Mise en œuvre d’un pare-feu pfSense sur

Kali pour la sécurisation, le filtrage et la

surveillance d’un réseau informatique

Année académique
2025-2026
 SOMMAIRE

SOMMAIRE .............................................................................................................................. 1
GLOSSAIRE .............................................................................................................................. 3
INTRODUCTION ..................................................................................................................... 4
I. Introduction aux pares-feux ................................................................................................ 5
II. Exemples de pare-feu ......................................................................................................... 7
III. Présentation de pfSense .................................................................................................... 11
IV. Implémentation et Configuration d’un réseau avec pfSense comme Pare-Feu................ 13
CONCLUSION ........................................................................................................................ 41
BIBLIOGRAPHIE ................................................................................................................... 42
WEBOGRAPHIE..................................................................................................................... 43
LISTES DES IMAGES ............................................................................................................ 44

2
 GLOSSAIRE

• Pare-feu (Firewall) : Dispositif matériel ou logiciel permettant de contrôler et filtrer le

trafic réseau entrant et sortant selon des règles de sécurité prédéfinies.

• pfSense : Pare-feu et routeur open source basé sur FreeBSD, utilisé pour la sécurisation, le
filtrage et le monitoring des réseaux informatiques.

• LAN (Local Area Network) : Réseau local reliant des équipements informatiques dans
une zone géographique limitée.

• WAN (Wide Area Network) : Réseau étendu permettant la connexion à Internet ou à des
réseaux distants.

• DMZ (Demilitarized Zone) : Zone réseau intermédiaire entre le LAN et le WAN destinée
à héberger des services accessibles tout en limitant les risques pour le réseau interne.

• Filtrage de paquets : Méthode de contrôle du trafic réseau basée sur les adresses IP, les
ports et les protocoles.

• Stateful Firewall : Pare-feu capable de suivre l’état des connexions réseau et d’autoriser
ou bloquer le trafic en fonction de ce contexte.

• DHCP (Dynamic Host Configuration Protocol) : Protocole permettant d’attribuer

automatiquement des adresses IP aux machines d’un réseau.

• DNS (Domain Name System) : Service permettant de traduire les noms de domaine en
adresses IP.

• NAT (Network Address Translation) : Technique permettant de traduire des adresses IP

privées en adresses publiques.

• Packet Capture : Outil d’analyse permettant de capturer et examiner les paquets circulant
sur un réseau.

• IDS/IPS : Systèmes de détection et de prévention des intrusions.

• IIS (Internet Information Services) : Serveur web de Microsoft permettant

l’hébergement de sites web.

3
 INTRODUCTION

Avec la croissance rapide des technologies de l’information et l’interconnexion permanente

des systèmes informatiques, la sécurité des réseaux est devenue un enjeu majeur aussi bien
pour les entreprises que pour les établissements de formation. Les réseaux informatiques sont
aujourd’hui exposés à de nombreuses menaces telles que les accès non autorisés, les attaques
par déni de service, l’interception de données ou encore les intrusions internes.
Face à ces risques, le pare-feu constitue un élément fondamental de la sécurité réseau. Il
permet de contrôler, filtrer et surveiller les flux de données entrant et sortant d’un réseau, en
appliquant des règles précises définies par l’administrateur. Dans ce contexte, ce travail a
pour objectif d’étudier le fonctionnement des pares-feux et de mettre en œuvre une solution
de sécurité basée sur pfSense, un pare-feu open source largement utilisé dans les
environnements professionnels et pédagogiques. À travers ce TP, nous avons réalisé
l’installation, la configuration et l’exploitation de pfSense dans un environnement virtualisé,
en mettant en place des zones réseau distinctes (LAN et DMZ), des règles de filtrage, des
services réseau et des mécanismes de surveillance du trafic. Ce travail permet ainsi de mieux
comprendre le rôle d’un pare-feu dans la protection d’un réseau et d’acquérir des
compétences pratiques en administration et sécurisation des infrastructures réseau.

4
 I. Introduction aux pares-feux

1.1 Définition et rôle dans la sécurité des réseaux

Un pare-feu (firewall en anglais) est un dispositif de sécurité réseau conçu pour surveiller et
contrôler le trafic entrant et sortant d'un réseau selon des règles de sécurité prédéfinies. Il agit
comme une barrière entre un réseau de confiance (comme un réseau local d'entreprise) et des
réseaux non fiables (comme Internet), empêchant ainsi les accès non autorisés tout en
permettant les communications légitimes.

Le rôle principal d'un pare-feu est de protéger les ressources informatiques contre les
menaces externes telles que les intrusions, les attaques par déni de service (DDoS), les
malwares et autres tentatives d'accès malveillantes. En filtrant le trafic réseau, le pare-feu
constitue la première ligne de défense dans une architecture de sécurité en profondeur.

1.2 Les différents types de pare-feu

Les pares-feux peuvent être classés selon plusieurs critères :

Par leur forme :

Pare-feu matériel (Hardware) : dispositifs physiques dédiés intégrant des

fonctionnalités de filtrage avancées, généralement utilisés dans les environnements
professionnels pour leur performance et leur fiabilité.

Pare-feu logiciel (Software) : applications installées sur un système d'exploitation,

offrant plus de flexibilité et souvent utilisées dans les petites infrastructures ou à des
fins éducatives.

Par leur méthode de filtrage :

Filtrage par paquet (Packet Filtering) : examine les en-têtes des paquets réseau
(adresses IP source/destination, ports, protocoles) et applique des règles simples
d'autorisation ou de blocage.

Pare-feu à états (Stateful Firewall) : conserve une trace des connexions actives et
prend des décisions basées sur le contexte de la session, offrant une sécurité supérieure
au simple filtrage par paquet.

5
 Pare-feu de couche application (Application Layer Firewall) : analyse le contenu
des paquets au niveau applicatif (HTTP, FTP, DNS) pour détecter et bloquer des
menaces spécifiques aux applications.

1.3 Importance dans un réseau d'entreprise ou d'études

Dans un contexte professionnel, le pare-feu est essentiel pour protéger les données sensibles,
garantir la continuité des services et respecter les obligations de conformité réglementaire. Il
permet de segmenter le réseau en zones de sécurité distinctes (LAN, DMZ, WAN) et de
contrôler précisément les flux entre ces zones.

Dans un cadre éducatif, la maîtrise des pares-feux est fondamentale pour comprendre les
principes de la sécurité réseau. Les travaux pratiques avec des solutions comme pfSense
permettent aux étudiants d'acquérir des compétences concrètes en configuration, filtrage et
surveillance du trafic, compétences directement applicables dans le monde professionnel.

6
II. Exemples de pare-feu

Cette section présente plusieurs solutions de pare-feu représentatives du marché, chacune

ayant ses caractéristiques propres et son domaine d'application privilégié.

2.1 Cisco ASA (Adaptive Security Appliance)

Type : Pare-feu matériel professionnel

Fonctionnalités principales :
• Filtrage stateful avancé avec inspection approfondie des paquets
• VPN site-à-site et accès distant (IPsec, SSL)
• Prévention d'intrusion (IPS) intégrée
• Contrôle d'accès basé sur l'identité
• Haute disponibilité et clustering

Points forts :

• Performance et fiabilité éprouvées en environnement critique

• Intégration native dans l'écosystème Cisco
• Support technique professionnel de qualité
• Évolutivité pour les grandes infrastructures

Limites :

• Coût d'acquisition et de licence élevé

• Interface de configuration complexe nécessitant une formation spécialisée
• Moins flexible que les solutions open source pour la personnalisation

2.2 pfSense

Type : Pare-feu logiciel open source

7
Fonctionnalités principales :

• Filtrage stateful avec support IPv4 et IPv6

• NAT, routage et redirection de ports
• VPN (OpenVPN, IPsec, WireGuard)
• Services réseau intégrés (DHCP, DNS, NTP)
• IDS/IPS via Snort et Suricata
• Interface web intuitive pour la gestion

Points forts :

• Gratuit et open source avec une large communauté

• Très flexible et hautement personnalisable
• Documentation extensive et support communautaire actif
• Peut fonctionner sur du matériel standard ou des VM

Limites :

• Absence de support officiel gratuit (support payant disponible)

• Performance limitée par le matériel sous-jacent
• Nécessite des connaissances réseau pour une configuration optimale

2.3 Fortinet FortiGate

Type : Pare-feu matériel de nouvelle génération (NGFW)

Fonctionnalités principales :
• Unified Threat Management (UTM) intégré
• Filtrage d'applications et contrôle web
• Antivirus et anti-malware en temps réel
• Prévention d'intrusion et sandboxing
• SD-WAN et optimisation du trafic WAN

Points forts :

8
 • Performance exceptionnelle grâce aux processeurs ASIC dédiés
• Console de gestion centralisée pour plusieurs équipements (FortiManager)
• Détection et réponse aux menaces en temps réel via FortiGuard
• Excellent rapport fonctionnalités/prix

Limites :

• Modèle de licence par abonnement obligatoire pour certaines fonctionnalités

• Complexité croissante avec les fonctionnalités avancées
• Interface parfois moins intuitive que les concurrents

2.4 Sophos XG Firewall

Type : Pare-feu matériel et logiciel (NGFW)

Fonctionnalités principales :
• Synchronisation de la sécurité avec les endpoints
• Filtrage web et contrôle des applications
• Protection contre les menaces avancées (ATP)
• VPN SSL et IPsec
• Reporting et analytics détaillés

Points forts :

• Interface utilisateur moderne et ergonomique

• Intégration avec les solutions Sophos Endpoint pour une protection unifiée
• Déploiement flexible (appliance, VM, cloud)
• Gestion simplifiée via Sophos Central

Limites :

• Coût des licences pour les fonctionnalités avancées

• Performance variable selon les modèles d'entrée de gamme
• Dépendance au cloud pour certaines fonctionnalités

9
2.5 OPNsense

Type : Pare-feu logiciel open source

Fonctionnalités principales :
• Fork de pfSense avec interface modernisée
• Plugins extensibles pour fonctionnalités additionnelles
• IDS/IPS intégré
• Proxy web transparent avec filtrage de contenu
• Reporting et monitorings avancés

Points forts :

• Cycle de mise à jour plus fréquent que pfSense

• Interface web moderne et responsive
• Code complètement open source
• Architecture modulaire facilitant les extensions

Limites :

• Communauté plus petite que pfSense

• Documentation moins exhaustive
• Compatibilité matérielle parfois moins étendue

10
III. Présentation de pfSense

3.1 Définition et origine

pfSense est une solution de pare-feu et de routeur open source basée sur le système
d'exploitation FreeBSD. Créé en 2004 à partir du projet m0n0wall, pfSense a été développé
pour offrir une plateforme de sécurité réseau robuste, flexible et accessible. Le projet est
aujourd'hui maintenu par Netgate, qui propose également du support commercial et des
appliances matérielles préinstallées.

Le nom "pfSense" fait référence à "pf" (packet filter), le système de filtrage de paquets
intégré à FreeBSD, réputé pour sa performance et sa stabilité. Grâce à sa nature open source
et à sa communauté active, pfSense est devenu l'une des solutions de pare-feu les plus
populaires pour les PME, les établissements d'enseignement et les environnements de
laboratoire.

3.2 Fonctionnalités principales

pfSense offre un ensemble complet de fonctionnalités qui en font bien plus

qu'un simple pare-feu :
 Pare-feu stateful : pfSense implémente un filtrage par états permettant de suivre les
connexions actives et d'appliquer des règles contextuelles basées sur l'état de la
session. Cette approche améliore considérablement la sécurité par rapport au simple
filtrage par paquet.
 NAT (Network Address Translation) : permet de masquer les adresses IP internes
du réseau local et de partager une connexion Internet avec plusieurs machines.
pfSense supporte le NAT statique, dynamique et la redirection de ports (port
forwarding).
 VPN (Virtual Private Network) : intègre plusieurs technologies VPN (OpenVPN,
IPsec, WireGuard) pour établir des connexions sécurisées entre sites distants ou
permettre l'accès distant aux ressources internes.

Services réseau intégrés :

• DHCP Server : attribution automatique d'adresses IP aux clients du réseau

11
 • DNS Resolver/Forwarder : résolution de noms de domaine avec support du cache
DNS
• NTP Server : synchronisation temporelle des équipements réseau
• IDS/IPS (Intrusion Detection/Prevention System) : via les packages Snort ou
Suricata, pfSense peut détecter et bloquer les tentatives d'intrusion et les
comportements anormaux sur le réseau.
• Packet Capture : outil intégré permettant de capturer et d'analyser le trafic réseau en
temps réel, essentiel pour le diagnostic et la surveillance.
• Monitoring et reporting : tableaux de bord détaillés affichant l'utilisation de la
bande passante, les états des connexions, les journaux système et les alertes de
sécurité.

3.3 Pourquoi pfSense est utilisé pour les TP et la formation réseau ?

pfSense s'impose comme un choix privilégié dans le cadre éducatif

pour plusieurs raisons :
 Gratuité et accessibilité : étant open source, pfSense peut être déployé sans coût de
licence, ce qui le rend accessible à tous les étudiants et établissements, quel que soit
leur budget.
 Interface intuitive : la console web de pfSense est relativement simple d'utilisation
tout en offrant un accès complet aux fonctionnalités avancées. Les étudiants peuvent
rapidement créer des règles de pare-feu et configurer des services sans avoir à
maîtriser la ligne de commande.
 Environnement professionnel : les compétences acquises avec pfSense sont
directement transférables au monde professionnel, car de nombreuses entreprises
utilisent cette solution ou des produits similaires.
 Virtualisation : pfSense fonctionne parfaitement en machine virtuelle, permettant de
créer des environnements réseau complets sur un simple ordinateur portable avec
VMware ou VirtualBox.
 Documentation abondante : la communauté pfSense a produit une documentation
exhaustive, des tutoriels vidéo et des forums actifs qui facilitent l'apprentissage
autonome.

12
  Scénarios réalistes : pfSense permet de reproduire des architectures réseau
d'entreprise complexes avec segmentation (LAN, DMZ, WAN), règles de filtrage
sophistiquées et services multiples, offrant ainsi une expérience pratique authentique.

IV. Implémentation et Configuration d’un réseau avec pfSense

comme Pare-Feu

Ce travail pratique vise à mettre en œuvre une infrastructure réseau sécurisée complète en
utilisant pfSense comme pare-feu central. L'objectif est d'acquérir une expérience concrète en
installation, configuration, filtrage et surveillance du trafic réseau.

4.1 Contexte et environnement technique

Plateforme de virtualisation : VMware Workstation

L'ensemble du laboratoire a été déployé sur VMware, permettant de créer un environnement

réseau isolé et maîtrisé. Cette approche présente l'avantage de pouvoir expérimenter sans
risque sur l'infrastructure existante.

Machines virtuelles déployées :

a) pfSense 2.8.1-RELEASE (amd64) : pare-feu central assurant le routage et la sécurité
entre les différentes zones réseau. Configuration matérielle : 2 Go de RAM et 10 Go
d'espace disque.

b) Kali Linux : machine de test placée dans la zone DMZ, utilisée pour simuler un
serveur exposé ou pour réaliser des tests de connectivité et de filtrage. C’est également
via cette machine que nous avons accès au Dashboard de pfSense.

c) Windows Server 2019/2022 : serveur placé dans le réseau LAN, hébergeant le service
web IIS (Internet Information Services) pour les tests d'accès HTTP.

13
 Architecture réseau mise en place :

L'architecture déployée simule un réseau d'entreprise classique avec trois zones de sécurité
distinctes :

• WAN (Wide Area Network) : Interface connectée à Internet via en Custom Vmnet
8 type NAT pour simuler la connexion externe (Sur VMWare représenté en NAT).
• LAN (Local Area Network) : Réseau interne sécurisé hébergeant les ressources
d'entreprise (Sur VMWare représenté en Custom Vmnet 2 (Host Only)).
• DMZ (DeMilitarized Zone) : Zone intermédiaire pour les services devant être
accessibles de l'extérieur tout en étant isolés du LAN.

4.2 Installation et configuration de pfSense

a) Création de la machine virtuelle

La première étape a consisté à créer une VM pfSense avec les caractéristiques suivantes :

Nom : pfSense

Disque virtuel : 10 Go (largement suffisant pour le système et les logs)

Mémoire : 2 Go de RAM

Deux cartes réseau initiales :

• LAN → VMnet2 (réseau privé virtuel)

• WAN → Vmnet 8 NAT (accès Internet)

14
Captures 1 : Écran de création de la VM pfSense dans VMware

Processus d'installation :

1. Boot sur l'ISO officielle : [Link]

2. Sélection de l'option "Install" dans le menu de démarrage

3. Choix du disque de destination : (da0) disque virtuel créé précédemment

4. Installation du système de base pfSense-base

5. Configuration initiale des interfaces réseau via la console

Configuration des interfaces de base :

Lors de la première configuration, les paramètres suivants ont été appliqués :

• Interface LAN : adresse IP statique [Link]/24 (passerelle pour le réseau

interne)

15
 • Interface WAN : configuration en DHCP pour obtenir automatiquement une
adresse IP du réseau NAT

Cette configuration permet à pfSense de router le trafic entre le réseau interne et Internet tout
en assurant la protection par pare-feu.

Capture 2 : Écran final de pfSense après installation, affichant les adresses

IP LAN et WAN

16
 4.3 Configuration des interfaces supplémentaires Ajout de l'interface DMZ
(OPT1)

Pour créer une zone démilitarisée distincte, une troisième interface réseau a été configurée :

Accès au tableau de bord pfSense via navigateur web [Link]

Navigation vers Interfaces → Assignments
Ajout d'une nouvelle interface : bouton "Add"

Configuration de l'interface OPT1 :

Nom personnalisé : DMZ

Adresse IP statique : [Link]/24
Activation de l'interface : case "Enable interface" cochée
Sauvegarde et application des modifications

Configuration du service DHCP pour la DMZ (optionnel) :

Pour simplifier l'attribution d'adresses IP dans la DMZ, le serveur DHCP a été activé :

Navigation vers Services → DHCP Server → DMZ

Plage d'adresses : [Link] à [Link]
Passerelle par défaut : [Link] (l'interface DMZ de pfSense)

Capture 3 : Interface DMZ activée avec son adresse IP [Link]/24

17
Tests de connectivité de base :

Depuis la machine Kali Linux placée dans la DMZ, vérification de la configuration

réseau :
Test de connectivité vers la passerelle DMZ :
Résultat : réponses du pare-feu pfSense confirmant la connectivité au niveau 3
(réseau).

Capture 4 : Commandes ip a depuis Kali Linux dans la DMZ

4.4 Intégration de pfSense dans le réseau physique

 Modification du type des interfaces réseaux de pfSense

18
Ici, nous allons faire passer l’interface LAN de pfSense sur le type Bridge pour que ce dernier
soit représenté sur le réseau physique comme une machine à part entière, de ce fait nous
allons connecter cette interface Bridgée à la carte Ethernet de la machine hôte reliée au
Switch du réseau Physique LAN en étoile monté.

Voici les illustrations :

Image 1:Changement du type de l'interface LAN en Bridge

Et là, nous allons faire passer l’interface WAN de pfSense sur le type Bridge pour que ce
dernier soit représenté sur le réseau physique comme une machine à part entière, de ce fait
nous allons connecter cette interface Bridgée à la carte Wifi de la machine hôte connectée à
internet.

Voici les illustrations :

Image 2: Changement du type de l'interface WAN en Bridge

19
 4.5 Configuration des règles de pare-feu et filtrage

La politique de sécurité par défaut de pfSense suit le principe du "deny all" : tout trafic est
bloqué sauf autorisation explicite. Cette approche garantit une sécurité maximale en forçant
l'administrateur à définir précisément les flux autorisés.

 Test du blocage initial (comportement par défaut) :

Avant de créer des règles spécifiques, des tests ont été effectués pour vérifier le blocage par
défaut :

Depuis la DMZ vers le LAN :

• Tentative d'accès au serveur web IIS sur Windows Server déjà configuré
([Link]
• Résultat : connexion refusée (timeout ou connection refused)

Depuis la DMZ vers Internet :

• Tentative de ping vers un serveur public (ex : ping [Link])

• Résultat : paquets bloqués, aucune réponse reçue

Ces tests confirment que pfSense bloque bien tout le trafic provenant de la DMZ par défaut.

20
Capture 5 : Tentatives de ping et d'accès HTTP bloquées depuis la DMZ et
Server IIS Configuré depuis la VM Windows Server 2019

 Création d'une règle autorisant le trafic HTTP DMZ → LAN :

Pour permettre aux machines de la DMZ d'accéder au serveur web du LAN, une règle
spécifique a été créée :

1. Navigation vers Firewall → Rules → DMZ

2. Clic sur le bouton "Add" (flèche vers le haut pour ajouter en haut de liste)
21
 3. Configuration de la règle : Action : Pass (autoriser)
• Interface : DMZ
• Protocol : TCP
• Source : DMZ subnet ([Link]/24) - autorisation pour tout le réseau
DMZ
• Destination : Single host or alias - adresse IP du Windows Server LAN
[Link]
• Destination port : HTTP (80)
• Description : "Autoriser DMZ vers serveur web LAN"

4. Sauvegarde de la règle

5. Application des changements : bouton "Apply Changes"

Principe de fonctionnement : cette règle indique à pfSense d'autoriser uniquement le trafic

TCP sur le port 80 (HTTP) en provenance du réseau DMZ et à destination du serveur
Windows dans le LAN. Tout autre trafic reste bloqué selon la politique par défaut.

22
Capture 6 : Règle de pare-feu autorisant DMZ → LAN sur le port HTTP (80)

Test de passage du trafic autorisé :

Après activation de la règle, test depuis Kali Linux dans la DMZ :

Résultat attendu : affichage du code HTML de la page par défaut IIS, confirmant que le trafic
HTTP passe désormais à travers le pare-feu.

Alternative avec navigateur web : accès direct à [Link] affiche la page

d'accueil IIS.

23
Captures 7 : Commande curl réussie affichant la page IIS et Via navigateur
Web

24
Règles supplémentaires pouvant être créées mais pas prises en compte dans ce TP :

D'autres règles peuvent être ajoutées selon les besoins :

• Autoriser ICMP (ping) pour les tests de connectivité

• Autoriser DNS (port 53) pour la résolution de noms
• Autoriser NTP (port 123) pour la synchronisation temporelle
• Bloquer explicitement certains protocoles ou ports sensibles

4.6 Installation et configuration des services réseau

pfSense intègre plusieurs services réseau essentiels qui simplifient la gestion
de l'infrastructure.
 Service DHCP (Dynamic Host Configuration Protocol) :

Le serveur DHCP automatise l'attribution des adresses IP aux clients du réseau :

1. Navigation vers Services → DHCP Server

2. Configuration pour le LAN :

• Plage d'adresses : [Link] à [Link]

• Serveur DNS : [Link] (pfSense lui-même)
• Passerelle par défaut : [Link]

3. Configuration pour la DMZ (optionnel) :

• Plage d'adresses : [Link] à [Link]

• Serveur DNS : [Link]
• Passerelle par défaut : [Link]

Test du DHCP : les machines configurées en DHCP (Windows Server, Kali) obtiennent
automatiquement une adresse IP dans la plage définie au démarrage.

25
26
 Captures 8 : Configuration du serveur DHCP pour LAN et DMZ

 Service DNS (Domain Name System):

pfSense peut fonctionner comme résolveur DNS pour le réseau :

1. Navigation vers Services → DNS Resolver (ou DNS Forwarder

selon préférence)
2. Activation du service
3. Configuration :

• Interfaces d'écoute : All (LAN, DMZ, etc.)

• Mode de redirection : vers les serveurs DNS publics à l’instar de la [Link]
• Cache DNS activé pour améliorer les performances

Avantage : centralisation de la résolution DNS avec possibilité de filtrage et de mise en

cache.

 Service NTP (Network Time Protocol):

27
La synchronisation temporelle est cruciale pour les journaux système et la corrélation
d'événements :

1. Navigation vers Services → NTP

2. Activation du serveur NTP

3. Configuration :

Serveurs NTP en amont : [Link]

Interfaces : LAN et DMZ pour que les clients puissent synchroniser leur horloge

4. Vérification : Status → NTP affiche l'état de synchronisation

Test : les clients configurés pour utiliser [Link] comme serveur NTP synchronisent
correctement leur horloge.

28
Capture 9 : Services DNS et NTP activés et configurés

29
 4.7 Surveillance et inspection du trafic avec Packet Capture

L'outil Packet Capture intégré à pfSense permet de capturer et d'analyser le trafic réseau en
temps réel, facilitant ainsi le diagnostic et la vérification du filtrage.

Configuration d'une capture de paquets :

1. Navigation vers Diagnostics → Packet Capture

2. Configuration de la capture :

• Interface : DMZ (pour observer le trafic de la zone démilitarisée)

• Protocol : Any (tous les protocoles) ou TCP pour capturer uniquement le
trafic HTTP
• Host Address : adresse IP spécifique à surveiller, la machine Kali par
exemple
• Port : 80 (HTTP) ou laisser vide pour tout capturer

3. Démarrage de la capture : bouton "Start"

4. Génération de trafic depuis Kali (ping, curl, etc.)

5. Arrêt de la capture : bouton "Stop"

6. Analyse des résultats : affichage détaillé des paquets capturés avec en-têtes et données

30
 Capture 10 : Configuration de Packet Capture pour l'interface DMZ

 Analyse du trafic bloqué :

Lors d'une tentative de connexion bloquée par le pare-feu (par exemple ping depuis DMZ
vers Internet sans règle autorisant ICMP), Packet Capture montre :

• Les paquets ICMP Echo Request envoyés depuis Kali

31
 • Absence de paquets de réponse (Echo Reply)
• Ou présence de paquets RST (reset) si la connexion TCP est explicitement refusée

Cette visualisation confirme que le pare-feu intercepte bien le trafic non autorisé.

Capture 11 : Packet Capture montrant du trafic bloqué (ICMP ou autre)

 Analyse du trafic autorisé :

Lors de l'accès HTTP depuis DMZ vers le serveur IIS du LAN (après création de la règle
autorisant le port 80), Packet Capture affiche :

Paquets TCP SYN (initiation de connexion) depuis Kali vers Windows Server

Paquets TCP SYN-ACK en réponse (acceptation de connexion)

Paquets TCP ACK (établissement de la connexion)

Échange de données HTTP (requête GET, réponse avec code 200 OK)

Paquets TCP FIN (fermeture propre de la connexion)

32
Cette séquence complète confirme que la règle de pare-feu fonctionne correctement et que le
trafic HTTP est autorisé à traverser pfSense.

Capture 12 : Packet Capture montrant le trafic HTTP autorisé (port 80)

Utilisation de Packet Capture pour le diagnostic :

Packet Capture s'avère particulièrement utile pour :

Vérifier que les règles de pare-feu fonctionnent comme prévu

Identifier la source de problèmes de connectivité

Analyser les tentatives d'accès non autorisées

Confirmer le bon fonctionnement des services réseau (DHCP, DNS)

Former les étudiants à l'analyse de trafic réseau et aux protocoles TCP/IP

4.8 Vérifications finales et tableau de résultats

À l'issue de ce TP, une série de tests de validation a été effectuée pour confirmer le bon
fonctionnement de l'infrastructure :

33
Test effectué Résultat attendu Résultat obtenu Statut

Ping DMZ → pfSense ([Link]) Réponse ICMP ✓ Réponse OK ✓ Validé

Ping DMZ → LAN (Windows Server) Bloqué par défaut ✓ Bloqué ✓ Validé

Ping LAN → pfSense ([Link]) Réponse ICMP ✓ Réponse OK ✓ Validé

Accès HTTP DMZ → LAN (après règle) Page IIS affichée ✓ Page IIS OK ✓ Validé

Ping DMZ → Internet Bloqué par défaut ✓ Bloqué ✓ Validé

Attribution DHCP LAN IP dans [Link]-200 ✓ IP attribuée ✓ Validé

Attribution DHCP DMZ IP dans [Link]-50 ✓ IP attribuée ✓ Validé

Résolution DNS depuis LAN Noms résolus via pfSense ✓ Résolution OK ✓ Validé

Synchronisation NTP Clients synchronisés ✓ Horloge OK ✓ Validé

Packet Capture trafic bloqué Paquets visibles sans réponse ✓ Visible ✓ Validé

Packet Capture trafic autorisé Échange complet visible ✓ Visible ✓ Validé

34
 Capture 13 : Tableau de bord pfSense montrant l'état général du système

Ces tests confirment que l'ensemble de l'infrastructure fonctionne conformément aux

objectifs du TP :
Segmentation réseau effective, filtrage opérationnel, services réseau actifs et outils de
monitoring fonctionnels.

4.9 Centralisation et analyse des logs vers une vm SOC Debian,

Visualisation sur un Dashboard web

 Configuration de l’envoi des logs

pfSense a été configuré pour envoyer ses journaux de sécurité via le protocole Syslog vers
une machine distante. Cette configuration permet de centraliser les logs sur une machine
dédiée à l’analyse.

Les logs sont envoyés via le port UDP 514, qui est le port standard utilisé par le protocole
Syslog.

35
 Capture 14 :Configuration pfsense pour l'envoie des logs via le protocole UDP sur le port 514

 Réception des logs sur la machine Debian

Sur la machine Debian, le service Syslog a été configuré pour écouter sur le port UDP 514 et
recevoir les journaux envoyés par pfSense. Les logs sont stockés dans un fichier système
dédié, permettant leur consultation et leur traitement ultérieur.

La bonne réception des logs a été vérifiée en générant du trafic réseau et en observant
l’apparition des entrées correspondantes dans les fichiers de logs.

36
 Capture 15 : Terminal Debian montrant les logs en temps réel provenant de pfSense

 Traitement et exploitation des logs

• Analyse et parsing des logs

Un script Python a été développé afin d’analyser les logs générés par pfSense. Ce script
permet d’extraire les informations essentielles telles que l’action effectuée (PASS ou
BLOCK), le protocole utilisé (TCP, UDP ou ICMP) et l’adresse IP source.

Capture 16 : Script Python ouvert depuis nano et utilisé pour parser les logs

37
Les données extraites sont ensuite regroupées sous forme de statistiques afin de faciliter leur
exploitation.

• Mise en place de l’API

Une API REST a été développée à l’aide du framework Flask. Cette API expose les
statistiques issues de l’analyse des logs sous un format JSON, ce qui permet une exploitation
simple et dynamique par une interface web.

L’API fonctionne en temps réel en lisant les logs système et en mettant à jour les données à
chaque requête.

 Mise en place du dashboard de supervision

Un tableau de bord web a été développé à l’aide des technologies HTML, CSS et JavaScript.
Ce Dashboard permet de visualiser de manière claire et dynamique les informations issues
des logs pfSense.

Le tableau de bord affiche notamment :

• Le nombre de connexions autorisées et bloquées

• La répartition du trafic par protocole

• Les statistiques globales du trafic réseau

38
• Les adresses IP les plus fréquemment bloquées

• Des alertes visuelles en cas de trafic bloqué élevé

La mise à jour des données est effectuée automatiquement, permettant une supervision
continue du réseau.

 Analyse des résultats

L’analyse des données affichées sur le tableau de bord montre une distinction claire entre le
trafic autorisé et le trafic bloqué. Les connexions bloquées concernent principalement des

39
requêtes non autorisées ou des tentatives de communication ne respectant pas les règles
définies sur le pare-feu.

Ce système de supervision permet d’identifier rapidement les comportements anormaux et de

mieux comprendre la nature du trafic circulant sur le réseau.

40
 CONCLUSION

Au terme de ce travail pratique, nous avons pu mettre en œuvre avec succès un pare-feu
pfSense afin de sécuriser et contrôler un réseau informatique virtualisé. L’installation et la
configuration de pfSense ont permis de créer une architecture réseau structurée comprenant
un réseau local (LAN) et une zone démilitarisée (DMZ), chacune disposant de règles de
sécurité adaptées à son rôle. Les différentes règles de filtrage configurées ont démontré
l’efficacité du pare-feu dans le contrôle des flux réseau, en autorisant uniquement le trafic
nécessaire (comme l’accès HTTP vers un serveur IIS) et en bloquant les communications non
autorisées. L’activation des services réseau tels que le DHCP, le DNS et le NTP a également
facilité la gestion et le bon fonctionnement des machines clientes. Par ailleurs, l’utilisation
des outils de monitoring et d’inspection du trafic, notamment Packet Capture, a permis
d’analyser en temps réel les paquets autorisés et bloqués, offrant ainsi une meilleure visibilité
sur le comportement du réseau.

41
 BIBLIOGRAPHIE

• Cours de Firewall B3 de M. Berlin DJIONANG

• NETGATE. pfSense Documentation. Netgate Inc., documentation en ligne officielle.
• STALLINGS, William. Network Security Essentials: Applications and Standards.
Pearson Education.
• TANENBAUM, Andrew S., WETHERALL, David J. Computer Networks. Pearson
Education.
• KUROSE, James F., ROSS, Keith W. Computer Networking: A Top-Down Approach.
Pearson.
• COMER, Douglas E. Internetworking with TCP/IP. Pearson Education.
• FREEBSD FOUNDATION. FreeBSD Handbook.

42
 WEBOGRAPHIE

• Netgate – Documentation officielle pfSense :

[Link]
• Site officiel pfSense :
[Link]
• FreeBSD Project – Documentation officielle :
[Link]
• VMware – Documentation sur la virtualisation :
[Link]
• Kali Linux – Documentation officielle :
[Link]
• Microsoft Learn – Windows Server & IIS :
[Link]

43
 LISTES DES IMAGES

Captures 1 : Écran de création de la VM pfSense dans VMware ............................................

Capture 2 : Écran final de pfSense après installation, affichant les adresses IP LAN et
WAN ........................................................................................................................................
Capture 3 : Interface DMZ activée avec son adresse IP [Link]/24 .................................
Capture 4 : Commandes ip a depuis Kali Linux dans la DMZ ................................................
Capture 5 : Tentatives de ping et d'accès HTTP bloquées depuis la DMZ et Server IIS
Configuré depuis la VM Windows Server 2019 ......................................................................
Capture 6 : Règle de pare-feu autorisant DMZ → LAN sur le port HTTP (80) ......................
Captures 7 : Commande curl réussie affichant la page IIS et Via navigateur Web ..... Error!
Bookmark not defined.
Captures 8 : Configuration du serveur DHCP pour LAN et DMZ ..........................................
Capture 9 : Services DNS et NTP activés et configurés ..........................................................
Capture 10 : Configuration de Packet Capture pour l'interface DMZ .....................................
Capture 11 : Packet Capture montrant du trafic bloqué (ICMP ou autre) ...............................
Capture 12 : Packet Capture montrant le trafic HTTP autorisé (port 80) ................................
Capture 13 : Tableau de bord pfSense montrant l'état général du système

44
 TABLE DE MATIERE
SOMMAIRE .............................................................................................................................. 1
GLOSSAIRE .............................................................................................................................. 3
INTRODUCTION ..................................................................................................................... 4
I. Introduction aux pares-feux ................................................................................................ 5
1.1 Définition et rôle dans la sécurité des réseaux ................................................................. 5
1.2 Les différents types de pare-feu ....................................................................................... 5
1.3 Importance dans un réseau d'entreprise ou d'études ........................................................ 6
II. Exemples de pare-feu ......................................................................................................... 7
2.1 Cisco ASA (Adaptive Security Appliance) ..................................................................... 7
2.2 pfSense ............................................................................................................................. 7
2.3 Fortinet FortiGate ............................................................................................................. 8
2.4 Sophos XG Firewall ......................................................................................................... 9
2.5 OPNsense ....................................................................................................................... 10
III. Présentation de pfSense ................................................................................................ 11
3.1 Définition et origine ....................................................................................................... 11
3.2 Fonctionnalités principales ........................................................................................ 11
3.3 Pourquoi pfSense est utilisé pour les TP et la formation réseau ? ............................ 12
IV. Implémentation et Configuration d’un réseau avec pfSense comme Pare-Feu ............ 13
4.1 Contexte et environnement technique ............................................................................ 13
4.2 Installation et configuration de pfSense .................................................................... 14
4.3 Configuration des interfaces supplémentaires Ajout de l'interface DMZ (OPT1) .... 17
4.4 Intégration de pfSense dans le réseau physique ........................................................ 18
4.5 Configuration des règles de pare-feu et filtrage ........................................................ 20
4.6 Installation et configuration des services réseau ........................................................ 25
4.7 Surveillance et inspection du trafic avec Packet Capture ......................................... 30
CONCLUSION ........................................................................................................................ 41
BIBLIOGRAPHIE ................................................................................................................... 42
WEBOGRAPHIE..................................................................................................................... 43
LISTES DES IMAGES ............................................................................................................ 44

45