. HTTP ou HTTPS - La page du portail
peuvent tre congurs pour utiliser le protocole HTTP
ou HTTPS. Pass-Through adresses MAC et IP - adresses
MAC et IP peuvent tre white-lists pour contourner
le portail. Toutes les machines sauthentiant avec les
adresses MAC et IP listes seront autorises sans avoir
besoin de passer par le portail captif. Vous pouvez exclure certaines machines pour d'autres raisons. Gestionnaire de chiers - Ceci vous permet de tlcharger des
images pour les utiliser dans vos pages du portail.
Serveur DHCP et relais

Captive Portal
pfSense comprend la fois les fonctionnalits de serveur
Un Portail captif permet de forcer l'authentication, ou la DHCP et de relais DHCP
redirection vers une page pour l'accs au rseau. Ceci est
communment utilis sur les rseaux de points chauds,
Une gestion de plugin vient parfaire l'installation
mais est galement largement utilis dans les rseaux
de base, avec notamment Avahi (Zeroconf), *
d'entreprise pour une couche supplmentaire de scuriFreeRADIUS, haproxy, Iperf, Squid, squidGuard,
t sur l'accs sans l ou Internet. Ce qui suit est une liste
Nmap, short, Varnish, Zabbix.
des fonctionnalits du portail captif de pfSense.
Connexions simultanes maximum - Limiter le nombre
de connexions au portail lui-mme par client IP. Cette
fonctionnalit empche un dni de service partir
d'ordinateurs clients tablissant des connexions rseau
plusieurs reprises sans authentication.
Dlai d'inactivit - Dlai en minutes aprs lequel les sessions inactives seront fermes.

3 Rfrences
[1] (en) pfSense Open Source Firewall Distribution - History
[2] (en) Scott Ullrich, 1.0-RELEASED ! , pfSense Digest,
October 13th, 2006

Disk timeout - Forcer une dconnexion de tous les clients


aprs le nombre dni de minutes.
Logon fentre pop-up - Option pour faire apparatre une
fentre avec un bouton Dconnexion.

4 Voir aussi

redirection d'URL - Aprs authentication ou en cliquant 4.1 Articles connexes


sur le portail captif, les utilisateurs peuvent tre redirigs
m0n0wall
vers l'URL dnie.

4.2

Lien externe

PF
IPCop
IPFire

4.2

Lien externe

Site ociel
Liste exhaustive des fonctionnalits de pfSense
v.2.0.
Nombreux articles et tutoriels sur pfSense en langue
Franaise

Portail de la scurit informatique

Portail des logiciels libres

SOURCES, CONTRIBUTEURS ET LICENCES DU TEXTE ET DE LIMAGE

Sources, contributeurs et licences du texte et de limage

5.1

Texte

Pfsense Source : http://fr.wikipedia.org/wiki/Pfsense?oldid=111209186 Contributeurs : Mi Ga, Dadu, Jmax, Jul.H, Phd0, Sebleouf, Salebot, Gregober, Ange Gabriel, LoX, ZetudBot, Bubs wikibot, Azurfrog, JackBot, Coyote du 57, EmausBot, ZroBot, DiliBot, Addbot,
Bilel chouchene, AS42929 et Anonyme : 15

5.2

Images

Fichier:Ambox_rewrite_orange.svg Source : http://upload.wikimedia.org/wikipedia/commons/6/69/Ambox_rewrite_orange.svg Licence : Public domain Contributeurs : self-made in Inkscape Artiste dorigine : penubag
Fichier:Gtk-dialog-info.svg Source : http://upload.wikimedia.org/wikipedia/commons/b/b4/Gtk-dialog-info.svg Licence : LGPL Contributeurs : http://ftp.gnome.org/pub/GNOME/sources/gnome-themes-extras/0.9/gnome-themes-extras-0.9.0.tar.gz Artiste dorigine : David
Vignoni
Fichier:Nuvola_apps_emacs.png Source : http://upload.wikimedia.org/wikipedia/commons/6/6a/Nuvola_apps_emacs.png Licence :
LGPL Contributeurs : http://icon-king.com Artiste dorigine : David Vignoni
Fichier:Nuvola_apps_kgpg.png Source : http://upload.wikimedia.org/wikipedia/commons/a/a2/Nuvola_apps_kgpg.png Licence : LGPL
Contributeurs : http://icon-king.com Artiste dorigine : David Vignoni / ICON KING
Fichier:Pfs-logo-vector.svg Source : http://upload.wikimedia.org/wikipedia/commons/f/fb/Pfs-logo-vector.svg Licence : ? Contributeurs : self-made using potrace and Inkscape Artiste dorigine : DanielSHaischt
Fichier:Pfsense_main_window.png Source : http://upload.wikimedia.org/wikipedia/commons/7/7a/Pfsense_main_window.png Licence : CC0 Contributeurs : Travail personnel Artiste dorigine : Hugovilchis

5.3

Licence du contenu

Creative Commons Attribution-Share Alike 3.0