PFsense

pfSense est un routeur / pare-feu opensource basé sur FreeBSD.

pfSense peut être installé sur un simple ordinateur personnel comme sur un serveur. Basé sur PF (packet filter), comme iptables sur GNU/Linux, il est réputé pour sa fiabilité.

Après une installation en mode console, il s'administre ensuite simplement depuis une interface web et gère nativement les VLAN (802.1q).

Fonctionnalités

• Filtrage par IP source et destination, port du protocole, IP source et destination pour le trafic TCP et UDP
  • Capable de limiter les connexions simultanées sur une base de règle
  • pfSense utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système d'exploitation qui initie la connexion.
  • Possibilité d'enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle.
  • Politique très souple de routage possible en sélectionnant une passerelle sur une base par règle (pour l'équilibrage de charge, basculement, Connexions WAN multiple, etc)
  • Utilisation d'alias ​​permettant le regroupement et la désignation des adresses IP, des réseaux et des ports, rendant ainsi votre jeu de règles de pare-feu propre et facile à comprendre, surtout dans des environnements avec plusieurs adresses IP publiques et de nombreux serveurs.
  • Filtrage transparent au niveau de la Couche 2, le pare-feu est capable d'agir en pont filtrant.
  • La normalisation des packets est utilisée, il n'y a donc aucune ambiguïté dans l'interprétation de la destination finale du paquet. La directive « scrub » ré-assemble aussi des paquets fragmentés, protège les systèmes d'exploitation de certaines formes d'attaque, et laisse les paquets TCP contenants des combinaisons de Flags invalides.

Activé dans pfSense par défaut Vous pouvez le désactiver si nécessaire. Cette option provoque des problèmes pour certaines implémentations NFS, mais il est sûr et devrait être laissée activé sur la plupart des installations. Désactiver le filtre - vous pouvez désactiver entièrement le filtre de pare-feu si vous souhaitez configurer pfSense comme un routeur pur.

• Network address translation (NAT)

Rediriger les ports y compris les rangs et l'utilisation de plusieurs adresses IP publiques NAT pour les adresses IP individuelles ou des sous-réseaux entiers. Redirection NAT Par défaut, le NAT redirige tout le trafic sortant vers l'adresse IP WAN. Dans le cas de connexions WAN Multiples, le NAT redirige le trafic sortant vers l'adresse IP de l'interface WAN utilisée. NAT réflexion : dans certaines configurations, NAT réflection est possible si les services sont accessibles par IP publique à partir de réseaux internes.

• Basculement base sur CARP et pfsync

Common Address Redundancy Protocol ou CARP est un protocole permettant à un groupe d'hôtes sur un même segment réseau de partager une adresse IP. Le nom CARP est en fait un sigle qui signifie « Common Address Redundancy Protocol » (Protocole Commun De Redondance D'Adresse), à ne pas confondre avec « Cache Array Routing Protocol » utilisé pour faire de la répartition de charge de mandataires caches web Il a été créé pour contourner des brevets. Ce protocole peut être utilisé pour faire de la redondance et de la répartition de charge. Il supporte IPv4 et IPv6, et a le numéro de protocole 112. Il est supporté par pfsense

• pfsync assure la table d'état du pare-feu est répliquée sur tous les pare-feu configurés de basculement. Cela signifie que vos connexions existantes seront maintenues dans le cas d'échec, ce qui est important pour prévenir les perturbations du réseau.
• Load Balancing/ Répartition de charge :

La répartition de charge du trafic sortant est utilisée avec plusieurs connexions WAN pour assurer la répartition de charge et des capacités de basculement. Le trafic est dirigé vers la passerelle souhaitée ou le groupe d'équilibrage local.

• VPN

pfSense offre trois options de connectivité VPN: IPSec, OpenVPN et PPTP.

• RRD Graphiques

Les graphiques RRD de pfSense mettent à jour des informations historiques sur les points suivants : L'utilisation du processeur Le débit total État de Firewall Débit individuelle pour toutes les interfaces Paquets par seconde taux pour toutes les interfaces Interface WAN passerelle (s) de temps de réponse ping Trafic des files d'attente de mise en forme sur les systèmes avec lissage du trafic activée.

• Dynamic DNS

Un client DNS dynamique est inclus pour vous permettre d'enregistrer votre adresse IP publique avec un certain nombre de fournisseurs de services DNS dynamiques. DynDNS DHS dnsExit DYNS easyDNS FreeDNS HE.net Loopia Namecheap No-IP ODS.org OpenDNS ZoneEdit

• Captive Portal

Un Portail captif permet de forcer l'authentification, ou la redirection vers une page pour l'accès au réseau. Ceci est communément utilisé sur les réseaux de points chauds, mais est également largement utilisé dans les réseaux d'entreprise pour une couche supplémentaire de sécurité sur l'accès sans fil ou Internet. Ce qui suit est une liste des fonctionnalités du portail captif de pfSense.

Connexions simultanées maximum - Limiter le nombre de connexions au portail lui-même par client IP. Cette fonctionnalité empêche un déni de service à partir d'ordinateurs clients établissant des connexions réseau à plusieurs reprises sans authentification.

Délai d'inactivité - Délai en minutes après lequel les sessions inactives seront fermées.

Disk timeout - Forcer une déconnexion de tous les clients après le nombre défini de minutes.

Logon fenêtre pop-up - Option pour faire apparaître une fenêtre avec un bouton Déconnexion.

redirection d'URL - Après authentification ou en cliquant sur le portail captif, les utilisateurs peuvent être redirigés vers l'URL définie.

Filtrage MAC - Par défaut, les filtres pfSense en utilisent des adresses MAC. Si vous avez un sous-réseau derrière un routeur sur une interface compatible de portail captif, chaque machine derrière le routeur sera autorisé après qu'un utilisateur est autorisé. Le filtrage MAC peut être désactivée pour ces scénarios.

Les options d'authentification - Il ya trois options d'authentification disponibles : Aucune authentification - Cela signifie que l'utilisateur verra s'afficher votre page de portail sans avoir à entrer d'information d'identification. Gestionnaire d'utilisateur local - Une base de données d'utilisateur local peut être configurée et utilisée pour l'authentification. AuthentificationRADIUS - Méthode d'authentification lorsque la base de données d'utilisateur est déportée sur un serveur. La négociation entre Pfsense et le serveur utilisera la norme RADIUS.

Ré-authentification forcée - Possibilité de demander à forcer une ré-authentification. authentification MAC RADIUS - Permet au portail captif d'utiliser l'adresse MAC du client pour l'authentification à un serveur RADIUS au lieu du login. HTTP ou HTTPS - La page du portail peuvent être configurés pour utiliser le protocole HTTP ou HTTPS. Pass-Through adresses MAC et IP - adresses MAC et IP peuvent être white-listés pour contourner le portail. Toutes les machines s'authentifiant avec les adresses MAC et IP listées seront autorisées sans avoir besoin de passer par le portail captif. Vous pouvez exclure certaines machines pour d'autres raisons. Gestionnaire de fichiers - Ceci vous permet de télécharger des images pour les utiliser dans vos pages du portail.

• Serveur DHCP et relais

pfSense comprend à la fois les fonctionnalités de serveur DHCP et de relais DHCP

• Une gestion de plugin vient parfaire l'installation de base, avec notamment Avahi (Zeroconf), * FreeRADIUS, haproxy,Iperf, Squid, squidGuard, Nmap, short, Varnish, Zabbix.