Aller au contenu principal

pfSense

Vue d'ensemble​

pfSense est un routeur/pare-feu open source basé sur FreeBSD et entièrement configurable via une interface Web.

Le connecteur de supervision Centreon pfSense permet de récupérer le status des interfaces réseaux ainsi que les informations sur le nombre de packets différents par secondes par l'intermédiaire du protocole SNMP.

Contenu du connecteur de supervision​

Objets supervisés​

  • pfSense firewall

Métriques collectées​

Metric nameDescriptionUnit
pfinterface.pass.traffic.in.bitspersecondTraffic in Passb/s
pfinterface.pass.traffic.out.bitspersecondTraffic out Passb/s
pfinterface.block.traffic.in.bitspersecondTraffic in Blockb/s
pfinterface.block.traffic.out.bitspersecondTraffic out Blockb/s

Prérequis​

Configuration du parefeu pfSense​

Afin de superviser le pare-feu pfSense, le SNMP v2 ou v3 doit être configuré comme indiqué sur la documentation officielle fournie par Netgate: https://docs.netgate.com/pfsense/en/latest/services/snmp.html

Flux réseaux​

La communication doit être possible depuis le collecteur Centreon vers le port SNMP (UDP/161) du serveur Kaspersky Security Center.

Installation​

  1. Installer le Plugin sur tous les collecteurs Centreon devant superviser un pare-feu pfSense :
yum install centreon-plugin-Network-Firewalls-Pfsense-Snmp
  1. Sur l'interface Web de Centreon, installer le connecteur de supervision pfSense depuis la page Configuration > Gestionnaire de connecteurs de supervision

Configuration​

Hôte​

  • Ajoutez un nouvel Hôte depuis la page "Configuration > Hôtes".

  • Complétez les champs "Nom","Alias" & "IP Address / DNS" correspondant à votre pare-feu pfSense

  • Appliquez le Modèle d'Hôte Network-Firewalls-Pfsense-Snmp-custom

Si vous utilisez SNMP en version 3, vous devez configurer les paramètres spécifiques associés via la macro SNMPEXTRAOPTIONS. Plus d'informations dans la section Troubleshooting SNMP.

MandatoryNameDescription
SNMPEXTRAOPTIONSConfigure your own SNMPv3 credentials combo

FAQ​

Comment tester mes configurations et le Plugin en ligne de commande ?​

Une fois le Plugin installé, vous pouvez tester celui-ci directement en ligne de commande depuis un collecteur Centreon en vous connectant avec l'utilisateur centreon-engine :

/usr/lib/centreon/plugins/centreon_pfsense.pl \
--plugin=apps::pfsense::snmp::plugin \
--mode=pfinterfaces \
--hostname='10.0.0.1' \
--snmp-version='2c' \
--snmp-community='my-snmp-community' \
--filter-name='em.*' \
--warning-traffic-in-block='80' \
--warning-traffic-out-block='90' \
--critical-traffic-in-block='80' \
--use-new-perfdata

La commande devrait retourner un message de sortie de la forme ci-dessous :

OK : All pfInterfaes are ok | 'pfinterface.pass.traffic.in.bitspersecond'=43978.08b/s;0:8000000000;0:9000000000;0;10000000000
'pfinterface.pass.traffic.out.bitspersecond'=77012.32b/s;0:8000000000;0:9000000000;0;10000000000
'pfinterface.block.traffic.in.bitspersecond'=33878.08b/s;0:8000000000;0:9000000000;0;10000000000
'pfinterface.block.traffic.out.bitspersecond'=25014.32b/s;0:8000000000;0:9000000000;0;10000000000

Dans cet exemple, une alarme de type WARNING est déclenchée si :

  • La charge de la bande passante passant par l'interface est plus grande que 80% (--warning-traffic-in-block='80')

  • La charge de la bande passante bloquée est plus grande que 80% (--warning-traffic-out-block='80')

Une alarme CRITICAL est quant à elle déclenchée si

  • La charge de la bande passante passant par l'interface est plus grande que 90% (--critical-traffic-in-block='90')

  • La charge de la bande passante bloquée est plus grande que 90% (--critical-traffic-out-block='90')

La liste de toutes les options complémentaires et leur signification peut être affichée en ajoutant le paramètre --help à la commande:

/usr/lib/centreon/plugins/centreon_pfsense.pl \
--plugin=apps::pfsense::snmp::plugin \
--mode=pfinterfaces \
--help

Tous les modes disponibles peuvent être affichés via l'option --list-mode :

/usr/lib/centreon/plugins/centreon_pfsense.pl \
--plugin=apps::pfsense::snmp::plugin \
--list-mode

UNKNOWN: SNMP GET Request : Timeout​

Si vous obtenez ce message, cela signifie le collecteur Centreon ne parvient pas à contacter le pare-feu pfSence sur le port 161 (firewall ou autre équipement en coupure) ou que la communauté SNMP configurée n'est pas correcte.