Remarques :
- Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
- Il utilise des exemples de valeur pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. A la fin de l'exercice, remplacez ces valeurs par des valeurs propres à votre environnement cloud.
Installation d'un pare-feu pfSense dans Oracle Cloud Infrastructure
Introduction
Remarque : pfSense n'est pas officiellement pris en charge sur Oracle Cloud Infrastructure par Netgate ou Oracle. Contactez l'équipe de support pfSense avant d'essayer ce tutoriel.
pfSense est un pare-feu qui peut être utilisé à des fins de production ou de test, dans lequel vous pouvez simuler les services de pare-feu natifs Oracle Cloud Infrastructure (OCI). Cette configuration de pare-feu pfSense peut être utilisée dans un scénario de routage VCN hub et spoke.
L'image suivante illustre à quoi ressemblera l'environnement lorsque vous aurez terminé le déploiement et la configuration.
Objectifs
- Configurez un pare-feu pfSense dans OCI. Nous apporterons des ajustements aux listes de routage et de sécurité afin que le pare-feu pfSense puisse être géré correctement et nous effectuerons des tests ICMP pour vérifier la connectivité.
Prérequis
- Avant de commencer à configurer le pare-feu pfSense dans OCI, il est important d'avoir une autre instance capable de se connecter au nouveau pare-feu pfSense à l'aide de son navigateur Web pour effectuer la gestion sur le pare-feu pfSense. Dans ce tutoriel, nous avons créé une instance Windows pour ce faire. Assurez-vous d'avoir quelque chose de similaire.
Tâche 1 : télécharger l'image pfSense
-
Téléchargez l'image pfSense à partir du site Web Netgate. Veillez à télécharger la version
memstick-serial
. Le nom de fichier de l'image que nous utilisons estpfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img.gz
. Pour plus d'informations, reportez-vous à Netgate.- L'image sera au format
.gz
. - Si vous utilisez OS X, cliquez avec le bouton droit de la souris sur le fichier compressé et cliquez sur Ouvrir avec.
- Sélectionnez Utilitaire d'archivage (valeur par défaut) pour décompresser l'image.
- L'image sera au format
-
Le nom du fichier image est
pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img
.
Tâche 2 : création d'un bucket OCI Object Storage
Dans cette tâche, nous allons créer un bucket OCI Object Storage qui permettra de télécharger l'image pfSense et de créer une image personnalisée.
-
Créez un bucket de stockage.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Stockage.
- Cliquez sur Buckets.
-
Cliquez sur Créer un bucket.
- Saisissez le nom de la catégorie.
- Sélectionnez Standard comme Niveau de stockage par défaut.
- Cliquez sur Créer.
-
Notez que le bucket de stockage est créé.
Tâche 3 : téléchargement de l'image pfSense vers le bucket de stockage
-
Téléchargez l'image que nous avons téléchargée dans la tâche 1.
- Descendre.
- Cliquez sur Télécharger vers le serveur.
-
Dans l'écran Upload Objects, entrez les informations suivantes.
- Entrez Préfixe de nom d'objet.
- Sélectionnez Standard comme niveau de stockage.
- Cliquez sur sélectionner des fichiers et sélectionnez l'image pfSense.
- Une fois que vous avez sélectionné l'image pfSense, vous la verrez dans la section suivante.
- Cliquez sur Télécharger vers le serveur.
-
Pendant le téléchargement de l'image pfSense vers le bucket de stockage, vous pouvez surveiller la progression.
- Lorsque l'image pfSense est entièrement téléchargée, le statut de progression est Terminé.
- Cliquez sur Fermer.
Tâche 4 : créer une image personnalisée
Nous avons téléchargé l'image pfSense. Désormais, nous devons créer une image OCI personnalisée à partir de cette image téléchargée. Cette image OCI personnalisée sera utilisée pour créer l'instance de pare-feu pfSense.
-
Créer une image personnalisée.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Calculer.
- Cliquez sur Image personnalisée.
-
Cliquez sur Importer l'image.
-
Dans la section Importer l'image, entrez les informations suivantes.
- Entrez un nom.
- Sélectionnez Linux générique en tant que système d'exploitation.
- Sélectionnez Importer à partir d'un bucket Object Storage.
- Sélectionnez le bucket de stockage dans lequel vous avez téléchargé l'image.
- Dans Nom d'objet, sélectionnez l'image pfSense.
- Sélectionnez VMDK comme type d'image.
- Descendre.
-
Conservez les autres champs par défaut et cliquez sur Importer l'image.
- Notez que le statut est IMPORTING.
- Descendre.
- Notez que l'état est En cours.
- Surveillez la progression.
- Au bout de quelques minutes, le statut est AVAILABLE et passe à Succeeded.
- Le % effectué sera 100%.
Tâche 5 : créer une instance à l'aide de l'image pfSense personnalisée
-
Création d'une instance.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Calculer.
- Cliquez sur Instances.
- Cliquez sur Créer une instance.
- Entrez le nom de l'instance.
- Descendre.
-
Cliquez sur Modifier l'image.
- Sélectionnez Mes images.
- Sélectionnez Images personnalisées.
- Descendre.
- Sélectionnez l'image personnalisée créée dans la tâche 4.
- Cliquez sur Sélectionner une image.
- L'image pfSense est sélectionnée.
- Descendre.
- Dans Réseau principal, sélectionnez Sélectionner un réseau cloud virtuel existant.
- Sélectionnez le VCN à attacher à l'instance pfSense.
- Dans Sous-réseau, sélectionnez un sous-réseau existant.
- Sélectionnez le sous-réseau à attacher à l'instance pfSense.
- Descendre.
- Sélectionnez Affecter manuellement une adresse IPv4 privée.
- Entrez une adresse IPv4.
- Descendre.
- Sélectionnez Aucune clé SSH.
- Descendre.
-
Cliquez sur Créer.
-
Notez que le statut est PROVISIONING.
-
Au bout de quelques minutes, le statut passe à RUNNING.
-
L'image suivante illustre la représentation visuelle de ce que vous avez créé.
Tâche 6 : installation de pfSense sur l'instance
Nous devons procéder à l'installation initiale et à la configuration du pare-feu pfSense. Nous avons déjà l'instance en cours d'exécution.
-
Pour installer le logiciel de pare-feu pfSense, nous devons créer une connexion à la console.
- Descendre.
- Cliquez sur Connexion à la console.
- Cliquez sur Lancer une connexion Cloud Shell.
-
La fenêtre Cloud Shell s'ouvre.
-
Quelques messages de démarrage s'afficheront. Appuyez sur Entrée.
-
Lisez les messages de copyright et sélectionnez Accept, puis appuyez sur ENTER.
- Sélectionnez Installer pfSense.
- Sélectionnez OK et appuyez sur ENTER.
- Sélectionnez Configuration manuelle du disque (experts).
- Sélectionnez OK et appuyez sur ENTER.
- Sélectionnez da0 - 47 Go MBR.
- Sélectionnez Créer et appuyez sur Entrée.
- Dans Type, entrez freebsd.
- Dans Taille, entrez 46 Go.
- Entrez Mountpoint.
- Sélectionnez OK et appuyez sur ENTER.
- Dans da0s4, sélectionnez BSD de 46 Go.
- Sélectionnez Créer et appuyez sur Entrée.
- Dans Type, saisissez freebsd-ufs.
- Dans Taille, entrez 40 Go.
- Dans Point de montage, entrez /.
- Sélectionnez OK et appuyez sur ENTER.
- Le point de montage est créé pour
/
. - Dans da0s4, entrez 46 Go BSD.
- Sélectionnez Créer et appuyez sur Entrée.
- Dans Type, saisissez freebsd-swap.
- Dans Taille, entrez 5770 Mo.
- Entrez Mountpoint.
- Sélectionnez OK et appuyez sur ENTER.
- Notez que le point de montage est créé pour le swap.
- Sélectionnez Terminer et appuyez sur Entrée.
-
Sélectionnez Valider et appuyez sur ENTER.
-
L'installation démarre l'initialisation de la configuration.
L'installation effectuera une vérification rapide du total de contrôle.
L'installation effectuera une extraction d'archive.
-
Le message Could not local an existing
config.xml
file ! s'affiche car il s'agit d'une nouvelle installation. -
Sélectionnez Reboot et appuyez sur ENTER.
-
Après la première réinitialisation, vous obtiendrez quelques options de configuration pour configurer l'interface WAN.
-
Pour Should VLANS be set up, saisissez n et appuyez sur ENTER.
-
Dans Entrez le nom de l'interface WAN ou 'a' pour la détection automatique (vtnet0 ou a), entrez
vtnet0
. -
Dans cette configuration, nous créons un pare-feu avec une seule interface. Par conséquent, nous ne configurerons pas l'interface LAN. Par conséquent, pour ENTER the LAN interface name or 'a' for auto-detection, appuyez sur ENTER pour ignorer cette configuration d'interface.
- Vérifiez le nom de l'interface WAN.
- Pour Do you want to continue, entrez y et appuyez sur ENTER.
-
Notez certains messages et la configuration sera effectuée.
-
L'O/S pfSense effectue une initialisation complète.
- Vous verrez que l'adresse IP sera configurée à l'aide de DHCP.
- Notez le menu pfSense pour effectuer une configuration de base supplémentaire.
Tâche 7 : connexion à l'interface utilisateur graphique Web (GUI) pfSense et configuration initiale
L'installation est terminée. Nous devons maintenant nous connecter à l'interface Web du pare-feu pfSense. Mais avant cela, nous devons ouvrir certains ports sur la liste de sécurité du VCN.
-
Ajoutez une règle entrante.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Virtual Cloud Networks ou accédez à Networking et Virtual Cloud Networks.
-
Sélectionnez le VCN auquel votre pare-feu pfSense est attaché.
- Descendre.
- Cliquez sur Listes de sécurité.
- Cliquez sur la liste de sécurité par défaut pour HUB-VCN.
-
Cliquez sur Ajouter des règles entrantes pour créer la règle entrante.
- Dans Type de source, entrez CIDR.
- Dans CIDR source, pour ce tutoriel, entrez
172.16.0.128/25
. Il s'agit du sous-réseau contenant l'instance Windows que nous allons utiliser pour nous connecter au pare-feu pfSense à l'aide du navigateur. - Dans IP Protocol, saisissez TCP.
- Dans Plage de ports de destination, entrez
80,443
. - Cliquez sur Ajouter des règles entrantes .
-
Notez que la règle de sécurité est ajoutée pour autoriser les ports TCP/
80
et TCP/443
sur la liste de sécurité attachée au VCN. Vous pouvez ainsi configurer une connexion HTTP et HTTPS à partir de l'instance Windows vers cette nouvelle instance de pare-feu pfSense.- Accédez aux instances Compute et Instances.
- Notez votre adresse IP de pare-feu pfSense.
- Dans votre instance Windows, ouvrez un navigateur et accédez à l'adresse IP du pare-feu pfSense à l'aide de HTTPS.
- Cliquez ensuite sur Avancé.
-
Cliquez sur Continuer.
- Entrez le nom utilisateur par défaut
admin
. - Entrez le mot de passe par défaut
pfsense
. - Cliquez sur Ouvrir une session.
- Entrez le nom utilisateur par défaut
-
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
-
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
- Saisir un nom d'hôte.
- Saisissez un nom de domaine ou conservez-le par défaut.
- Descendre.
-
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
-
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
Remarque : si vous utilisez des réseaux, cela peut sembler un peu étrange car nous avons indiqué d'utiliser une adresse IPv4 statique lors de la création de l'instance. La façon dont cela fonctionne dans ce cas particulier est qu'Oracle réserve l'adresse IP statique dans son serveur DHCP et affecte cette adresse au pare-feu pfSense. Le pare-feu pfSense obtiendra donc toujours la même adresse IP, mais du point de vue d'OCI, il s'agira d'une adresse IP statique, et du point de vue de pfSense, il s'agira d'une adresse DHCP.
- Dans Configurer l'interface WAN, sélectionnez DHCP.
- Descendre.
- Conservez tous les paramètres d'adresse IP par défaut.
- Descendre.
-
Descendre.
-
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
- Entrez un nouveau mot de passe d'administrateur.
- Entrez à nouveau un mot de passe administrateur.
- Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
-
Cliquez sur Recharger.
-
La configuration de pare-feu pfSense est rechargée.
-
Descendre.
-
Cliquez sur Fin.
-
Descendre.
-
Cliquez sur accepter.
-
Cliquez sur Fermer.
-
L'image suivante illustre une représentation visuelle de ce que vous avez créé. Nous allons utiliser le tremplin Windows pour nous connecter au pare-feu pfSense.
-
Si le pare-feu pfSense n'est pas en mesure d'atteindre Internet, le chargement de la page de tableau de bord prendra un peu plus de temps. Toutefois, vous pouvez résoudre ce problème en autorisant le pare-feu pfSense sur Internet à l'aide de la passerelle NAT OCI.
- Le pare-feu pfSense est installé et le tableau de bord est visible.
- Notez que les informations de prise en charge ne sont pas disponibles. En effet, le pare-feu pfSense est installé sur un sous-réseau privé et ce sous-réseau privé ne peut pas accéder à Internet par défaut.
-
Acheminons le trafic Internet vers la passerelle NAT. Assurez-vous qu'une passerelle NAT est présente dans le VCN.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Virtual Cloud Networks ou accédez à Networking et Virtual Cloud Networks.
-
Sélectionnez le VCN auquel votre pare-feu pfSense est attaché et auquel la passerelle NAT est présente.
- Cliquez sur Tables de routage.
- Cliquez sur Table de routage par défaut pour HUB-VCN.
- La table de routage par défaut comporte un routage qui achemine tout le trafic vers la passerelle Internet. Cette opération n'est pas utilisable pour nous car nous devons acheminer le trafic du sous-réseau privé vers la passerelle NAT.
- Cliquez sur HUB-VCN pour revenir à la page Détails de la table de routage.
-
Pour acheminer le trafic vers la passerelle NAT d'un sous-réseau spécifique, nous devons créer une table de routage et l'attacher au sous-réseau privé. Cliquez sur Créer une table de routage.
- Entrez un nom.
- Dans Type de cible, entrez Passerelle NAT.
- Dans Bloc CIDR de destination, entrez
0.0.0.0/0
. - Descendre.
- Sélectionnez la passerelle NAT déjà disponible dans le VCN. Si vous ne disposez pas d'une passerelle NAT, cliquez sur Annuler et créez-en une.
- Cliquez sur Créer.
- Notez que la route statique vers la passerelle NAT est à présent créée.
- Cliquez sur HUB-VCN pour revenir à la page Détails de la table de routage.
-
Vous avez créé une table de routage.
-
Maintenant, il est temps de lier cette table de routage au sous-réseau.
- Cliquez sur Sous-réseaux.
- Cliquez sur Sous-réseau privé, sous-réseau auquel l'instance pfSense est actuellement attachée.
-
Cliquez sur Modifier.
- Sélectionnez la table de routage que vous venez de créer.
- Cliquez sur Enregistrer les modifications.
-
La table de routage a été modifiée pour le sous-réseau privé.
-
Revenez à l'instance Windows.
- Actualisez la page.
- Descendre.
-
Cliquez sur accepter.
-
Cliquez sur Fermer.
-
Notez que la section Netgate Services and Support est modifiée.
-
Le temps de réponse de la page de tableau de bord sera également plus rapide.
-
Utilisez l'interface de gestion Web pfSense.
- Cliquez sur Pare-feu.
- Cliquez sur Règles.
-
Notez les règles par défaut du pare-feu pfSense.
-
L'image suivante illustre une représentation visuelle de ce que vous avez créé.
-
La passerelle NAT sera utilisée afin que le pare-feu pfSense puisse communiquer avec Internet.
-
Notez que nous avons également ouvert les ports TCP/
80
et TCP/443
sur la liste de sécurité par défaut.
-
Tâche 8 : vérifier la connectivité avec la commande ping
-
La vérification de la connectivité à l'aide d'un ping (ICMP) est un bon point de départ pour les tests.
- Dans l'instance Windows, ouvrez l'invite de commande et essayez d'envoyer une commande ping à l'adresse IP du pare-feu pfSense.
- Notez que les résultats de la commande ping indiquent une perte de paquets de 100 %.
-
Pour résoudre ce problème, nous devons :
- Ouvrez le protocole ICMP (Internet Control Message Protocol) sur la liste de sécurité par défaut attachée au VCN.
- Ouvrez ICMP sur le pare-feu pfSense.
-
Commençons par la liste de sécurité par défaut.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Virtual Cloud Networks ou accédez à Networking et Virtual Cloud Networks.
-
Sélectionnez le VCN, auquel votre pare-feu pfSense est attaché et dispose de la passerelle NAT.
- Descendre.
- Cliquez sur Listes de sécurité.
- Cliquez sur Default Security List for HUB-VCN.
-
Cliquez sur Ajouter des règles entrantes pour créer la règle entrante.
- Dans Type de source, entrez CIDR.
- Dans CIDR source, entrez
0.0.0.0/0
. - Dans IP Protocol, saisissez ICMP.
- Cliquez sur Ajouter des règles entrantes.
-
Notez les règles ICMP que nous venons d'ajouter.
-
Dans l'interface de gestion du pare-feu pfSense, cliquez sur Pare-feu, Règles et Ajouter pour ajouter une nouvelle règle.
-
Saisissez les informations suivantes .
- Action : sélectionnez Transmettre.
- Protocole : sélectionnez ICMP.
- Sous-types ICMP : sélectionnez N'importe lequel.
- Descendre.
- Source : sélectionnez N'importe lequel.
- Destination : sélectionnez N'importe lequel.
- Cliquez sur Enregistrer.
- Notez que la nouvelle règle ICMP est en place.
- Cliquez sur Appliquer les modifications pour valider les modifications.
-
Notez que l'application des modifications a réussi.
- Dans l'instance Windows, ouvrez l'invite de commande et essayez d'envoyer une commande ping à l'adresse IP du pare-feu pfSense.
- Notez que les résultats de la commande ping indiquent une perte de paquet de 0 %.
-
Un autre test ping que nous pouvons faire est du pare-feu pfSense vers Internet.
- Cliquez sur Diagnostics.
- Cliquez sur Ping.
- Dans Nom d'hôte, entrez
8.8.8.8
. - Cliquez sur Ping.
-
Notez que les résultats de la commande ping indiquent une perte de paquet de 0 %.
-
L'image suivante illustre une représentation visuelle de ce que vous avez créé. Notez que nous avons également ouvert ICMP sur la liste de sécurité par défaut.
Remerciements
- Auteur - Iwan Hoogendoorn (spécialiste du réseau OCI)
Ressources de formation supplémentaires
Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, rendez-vous sur education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.
Install a pfSense Firewall in Oracle Cloud Infrastructure
F99946-01
June 2024