FIL ROUGE

Configuration pfSense (Pas à Pas)

Suivez ce guide clic par clic pour configurer votre pare-feu de A à Z.

Étape 0 : Configuration Initiale (Console)

Au premier démarrage de la VM pfSense, vous êtes devant un écran noir avec du texte blanc (la console).

  1. Le système vous demande : Should VLANs be set up now [y|n]?
    Tapez 'n' et faites Entrée. (Nous ferons les VLANs via l'interface web, c'est plus simple).
  2. Entrez le nom de l'interface WAN : em0 (Entrée)
  3. Entrez le nom de l'interface LAN : em1 (Entrée)
  4. Pour "Optional interface 1", appuyez juste sur Entrée (pour finir).
  5. Le système va recharger. Une fois fini, vous verrez le menu (1-16).
  6. Notez l'adresse IP du LAN affichée (souvent 192.168.1.1 par défaut).
Étape 1 : Connexion à l'Interface Web

Depuis votre Poste Client (connecté au switch sur le VLAN 10, ou temporairement sur le même réseau que pfSense) :

  1. Ouvrez le navigateur web.
  2. Tapez l'adresse IP du LAN de pfSense (ex: https://192.168.1.1).
  3. Acceptez l'avertissement de sécurité (Avancé > Continuer).
  4. Connectez-vous avec :
    • User: admin
    • Password: pfsense
  5. Suivez l'assistant (Wizard) en cliquant sur "Next" jusqu'à la fin, sans rien changer pour l'instant.
Étape 2 : Création des VLANs

Nous allons créer les "tuyaux" virtuels pour séparer le LAN et la DMZ sur le câble em1.

  1. Allez dans le menu du haut : Interfaces > Assignments.
  2. Cliquez sur l'onglet VLANs.
  3. Cliquez sur le bouton vert + Add.
  4. Configuration VLAN 10 (LAN) :
    • Parent Interface: em1
    • VLAN Tag: 10
    • Description: VLAN_LAN
    • Cliquez sur Save.
  5. Cliquez à nouveau sur + Add.
  6. Configuration VLAN 20 (DMZ) :
    • Parent Interface: em1
    • VLAN Tag: 20
    • Description: VLAN_DMZ
    • Cliquez sur Save.
Étape 3 : Assignation et Adresses IP
  1. Retournez dans l'onglet Interface Assignments.
  2. Modifier le LAN existant :
    À côté de la ligne "LAN", changez l'interface réseau (Network Port) de em1 à VLAN 10 on em1.
    Cliquez sur Save. (Vous risquez de perdre la connexion un instant, c'est normal).
  3. Ajouter la DMZ :
    Dans la section "Available network ports", sélectionnez VLAN 20 on em1 et cliquez sur + Add.
    Une nouvelle interface "OPT1" apparaît. Cliquez sur son nom (OPT1) pour la configurer.
  4. Configurer la DMZ (OPT1) :
    • Cochez Enable Interface.
    • Description: Tapez DMZ.
    • IPv4 Configuration Type: Sélectionnez Static IPv4.
    • IPv4 Address: Tapez 192.168.50.129
      Sélectionnez le masque /25 (dans la liste déroulante à droite de l'IP).
    • Cliquez sur Save puis Apply Changes.
  5. Configurer l'IP du LAN (si nécessaire) :
    Allez dans Interfaces > LAN.
    Vérifiez que l'IP est bien 192.168.50.1 / 25. Sinon, corrigez-la.
Étape 4 : Activer le DHCP (Pour le LAN)

Pour que votre Poste Client reçoive une IP automatiquement.

  1. Allez dans Services > DHCP Server.
  2. Cliquez sur l'onglet LAN.
  3. Cochez Enable DHCP Server on LAN interface.
  4. Range (Plage) :
    • From: 192.168.50.10
    • To: 192.168.50.100
  5. Cliquez sur Save.
Étape 5 : Règles de Pare-feu (Ouvrir les vannes)

Par défaut, pfSense bloque tout sur les nouvelles interfaces (comme la DMZ). Il faut autoriser le trafic.

Règles LAN (Normalement déjà créées par défaut)

Vérifiez dans Firewall > Rules > LAN qu'il y a bien une règle "Default allow LAN to any rule".

Règles DMZ (À créer)

  1. Allez dans Firewall > Rules > DMZ.
  2. Cliquez sur Add (Flèche vers le haut).
  3. Règle 1 : Bloquer l'accès au LAN (Sécurité)
    • Action: Block
    • Protocol: Any
    • Source: DMZ net
    • Destination: LAN net
    • Description: Block DMZ to LAN
    • Save.
  4. Cliquez à nouveau sur Add (Flèche vers le bas, pour mettre après).
  5. Règle 2 : Autoriser Internet
    • Action: Pass
    • Protocol: Any
    • Source: DMZ net
    • Destination: Any
    • Description: Allow DMZ to Internet
    • Save.
  6. Cliquez sur Apply Changes en haut de la page.
Étape 6 : Redirection de Port (NAT)

Pour que l'attaquant (sur Internet) puisse atteindre le Honeypot (dans la DMZ).

  1. Allez dans Firewall > NAT.
  2. Onglet Port Forward.
  3. Cliquez sur Add.
  4. Remplissez comme suit :
    • Interface: WAN
    • Protocol: TCP
    • Destination: WAN address
    • Destination Port Range: De SSH (22) à SSH (22)
    • Redirect Target IP: 192.168.50.140 (IP du Honeypot)
    • Redirect Target Port: 2222 (Port d'écoute de Cowrie)
    • Description: Forward SSH to Honeypot
  5. Cliquez sur Save puis Apply Changes.