Règles de pare-feu PfSense

Règles de pare-feu PfSense
Ce tutoriel explique comment créer et gérer les règles de pare-feu PfSense.

Après avoir lu cet article, vous saurez comment créer des règles de pare-feu et comprendre les bases du pare-feu. Tous les concepts expliqués dans ce tutoriel sont universels et applicables à la plupart, sinon à tous, pare-feu. De plus, en créant des règles de pare-feu avec PfSense, vous comprendrez plus sur ce système d'exploitation.

Le tutoriel commence par expliquer comment les règles du pare-feu sont configurées dans la première section, avec des exemples pratiques supplémentaires dans la deuxième section.

Ce didacticiel PfSense comprend des captures d'écran de scénario réels pour chaque étape, ce qui facilite la compréhension de tous les utilisateurs et l'applique.

Comment créer des règles de pare-feu PfSense:

Pour commencer, connectez-vous à l'interface Web PfSense, appuyez sur le bouton du pare-feu situé dans le menu supérieur et appuyez sur Règles, Comme indiqué dans la capture d'écran ci-dessous.

Une fois dans l'écran des règles, sélectionnez le périphérique réseau PfSense; Dans mon cas, c'est le BLÊME appareil; Vous pouvez voir un Lan Appareil en fonction de votre configuration PfSense. Ensuite, appuyez sur le Ajouter bouton comme indiqué ci-dessous.

Dans l'image ci-dessous, vous pouvez voir l'écran des règles du pare-feu. Dans ce tutoriel, j'expliquerai chaque section séparément; Vous devez faire défiler vers le bas pour voir chaque section.

Le premier champ, Action, vous permet de sélectionner entre les trois options suivantes pour définir la politique de règle.

  • Passer: Le trafic est autorisé.
  • Bloc: Le trafic est bloqué sans notifier l'autre côté.
  • Rejeter: Le trafic est bloqué, et l'autre côté est informé qu'il a été refusé.

Interface: Ici, vous pouvez sélectionner pour l'interface réseau La règle est appliquée.

S'adresser à la famille: Ce champ vous permet de sélectionner entre IPv4 et IPv6, ou les deux.

Protocole: Ce champ vous permet de sélectionner les protocoles TCP, UDP ou les deux.

Dans le Source Section, vous avez deux options:

Source: Cette section vous permet de définir l'adresse source. Vous pouvez choisir une adresse IP, un alias contenant des adresses IP personnalisées, un réseau, des réseaux Pppoe, L2TP ou WAN.

Gamme de ports source: Ici, vous pouvez définir la source de port, la plage de port ou un alias contenant des ports personnalisés.

Destination: Ceci est l'inverse de la source de port; Ici, vous définissez l'adresse de destination, qui peut être une adresse IP, un alias contenant des adresses IP personnalisées, un réseau, un réseau Pppoe, L2TP ou WAN.

Range des ports de destination: Ici, vous pouvez définir la destination du port, la plage de port ou un alias contenant des ports personnalisés.

Des options supplémentaires vous permettent de suivre les journaux des paquets correspondant à la règle actuelle; Vous pouvez également ajouter une description de la règle actuelle.

Il existe des options avancées et facultatives supplémentaires qui ne sont pas couvertes dans ce tutoriel optimisé pour les utilisateurs nouveaux à moyens.

Rappelez-vous toujours, après avoir créé une règle, appuyez sur le Sauvegarder bouton pour l'enregistrer (alors vous devrez appuyer sur le Appliquer les modifications bouton comme indiqué dans la section suivante).

Avant les exemples pratiques: comment les règles du pare-feu sont appliquées

Avant de poursuivre la section suivante montrant un exemple pratique des règles de pare-feu, il est très important de préciser que l'ordre des règles est essentiel pour leur application correcte.

Par exemple, si vous souhaitez bloquer tout le trafic vers un port spécifique, à l'exception d'une adresse spécifique autorisée à passer, vous devez créer une règle bloquant tout le trafic vers ce port spécifique, puis créer une nouvelle règle ajoutant l'exception. Vous ne pouvez pas créer une exception dans la même règle.

Gardez également à l'esprit que si vous ajoutez la règle d'exception avant que la règle ne bloque tout le trafic, l'exception ne fonctionnera pas car les nouvelles règles écrasent la première règle.

Un exemple pratique de la règle du pare-feu Pfsense:

Maintenant, appliquons les connaissances apportées dans la section précédente de ce tutoriel.

Dans cette section, je bloquerai toutes les connexions SSH, à l'exception d'une adresse IP spécifique. Par conséquent, comme expliqué précédemment, je créerai d'abord une règle bloquant tout le trafic via SSH, puis j'ajouterai une exception permettant à une IP spécifique de passer à travers elle.

Pour commencer, connectez-vous à votre interface Web PfSense, et dans le menu supérieur, appuyez sur Pare-feu Et puis appuyez sur Règles comme décrit dans la première étape de cet article.

Sur la page des règles, sélectionnez votre interface réseau (dans mon cas WAN) et appuyez sur le bouton Ajouter comme indiqué dans la capture d'écran ci-dessous.

Tout d'abord, créons une règle bloquant toutes les connexions SSH. Sélectionnez Block, choisissez votre interface réseau et votre famille d'adresses et le protocole (SSH utilise TCP) dans le champ Actions.

Dans le Source Section, sélectionnez n'importe quel Pour bloquer toutes les adresses.

Dans Destination, sélectionner n'importe quel pour bloquer SSH à tous vos appareils réseau.

Dans le Range des ports de destination, choisir SSH (22), comme indiqué ci-dessous.

Ajoutez une description pour identifier la règle et appuyez sur le Sauvegarder bouton pour enregistrer les modifications.

Vous serez de retour sur l'écran principal des règles, NE PAS appuie sur le Appliquer les modifications bouton encore. Au lieu de cela, appuyez sur le Ajouter bouton avec une flèche pointant vers le bas car cette règle ajoutera une réécriture d'exception ou corrigera la règle précédente que nous avons créée.

Maintenant dans le champ Actions, sélectionnez Passer; Vous pouvez laisser le reste par défaut car il correspond à la règle que nous ajoutons.

Dans le Source Section, tapez l'adresse IP en profitant de l'exception que vous souhaitez permettre de connecter via SSH; Pour cet exemple, j'ai tapé un fictif IP 123.123.123.123.

Sur Destination, Sélectionnez n'importe lequel, sauf si vous ne souhaitez que des appareils spécifiques dans votre réseau pour accepter les connexions SSH; Dans un tel cas, vous pouvez le spécifier dans ce domaine.

Sur le Range des ports de destination champ, sélectionnez SSH (22) comme indiqué ci-dessous.

Faites défiler vers le bas et appuyez sur le Sauvegarder bouton.

Vous serez ramené à l'écran principal des règles; Maintenant, appuyez sur le Appliquer les modifications bouton pour appliquer vos règles.

Maintenant, toutes les connexions SSH seront bloquées, à l'exception de l'adresse IP spécifiée.

Conclusion:

PfSense est une excellente option en tant qu'alternative graphique au mode texte iptables. Comme vous pouvez le voir dans cet article et dans d'autres articles sur PfSense publiés sur Linuxhint, il s'agit d'un puissant outil pour gérer votre réseau et augmenter sa sécurité.

L'interface Web fait de l'écriture des règles de pare-feu une tâche très conviviale; Tout utilisateur peut effectuer en suivant quelques étapes comme décrit dans ce document. Ce logiciel est gratuit et open-source, et la communauté la soutient largement; Il offre également un soutien commercial, étant une excellente alternative pour les utilisateurs à domicile et les entreprises. Vous pouvez également installer un logiciel supplémentaire pour augmenter ses fonctionnalités. Il s'agit d'un système d'exploitation basé sur des BSD, très robuste et sûr.

Merci d'avoir lu cet article expliquant comment définir les règles du pare-feu PfSense. J'espère que c'était utile pour vous. Continuez à nous lire pour plus d'articles professionnels PfSense.