Utiliser pfSense comme sonde Netflow
Utiliser pfSense comme sonde Netflow
installer le paquet pfflow
Lorsque le pont sera transparent, les interfaces ne permettront plus de se connecter à l’extérieur. Le paquet pfflowd s’installe en accédant au gestionnaire de paquet via le menu system.
configurer pfSense en pont/pare-feu transparent
- désactiver le NAT sans arrêter le firewall
- ATTENTION aller dans System > Advanced > System Tunables et positioner le paramètre
set net.link.bridge.pfil_bridgeà1 - créer le pont entre les interfaces WAN et LAN en allant dans Interfaces > Assign > Bridges
- créer l’interface OPT et lui attribuer le pont en allant dans Interfaces > Assign > Network Port
- affecter une adresse IP à l’interface du pont, elle permettra d’accéder au firewall par la suite
- autoriser tout trafic sur toutes les interfaces du pare-feu pour ne pas être bloqué par la suite
- désactiver le serveur dhcp
- posititioner le type d’interface deWAN et LAN sur
none
configurer pfflowd
La page de configuration de pfflowd est accessible au travers du menu Services > pfflowd
- Host : adresse IP du collecteur NetFlow
- Port : port UDP du collecteur/client NetFlow. Le port par défaut est le 2205.
- Source Hostname / IP : adresse IP de l’interface de pfSense pour envoyer les paquets NetFlow.
- pfSense Rule Direction Restriction : sens du trafic capturé. En laissant vide ce champ, il est capturé dans les 2 sens (entrant et sortant)
- NetFlow Version: la version de NetFlow compatible avec le collecteur/client. La version 9 est la plus courante.
Dès que ces réglages sont enregistrés, pfflowd envoi des paquets NetFlow sur l’adresse IP du collecteur spécifié dans la page de configuration.
configurer snmp
L’activation de SNMP peut simplifier la connexion des clients NetFlow: dans Services > SNMP, cocher Enable.
#pfsense #network #infosec #firewall
Tweetcomments powered by Disqus
