Utiliser pfSense comme sonde Netflow

Utiliser pfSense comme sonde Netflow

installer le paquet pfflow

Lorsque le pont sera transparent, les interfaces ne permettront plus de se connecter à l’extérieur. Le paquet pfflowd s’installe en accédant au gestionnaire de paquet via le menu system.

configurer pfSense en pont/pare-feu transparent

  1. désactiver le NAT sans arrêter le firewall
  2. ATTENTION aller dans System > Advanced > System Tunables et positioner le paramètre set net.link.bridge.pfil_bridge à 1
  3. créer le pont entre les interfaces WAN et LAN en allant dans Interfaces > Assign > Bridges
  4. créer l’interface OPT et lui attribuer le pont en allant dans Interfaces > Assign > Network Port
  5. affecter une adresse IP à l’interface du pont, elle permettra d’accéder au firewall par la suite
  6. autoriser tout trafic sur toutes les interfaces du pare-feu pour ne pas être bloqué par la suite
  7. désactiver le serveur dhcp
  8. posititioner le type d’interface deWAN et LAN sur none

configurer pfflowd

La page de configuration de pfflowd est accessible au travers du menu Services > pfflowd

  • Host : adresse IP du collecteur NetFlow
  • Port : port UDP du collecteur/client NetFlow. Le port par défaut est le 2205.
  • Source Hostname / IP : adresse IP de l’interface de pfSense pour envoyer les paquets NetFlow.
  • pfSense Rule Direction Restriction : sens du trafic capturé. En laissant vide ce champ, il est capturé dans les 2 sens (entrant et sortant)
  • NetFlow Version: la version de NetFlow compatible avec le collecteur/client. La version 9 est la plus courante.

Dès que ces réglages sont enregistrés, pfflowd envoi des paquets NetFlow sur l’adresse IP du collecteur spécifié dans la page de configuration.

configurer snmp

L’activation de SNMP peut simplifier la connexion des clients NetFlow: dans Services > SNMP, cocher Enable.

#pfsense #network #infosec #firewall