pfSense
Vue d'ensemble​
pfSense est un routeur/pare-feu open source basé sur FreeBSD et entièrement configurable via une interface Web.
Le connecteur de supervision Centreon pfSense permet de récupérer le status des interfaces réseaux ainsi que les informations sur le nombre de packets différents par secondes par l'intermédiaire du protocole SNMP.
Contenu du connecteur de supervision​
Objets supervisés​
- pfSense firewall
Métriques collectées​
- Blocked-Packets-Per-Interface
- Short-Packets
- Normalize-Packets
- Memory-Dropped-Packets
- Match-Packets
- Fragment-Packets
- Bad-Offset-Packets
| Metric name | Description | Unit |
|---|---|---|
| pfinterface.pass.traffic.in.bitspersecond | Traffic in Pass | b/s |
| pfinterface.pass.traffic.out.bitspersecond | Traffic out Pass | b/s |
| pfinterface.block.traffic.in.bitspersecond | Traffic in Block | b/s |
| pfinterface.block.traffic.out.bitspersecond | Traffic out Block | b/s |
| Metric name | Description |
|---|---|
| packets.short.persecond | The number of short packets per second |
| Metric name | Description |
|---|---|
| packets.normalized.persecond | The number of normalized packets per second |
| Metric name | Description |
|---|---|
| packets.memorydropped.persecond | The number of dropped packets due to memory per second |
| Metric name | Description |
|---|---|
| packets.matched.persecond | The number of matched packets per second |
| Metric name | Description |
|---|---|
| packets.fragmented.persecond | The number of fragmented packets per second |
| Metric name | Description |
|---|---|
| packets.badoffset.persecond | The number of bad offset packets per second |
Prérequis​
Configuration du parefeu pfSense​
Afin de superviser le pare-feu pfSense, le SNMP v2 ou v3 doit être configuré comme indiqué sur la documentation officielle fournie par Netgate: https://docs.netgate.com/pfsense/en/latest/services/snmp.html
Flux réseaux​
La communication doit être possible depuis le collecteur Centreon vers le port SNMP (UDP/161) du serveur Kaspersky Security Center.
Installation​
- Online License
- Offline License
- Installer le Plugin sur tous les collecteurs Centreon devant superviser un pare-feu pfSense :
yum install centreon-plugin-Network-Firewalls-Pfsense-Snmp
- Sur l'interface Web de Centreon, installer le connecteur de supervision pfSense depuis la page Configuration > Gestionnaire de connecteurs de supervision
- Installer le Plugin sur tous les collecteurs Centreon devant superviser un pare-feu pfSense :
yum install centreon-plugin-Network-Firewalls-Pfsense-Snmp
- Install the Centreon connecteur de supervision RPM on the Centreon Central server:
yum install centreon-pack-network-firewalls-pfsense-snmp
- Sur l'interface Web de Centreon, installer le connecteur de supervision pfSense depuis la page Configuration > Gestionnaire de connecteurs de supervision
Configuration​
Hôte​
Ajoutez un nouvel Hôte depuis la page "Configuration > Hôtes".
Complétez les champs "Nom","Alias" & "IP Address / DNS" correspondant à votre pare-feu pfSense
Appliquez le Modèle d'Hôte Network-Firewalls-Pfsense-Snmp-custom
Si vous utilisez SNMP en version 3, vous devez configurer les paramètres spécifiques associés via la macro SNMPEXTRAOPTIONS. Plus d'informations dans la section Troubleshooting SNMP.
| Mandatory | Name | Description |
|---|---|---|
| SNMPEXTRAOPTIONS | Configure your own SNMPv3 credentials combo |
FAQ​
Comment tester mes configurations et le Plugin en ligne de commande ?​
Une fois le Plugin installé, vous pouvez tester celui-ci directement en ligne de commande depuis un collecteur Centreon en vous connectant avec l'utilisateur centreon-engine :
/usr/lib/centreon/plugins/centreon_pfsense.pl \
--plugin=apps::pfsense::snmp::plugin \
--mode=pfinterfaces \
--hostname='10.0.0.1' \
--snmp-version='2c' \
--snmp-community='my-snmp-community' \
--filter-name='em.*' \
--warning-traffic-in-block='80' \
--warning-traffic-out-block='90' \
--critical-traffic-in-block='80' \
--use-new-perfdata
La commande devrait retourner un message de sortie de la forme ci-dessous :
OK : All pfInterfaes are ok | 'pfinterface.pass.traffic.in.bitspersecond'=43978.08b/s;0:8000000000;0:9000000000;0;10000000000
'pfinterface.pass.traffic.out.bitspersecond'=77012.32b/s;0:8000000000;0:9000000000;0;10000000000
'pfinterface.block.traffic.in.bitspersecond'=33878.08b/s;0:8000000000;0:9000000000;0;10000000000
'pfinterface.block.traffic.out.bitspersecond'=25014.32b/s;0:8000000000;0:9000000000;0;10000000000
Dans cet exemple, une alarme de type WARNING est déclenchée si :
La charge de la bande passante passant par l'interface est plus grande que 80% (--warning-traffic-in-block='80')
La charge de la bande passante bloquée est plus grande que 80% (--warning-traffic-out-block='80')
Une alarme CRITICAL est quant à elle déclenchée si
La charge de la bande passante passant par l'interface est plus grande que 90% (--critical-traffic-in-block='90')
La charge de la bande passante bloquée est plus grande que 90% (--critical-traffic-out-block='90')
La liste de toutes les options complémentaires et leur signification
peut être affichée en ajoutant le paramètre --help à la commande:
/usr/lib/centreon/plugins/centreon_pfsense.pl \
--plugin=apps::pfsense::snmp::plugin \
--mode=pfinterfaces \
--help
Tous les modes disponibles peuvent être affichés via l'option
--list-mode :
/usr/lib/centreon/plugins/centreon_pfsense.pl \
--plugin=apps::pfsense::snmp::plugin \
--list-mode
UNKNOWN: SNMP GET Request : Timeout​
Si vous obtenez ce message, cela signifie le collecteur Centreon ne parvient pas à contacter le pare-feu pfSence sur le port 161 (firewall ou autre équipement en coupure) ou que la communauté SNMP configurée n'est pas correcte.