Category: Réseaux

Configuration DMZ dans pfSense

Oleksandr

Dans le tutoriel précédent, nous avons créé plusieurs VLANs avec pfSense pour séparer les usages du réseau.
Aujourd’hui, on passe à l’étape suivante : ajouter une DMZ et y tester l’accès à un serveur web (un Raspberry Pi sous NGINX).
À quoi sert la DMZ, en vrai ? À exposer ce qui doit l’être sans donner de passe-droit au reste du réseau. On y place typiquement un site web, un serveur mail, un reverse proxy ou un petit service maison. Si l’un de ces services est mal configuré ou compromis, il reste enfermé dans la DMZ : pas d’accès direct aux postes, partages de fichiers, sauvegardes, ni aux autres VLANs. On obtient ainsi un espace « vitrine sur l’extérieur » contrôlé, idéal pour publier un service tout en gardant le cœur du réseau au frais.
Pour rendre la tâche plus difficile, nous n’allons pas simplement ajouter un VLAN de plus, mais couper un VLAN existant et réserver une partie de ses adresses pour cette zone. Concrètement, nous allons scinder le VLAN20 en deux sous-réseaux /27 :

  • la moitié basse 172.16.1.64/27 devient VLAN100_DMZ (passerelle 172.16.1.65),
  • la moitié haute 172.16.1.96/27 reste le VLAN20 (passerelle 172.16.1.97).

Le Raspberry Pi recevra une IP fixe en DMZ et sera joignable depuis le WAN grâce à un NAT sur les ports 80/443, tandis que le LAN et les autres VLANs resteront invisibles depuis cette zone. Continue reading

Configuration VLAN sur pfSense

Oleksandr

Dans le tutoriel précédent, je vous ai montré comment réaliser la configuration initiale de pfSense en mode graphique, avec quelques notions de dépannage et de configuration en mode texte.

Aujourd’hui, nous allons passer à l’étape suivante : la mise en place de VLANs sur pfSense.

Pourquoi est-ce important ? Parce qu’un réseau unique où tout le monde est mélangé n’est ni pratique ni sécurisé. Les VLAN permettent de diviser le réseau en segments logiques (IT, comptabilité, employés, etc.) et d’appliquer des règles de sécurité adaptées à chaque usage.

Avec cette approche, il est aussi possible de créer une zone DMZ pour héberger des serveurs accessibles depuis Internet, ou encore un réseau séparé pour les clients/visiteurs, totalement isolé du réseau de l’entreprise. Tout cela peut fonctionner en utilisant un seul port LAN de pfSense, à condition de le relier à un switch L2 capable de gérer le 802.1Q (VLAN tagging).

C’est une fonctionnalité qu’on retrouve dans toutes les entreprises, mais qui peut être tout aussi utile dans une petite structure ou même dans un labo d’apprentissage.

Et surtout, dans ce tutoriel je vais utiliser pfSense, une solution open source qui joue le rôle de routeur/pare-feu professionnel — une excellente alternative gratuite face aux solutions propriétaires comme Cisco.

Continue reading

Configuration initiale de pfSense en CLI

Oleksandr

Dans ce tutoriel, je vais vous montrer comment configurer pfSense directement depuis l’écran en mode texte.
Cette méthode est utilisée lorsqu’un écran et un clavier sont branchés à la machine pfSense, juste après l’installation, avant même d’accéder à l’interface graphique.

En réalité, comme on y accède avec un écran et un clavier, il s’agit du menu TUI (Text User Interface) proposé par pfSense.

C’est une étape essentielle à connaître : même si l’interface web n’est pas encore disponible, la console permet de réaliser toute la configuration de base.
Nous allons également voir comment ajouter et assigner une nouvelle carte réseau, une opération courante lors de la mise en place d’un firewall physique.
En bref, nous allons regarder comment :
– assigner correctement les interfaces WAN et LAN,
– définir une adresse IP pour le LAN,
– activer le serveur DHCP afin que les postes du réseau reçoivent automatiquement une adresse,
– et configurer le DNS pour avoir accès à Internet (Cette dernière étape se fait plus facilement via le GUI.)

Continue reading

Configurer une adresse IP statique sur Raspberry Pi (nmcli)

Oleksandr

Même si votre Raspberry Pi tourne sous Raspberry Pi OS “Bookworm” (Debian 12), la méthode « classique » de Debian pour fixer une IP ne s’applique plus telle quelle, tout comme la méthode utilisée sur les anciennes versions de Raspbian.

Il y a quelque temps, j’ai rédigé un tutoriel pour Raspbian Jessie (Debian 8) : on y utilisait le démon dhcpcd et l’on modifiait /etc/dhcpcd.conf (le fichier /etc/network/interfaces n’étant déjà plus employé directement). Cette approche reste valable pour les anciens systèmes.

Aujourd’hui, l’outillage a évolué :
Debian “classique” : configuration souvent via /etc/network/interfaces.

Debian Desktop (GNOME, KDE, XFCE, etc.) : gestion assurée par NetworkManager, comme sur les distributions modernes.
Raspberry Pi OS Bookworm : gestion assurée par NetworkManager, à piloter en ligne de commande avec nmcli.
• Et ce n’est pas propre au Raspberry Pi : Ubuntu Desktop, Fedora, Red Hat Enterprise Linux (RHEL 7+), CentOS, AlmaLinux, RockyLinux, openSUSE, Arch/Manjaro, Linux Mint, Pop!_OS utilisent aussi NetworkManager par défaut.

👉 Cela signifie que pour changer une adresse IP, on utilise plutôt des outils comme nmcli (la ligne de commande de NetworkManager).

Bien sûr, en interface graphique, la configuration se fait en quelques clics. Mais en SSH ou en ligne de commande, c’est plus instructif et reproductible.

Dans ce nouveau tutoriel, je vous montre pas à pas comment attribuer une adresse IP statique sur un Raspberry Pi 4 sous Raspberry Pi OS Bookworm, en utilisant la méthode moderne basée sur NetworkManager/nmcli.

Continue reading

Configuration du Routage Inter-VLAN avec un Switch L3

Oleksandr

Le routage inter-VLAN est une méthode essentielle permettant à des équipements situés dans différents VLAN de communiquer entre eux. Dans un précédent tutoriel, j’ai expliqué comment configurer le routage inter-VLAN en utilisant la méthode Router-on-a-Stick, où un routeur est utilisé pour gérer la communication entre les VLANs. Cependant, cette approche peut parfois engendrer un goulot d’étranglement, car tout le trafic inter-VLAN passe par une seule interface physique.
Une alternative plus efficace est d’utiliser un switch de niveau 3 (L3), qui intègre des fonctionnalités de routage comme un routeur traditionnel, mais avec des performances améliorées grâce au traitement matériel du trafic. Dans ce tutoriel, nous allons voir comment configurer le routage inter-VLAN avec un switch L3 en utilisant Cisco Packet Tracer.

Remarque : la configuration présentée ici est volontairement minimale afin d’illustrer le principe. Dans un environnement de production, il est indispensable de renforcer la sécurité et de configurer vos switches de manière appropriée.

Continue reading

Créer un hotspot Kali Linux sur Raspberry Pi

Oleksandr

Dans ce guide pratique, je vais vous expliquer comment transformer facilement un Raspberry Pi 4 en un véritable point d’accès Wi-Fi sous Kali Linux.

  • Cette configuration peut être très utile dans de nombreux scénarios :
  • Créer un réseau Wi-Fi temporaire pour partager une connexion Internet
  • Isoler un réseau pour des tests ou des démonstrations
  • Monter un laboratoire de cybersécurité pour pratiquer le MITM ou le déploiement de Captive Portals
  • Offrir un réseau privé dans un endroit sans routeur

Dans mon cas, j’ai utilisé un Raspberry Pi 4 avec Kali Linux 64-bit (release 2024-12-03).
Continue reading

Libérer de l’espace disque sur pfSense

Oleksandr

Avec le temps, même les systèmes bien entretenus comme pfSense finissent par accumuler des fichiers inutiles. Ce n’est pas toujours visible, mais chaque mise à jour du pare-feu peut laisser derrière elle une copie complète de l’ancien système, appelée environnement de démarrage. Au bout de quelques mois, ces copies s’empilent et occupent une part importante de l’espace disque.
Dans mon cas, j’utilise un Netgate SG-2100 Security Gateway équipé de pfSense. C’est un excellent appareil, fiable et performant, mais comme tout système ZFS, il n’est pas à l’abri d’un remplissage progressif du disque par des environnements anciens devenus obsolètes.
Un jour, vous vous connectez à l’interface et découvrez que plus de la moitié du disque est déjà utilisé. Vous vous dites que ce n’est pas si grave… jusqu’au moment où la prochaine mise à jour échoue, ou que les journaux systèmes ne peuvent plus être enregistrés. Dans certains cas, un simple fichier de log peut provoquer un comportement instable ou un redémarrage raté.
Dans ce tutoriel, je vous montre comment retrouver de l’espace disque sans danger, directement depuis l’interface web de pfSense. Aucune ligne de commande complexe, aucune manipulation risquée : vous allez reprendre le contrôle de votre système en quelques minutes.

Continue reading

Configuration de SSH sur un switch Cisco Catalyst 2950/2960

Oleksandr

Bien qu’anciens et désormais dépassés pour les environnements professionnels, les switches Cisco Catalyst 2950/2960 conservent une place importante dans la formation en réseautique. Leur compatibilité avec Cisco Packet Tracer ainsi que leur interface de configuration IOS en font des outils pédagogiques idéaux pour apprendre les bases de la gestion des équipements Cisco.
Le protocole SSH (Secure Shell) permet une connexion sécurisée à un équipement réseau via le terminal. Contrairement à Telnet, SSH chiffre les données échangées, y compris les identifiants, ce qui le rend adapté à une utilisation en production et recommandé dans tous les environnements.

Dans ce tutoriel, nous allons configurer l’accès SSH sur un switch Cisco Catalyst 2950/2960.
Avant de commencer, connectez-vous au switch avec un câble console à l’aide de PuTTY, MobaXterm, Termius ou un terminal Linux.
Dans ce tutoriel, j’utiliserai mon propre réseau à titre d’exemple, mais vous pouvez bien sûr adapter les adresses IP en fonction de la configuration de votre environnement.

Continue reading

Configuration de Port Forwarding pour NAT dans Proxmox

Oleksandr

Dans notre précédent tutoriel intitulé “Création d’un Réseau Interne avec NAT dans Proxmox”, nous avons appris à isoler des machines virtuelles ou des conteneurs du réseau externe tout en leur permettant d’accéder à Internet via NAT. Cependant, il est parfois nécessaire d’accéder à ces machines depuis l’extérieur pour la gestion à distance (SSH), le transfert de fichiers, ou encore pour tester des services internes. Pour ce faire, nous allons utiliser le port forwarding sur Proxmox.
Ce tutoriel vous guidera à travers les étapes de configuration du port forwarding et expliquera comment le désactiver en modifiant les règles d’iptables.
Pour chaque machine virtuelle dans le réseau interne, il est recommandé de configurer un port différent pour éviter les conflits. Dans cet exemple, nous utiliserons le port 1022 pour la VM ayant l’adresse IP 172.16.2.10.

Continue reading

Commande dig

Oleksandr

Avez-vous déjà réfléchi à ce qui se passe lorsque vous tapez une adresse comme google.com dans votre navigateur ? Comment votre ordinateur sait-il où envoyer votre requête ? Derrière cette magie apparente se cache un acteur clé : le DNS (Domain Name System), souvent surnommé “l’annuaire d’Internet”.
Pour comprendre et diagnostiquer ce monde invisible, il existe un outil simple mais extrêmement puissant : dig (Domain Information Groper). Que vous soyez un étudiant curieux, un administrateur système débutant ou un passionné de réseaux, apprendre à utiliser dig vous ouvrira les portes du fonctionnement d’Internet.
Dans ce tutoriel, je vais vous montrer comment installer et utiliser dig, un outil puissant pour interroger les serveurs DNS, analyser leurs réponses, et résoudre des problèmes réseau. En utilisant dig, vous découvrirez comment Internet localise les services que nous utilisons quotidiennement.

Continue reading