📍 Guide principal : Réseau d’entreprise : MikroTik, pfSense, OPNsense, FortiGate
Ce tutoriel fait partie d’une série sur le cœur de réseau professionnel. Pour la vue d’ensemble, lisez d’abord le guide principal.
pfSense transforme un PC banalisé, un mini-ordinateur ou une machine virtuelle en pare-feu d’entreprise complet, gratuitement. C’est la porte d’entrée idéale pour qui veut comprendre concrètement ce qu’est un pare-feu à états sans investir dans du matériel propriétaire. Dans ce tutoriel, vous allez installer pfSense Community Edition de A à Z, assigner les interfaces réseau, traverser l’assistant de configuration initiale, et écrire vos premières règles de filtrage sur une base saine.
🎯 Ce que vous allez apprendre
- Préparer le support d’installation et installer pfSense CE sur une machine dédiée ou virtuelle.
- Assigner correctement les interfaces WAN et LAN depuis la console.
- Réaliser la configuration initiale via l’assistant web : mot de passe, DNS, fuseau, WAN, LAN.
- Comprendre le modèle de règles de pfSense et écrire un filtrage propre, interface par interface.
🛠️ Ce que vous allez construire
À la fin, vous aurez un pare-feu pfSense opérationnel : il route le trafic du réseau interne vers Internet, protège le LAN derrière une politique « refus entrant par défaut », et expose une interface d’administration sécurisée. C’est un socle directement réutilisable comme passerelle d’un petit réseau professionnel.
Prérequis
- Une machine avec au moins deux interfaces réseau (deux cartes physiques, ou deux interfaces virtuelles dans un hyperviseur comme VirtualBox, Proxmox ou VMware).
- 2 Go de RAM minimum (4 Go recommandés si vous activez des paquets comme Suricata), quelques gigaoctets de disque.
- L’image d’installation pfSense CE 2.8.1, téléchargée depuis le site officiel pfsense.org.
- Un utilitaire pour écrire l’image sur une clé USB (par exemple balenaEtcher) si vous installez sur du matériel physique.
- Niveau : débutant à intermédiaire. Test express : si vous savez démarrer une machine sur une clé USB ou créer une VM, vous êtes prêt.
- ⏱️ Temps estimé : ~40 minutes.
Étape 1 — Récupérer l’image d’installation
La toute première règle de sécurité commence ici : on ne télécharge pfSense que depuis la source officielle. Rendez-vous sur la page de téléchargement de pfsense.org, choisissez la Community Edition, l’architecture AMD64, et le type d’installateur « ISO Installer » pour une machine virtuelle ou « USB Memstick Installer » pour du matériel physique. L’image est compressée au format gzip.
# Sous Linux/macOS, décompresser l'image téléchargée
gunzip pfSense-CE-2.8.1-RELEASE-amd64.iso.gzUne fois décompressée, vous obtenez un fichier ISO directement utilisable. Sur du matériel physique, écrivez-le sur une clé USB avec balenaEtcher ; dans un hyperviseur, montez simplement l’ISO comme lecteur de démarrage de la nouvelle VM. Pensez à vérifier la somme de contrôle fournie sur le site : elle garantit que l’image n’a pas été altérée pendant le transfert.
Étape 2 — Lancer l’installation
Démarrez la machine sur le support préparé. L’installateur pfSense se charge automatiquement et propose un assistant en mode texte. Les choix par défaut conviennent dans l’immense majorité des cas : acceptez le contrat, choisissez l’installation guidée, et sélectionnez le système de fichiers. ZFS est recommandé pour sa robustesse et ses instantanés, à condition de disposer d’un peu de RAM ; UFS reste valable sur les machines très modestes.
L’installateur copie le système sur le disque, ce qui prend quelques minutes. À la fin, il propose de retirer le support et de redémarrer. Retirez la clé USB ou démontez l’ISO avant le redémarrage pour éviter de relancer l’installateur en boucle. La machine redémarre alors sur le système installé : c’est le premier vrai démarrage de votre pare-feu.
Étape 3 — Assigner les interfaces WAN et LAN
Au premier démarrage, pfSense tente d’identifier vos interfaces réseau et vous demande de les assigner. C’est l’étape qui déroute le plus les débutants, car les cartes portent des noms techniques comme em0, igb0 ou vtnet0 selon le matériel. Le principe : il faut désigner laquelle est le WAN (côté Internet) et laquelle est le LAN (côté réseau interne).
Should VLANs be set up now [y|n]? n
Enter the WAN interface name: em0
Enter the LAN interface name: em1
Do you want to proceed [y|n]? yIci, em0 devient le WAN et em1 le LAN. Si vous ne savez pas quelle carte correspond à quoi, l’option « auto-detection » de pfSense permet de brancher le câble dans l’interface voulue au moment demandé : l’installateur détecte le lien et l’assigne. Une fois validé, pfSense affiche le menu console avec les adresses attribuées : le LAN reçoit par défaut 192.168.1.1/24, et un serveur DHCP y est déjà actif.
Étape 4 — Accéder à l’interface web
Toute la configuration sérieuse se fait ensuite par l’interface web. Branchez un ordinateur sur l’interface LAN ; il obtient une adresse par DHCP dans le réseau 192.168.1.0/24. Ouvrez un navigateur sur l’adresse de la passerelle.
https://192.168.1.1Le navigateur affichera un avertissement de certificat : c’est normal, pfSense utilise un certificat auto-signé par défaut. Acceptez et poursuivez. Les identifiants initiaux sont admin comme nom d’utilisateur et pfsense comme mot de passe. Vous devez voir apparaître l’assistant de configuration. Si la page ne répond pas, vérifiez que votre poste a bien une adresse dans le bon sous-réseau avec un ipconfig ou ip addr.
Étape 5 — Traverser l’assistant de configuration
L’assistant initial (Setup Wizard) couvre l’essentiel en quelques écrans. Prenez le temps de chaque champ plutôt que de tout valider à la chaîne, car ces réglages structurent le comportement du pare-feu.
Renseignez d’abord le nom d’hôte et le domaine, puis les serveurs DNS. Vous pouvez laisser pfSense utiliser les DNS fournis par le WAN, ou imposer des résolveurs précis. Réglez ensuite le fuseau horaire correctement : c’est crucial, car des horloges décalées faussent les journaux et empêchent certains tunnels VPN de s’établir. Configurez le WAN selon votre accès : DHCP si votre fournisseur attribue une adresse automatiquement, ou adressage statique sinon. Sur l’écran LAN, conservez 192.168.1.1 ou adaptez à votre plan d’adressage.
Le dernier écran impose de changer le mot de passe administrateur. Ne sautez jamais cette étape : un pare-feu accessible avec le mot de passe par défaut est une porte ouverte. Choisissez un mot de passe robuste et notez-le dans un gestionnaire. Une fois l’assistant terminé, pfSense applique les changements et recharge l’interface : votre tableau de bord apparaît.
Étape 6 — Comprendre et écrire les règles de pare-feu
C’est le cœur du sujet. pfSense organise les règles par interface et les évalue de haut en bas : la première règle qui correspond à un paquet décide de son sort, et l’évaluation s’arrête là. Point fondamental, le sens des règles est celui du trafic entrant sur l’interface : une règle sur l’onglet LAN filtre ce qui arrive depuis le réseau interne vers le pare-feu.
Par défaut, pfSense applique deux comportements opposés et très sains. Sur le WAN, tout le trafic entrant non sollicité est bloqué — rien ne rentre depuis Internet sauf les réponses aux connexions initiées de l’intérieur, grâce au suivi d’état. Sur le LAN, une règle « allow LAN to any » permet à tout le réseau interne de sortir librement. Cette asymétrie est exactement ce qu’on veut au départ.
Pour durcir, on remplace la règle permissive du LAN par des règles explicites. Imaginons qu’on veuille n’autoriser que la navigation web et le DNS depuis le LAN. On se rend dans Firewall → Rules → LAN, on supprime ou désactive la règle « allow any », puis on ajoute des règles ciblées.
Action: Pass | Interface: LAN | Protocol: TCP
Source: LAN net | Destination: any | Dest. port: 443 (HTTPS)
Action: Pass | Interface: LAN | Protocol: TCP
Source: LAN net | Destination: any | Dest. port: 80 (HTTP)
Action: Pass | Interface: LAN | Protocol: TCP/UDP
Source: LAN net | Destination: any | Dest. port: 53 (DNS)Chaque règle autorise un service précis ; tout ce qui n’est pas explicitement permis sera refusé par la règle implicite de blocage que pfSense applique en fin de liste. Après avoir cliqué sur Apply Changes, testez depuis un poste du LAN : la navigation web doit fonctionner, mais une tentative de connexion sur un autre port (par exemple un client de messagerie sur un port non autorisé) doit échouer. Pour visualiser ce qui se passe, l’onglet Status → System Logs → Firewall montre en direct les paquets acceptés et bloqués.
Étape 7 — Vérifier le NAT et la connectivité
pfSense configure automatiquement le NAT de sortie (Outbound NAT en mode automatique), ce qui masque les adresses privées du LAN derrière l’adresse publique du WAN. Dans la majorité des installations, il n’y a rien à faire : le NAT fonctionne dès l’assistant terminé. On le vérifie dans Firewall → NAT → Outbound, où le mode doit être « Automatic outbound NAT rule generation ».
# Depuis un poste du LAN, tester la sortie
ping 9.9.9.9
# Puis tester la résolution DNS
nslookup itskillscenter.ioSi le ping par adresse IP aboutit mais que la résolution de nom échoue, le problème vient du DNS, pas du routage : vérifiez les serveurs DNS dans la configuration. Si même le ping par IP échoue, contrôlez d’abord les règles du LAN, puis la configuration du WAN. Cette méthode — isoler le routage du DNS — est le réflexe de diagnostic le plus efficace sur tout pare-feu.
Comprendre le suivi d’état, le moteur invisible
Tout le confort de pfSense repose sur un mécanisme qu’on ne voit pas dans les règles : la table d’états. Quand un poste du LAN ouvre une connexion HTTPS vers un site, pfSense enregistre cette session — adresses, ports, protocole — dans sa table d’états. Les paquets de réponse, qui arrivent depuis Internet sur le WAN, sont alors reconnus comme appartenant à une connexion légitime et passent automatiquement, sans qu’aucune règle entrante explicite ne soit nécessaire. C’est précisément pour cela que le WAN peut tout bloquer en entrée sans casser la navigation : seules les réponses sollicitées franchissent la barrière.
Cette compréhension a une conséquence pratique directe. Quand vous écrivez une règle, vous n’avez besoin d’autoriser que le sens d’initiation de la connexion ; le retour est géré pour vous. C’est aussi pourquoi, après avoir modifié une règle, d’anciennes connexions peuvent continuer à fonctionner un temps : elles sont déjà dans la table d’états. Pour appliquer immédiatement un changement à une connexion existante, on vide l’état correspondant dans Diagnostics → States. Garder ce modèle en tête vous évitera des heures de confusion devant une règle qui « ne fait rien » alors qu’elle agit déjà parfaitement sur les nouvelles connexions.
🐞 Pièges fréquents
| Symptôme / erreur | Cause probable | Correctif |
|---|---|---|
| Interface web injoignable | Poste branché sur le WAN, ou hors du sous-réseau LAN | Brancher sur le LAN, vérifier l’adresse obtenue par DHCP |
| WAN et LAN inversés | Mauvaise assignation des cartes à l’étape console | Réassigner via le menu console (option « Assign Interfaces ») |
| Pas d’accès Internet | WAN mal configuré ou règle LAN trop restrictive | Vérifier l’état du WAN dans le tableau de bord, puis les règles LAN |
| Tunnel ou service échoue de façon erratique | Fuseau horaire ou horloge incorrects | Corriger le fuseau et activer la synchronisation NTP |
| Règle ajoutée sans effet | Règle placée sous une règle plus générale qui matche déjà | Réordonner : la règle spécifique doit précéder la générale |
| Avertissement de certificat permanent | Certificat auto-signé par défaut | Comportement normal ; remplaçable par un certificat propre plus tard |
✅ Récapitulatif
Vous avez installé pfSense CE de bout en bout, assigné les interfaces, traversé l’assistant initial et durci la politique de filtrage du LAN avec des règles explicites. Vous comprenez désormais le modèle de pfSense : des règles par interface, évaluées de haut en bas, sur le trafic entrant, avec un blocage implicite en fin de liste et un suivi d’état qui gère les retours. Ce socle vous servira pour tout ce qui suit, des VPN aux paquets de détection d’intrusion.
🧾 Aide-mémoire
| Élément | Rôle |
|---|---|
| pfsense.org → Download | Seule source fiable de l’image |
| Console « Assign Interfaces » | Désigner WAN et LAN |
| https://192.168.1.1 (admin / pfsense) | Accès web initial (mot de passe à changer) |
| Setup Wizard | Hôte, DNS, fuseau, WAN, LAN, mot de passe |
| Firewall → Rules → LAN | Filtrage du trafic interne |
| Firewall → NAT → Outbound | Vérifier le NAT de sortie |
| Status → System Logs → Firewall | Voir les paquets acceptés/bloqués |
💪 À vous de jouer
Créez un alias regroupant deux serveurs internes (par exemple un serveur de fichiers et une imprimante réseau) et écrivez une règle autorisant le LAN à les joindre, tout en bloquant le reste du réseau interne.
Voir une solution
Dans Firewall → Aliases, créez un alias de type Host nommé SRV_INTERNES contenant les deux adresses IP. Puis dans Firewall → Rules → LAN, ajoutez une règle Pass avec pour destination l’alias SRV_INTERNES, placée au-dessus d’une règle Block ciblant le reste du sous-réseau interne. Les alias rendent les règles lisibles et faciles à maintenir : on modifie l’alias, pas chaque règle.
Tutoriels de la même série
- OPNsense : détection d’intrusion avec Suricata — ajouter une couche IDS/IPS à un pare-feu FreeBSD.
- pfSense : accès distant avec OpenVPN — donner aux nomades un accès chiffré au LAN.
Pour aller plus loin
- 🔝 Retour au guide principal : Réseau d’entreprise : MikroTik, pfSense, OPNsense, FortiGate
- Documentation officielle : docs.netgate.com (sections « Installation » et « Firewall »).
- Tutoriel suivant suggéré : OPNsense et Suricata pour la détection d’intrusion.
FAQ
pfSense est-il vraiment gratuit ?
La Community Edition est gratuite et open source. Netgate propose aussi des appliances matérielles et un support payant, mais le logiciel installé sur votre propre matériel ne coûte rien.
Quelle quantité de RAM faut-il prévoir ?
2 Go suffisent pour un pare-feu de base. Dès que vous activez des paquets gourmands comme Suricata avec de nombreux jeux de règles, visez 4 Go ou plus pour rester confortable.
Puis-je tout faire dans une machine virtuelle ?
Oui. Avec deux interfaces virtuelles — une en mode pont vers Internet, une en réseau interne — pfSense fonctionne parfaitement en VM, ce qui est idéal pour apprendre sans matériel dédié.
Faut-il bloquer le LAN dès le départ ?
Pas nécessairement pour apprendre, car la règle « allow LAN to any » par défaut simplifie les premiers tests. Mais en production, remplacer cette règle par des autorisations explicites réduit nettement la surface d’exposition interne.
Mots-clés : pfSense CE 2.8.1, installation pfSense, pare-feu FreeBSD, règles firewall pfSense, NAT sortant, assignation interfaces WAN LAN, configuration initiale.