[Thread ufficiale] pfSense Firewall

[Abalfor]

ho visto che ci sono una distro a 32 bit ed un'altra per amd 64. il codice è stato ottimizzato e ci sono evidenti benefici ad installarlo su una macchina con cpu amd64?

[Likn'_ùs]

Non credo ci sia molta differenza.. pfSense gira di per sè su hardware ridicoli.. la potenza di calcolo della cpu va ad influenzare solamente la capacità di trasmissione.. 32/64bit influenza la quantità di RAM maggiormente.. ma anche qui si ritorna al discorso di prima.. qui trovi la pagina ufficiale sull'hardware.. magari spulciando trovi maggiori info sulla versione a 64bit..

Tutto questo imho.. spero di non aver sparato una cavolata! In caso, scusami! : )

[malatodihardware]

Confermo quanto sopra, al momento non conviene installare 64bit principalmente perchè non tutti i pacchetti sono compatibili.

@Likn'_ùs: Sì, il watchguard l'ho vinto ad un asta sulla baia (mi sembra sui 100 Euro - il prezzo medio però è un pò più alto, tra i 150 e i 200) e poi l'ho moddato un pò per adattarlo alle mie esigenze, tra le vendite UK e DE se si ha pazienza di aspettare viene via a buon prezzo

[Likn'_ùs]

Preferisco avere un hypervisor che mi virtualizzi qualsiasi cosa in casa!
Se non vado errando il 750e usa socket 775, quindi mi sa che consuma un bel po'!

Non ho ancora risolto il problema con la mia configurazione.. domani provo un altro approccio!

EDIT
Ho provato a mettere il router in bridge mode.. ma ancora nulla!

[Likn'_ùs]

FUNZIONAAA! : )
Ieri ho fatto l'errore più nabbo che si potesse fare.. lol


In definitiva.. ora riesco ad accedere alla webConfigurator GUI di pfSense.. usando una macchina Windows 7 con un solo NIC e simulandone un'altro con Microsoft Loopback Adapter.

Ora sto installando un distro linux su un'altra VM.. appena finisco di scaricare settare il tutto, forzo windows a convogliare il traffico dati via pfSense virtualizzato, e poi vi aggiornerò definitivamente se si può fare - e se si, come ho risolto l'errore! : )

EDIT
P.s.: scusate per i due post di fila, ma visto le ore passate, ho preferito uppare il 3d e non editare il messaggio precedente! : )

EDIT2
Riesco ad accedere alla webGUI.. ma non appena disattivo IPv4 del NIC fisico da W7 per attivare IPv4 di M.Loopback non riesco più a connettermi ad internet dal browser.. anche se pingando google.com dalla VM con su pfSense risulta che sono connesso normalmente..!
Dovrò testare ancora un po'!

La prima occhiata alle impostazioni di pfSense.. :o
Mio dio.. ci si può far veramente di tutto!!!

[Art83]

ragazzi, ho bisogno di aiuto nel configurare per la prima volta questo firewall per la mia azienda!

la mia situazione è questa:

ho un albergo e utilizzo 2 server per tutto ciò che mi serve:

SERVER 1 - vmware esxi con installate 2 macchine virtuali Windows 2011 SBS standard (controlled di dominio, active directory ed exchange per la posta) + Windows 2012 standard per remote desktop services (pacchetto office + programma gestionale hotel)

SERVER 2 - windows xp professional con software hot-spot per far collegare i clienti dell'albergo

PC 3 - pfsense

----------------------------------------------------------------------------------------

le cose che vorrei configurare sono fondamentalmente 3:

1 - failover (o meglio, balancing + failover)
utilizzare la wan1 (telecom) per me e la opt1 (fastweb) per il Server 2 dedicato ai clienti + alla webcam ip che manda le immagini in streaming sul sito internet
naturalmente in caso di down di una delle 2 wan, l'altra si prenderebbe il carico di tutte e due!!
-----------------------------------------------------------------------------------

2 - antispam (postfix + mailscanner + squid) pacchetti che ho installato
antispam per 3 caselle postali exchange di 3 account utente diversi
-----------------------------------------------------------------------------------

3 - antivirus http
abilitare l'antivirus http almeno per la wan1 (telecom) che utilizzerei io!

nn so veramente da dove iniziare, spero che possiate darmi una mano voi a cominciare a configurare il firewall!!

grazie a tutti!!

[malatodihardware]

Ciao, innanzitutto premetto che le funzionalità che chiedi non sono tra le più semplici di pfSense (almeno stai evitando il QOS che forse è il peggiore ).

In ogni caso ti consiglio di partire dalle guide nella documentazione pfSense:
Punto 1 -> https://doc.pfsense.org/index.php/Multi-WAN_2.0
Punto 3 -> https://doc.pfsense.org/index.php/HA...Virus_Scanning

Per il Punto 2 purtroppo non c'è niente di pronto.
Personalmente partirei dal punto 1 che non è impossibile ed è anche IMHO il più facilmente raggiungibile.

Se hai qualche problema specifico possiamo provare a capire, ma fare tutta la configurazione su un forum è un pò un problema..

[Art83]

grazie dell'intervento!!

punto 1 configurato perfettamente e funzionante!!
ora passo al punto 3, come suggerito da te e vedo di fare anche quello!!

speriamo che poi con il punto 2 vada tutto bene!

EDIT: configurato anche antivirus in trasparent mode (in modo da non utilizzare squid) e anche questo funziona alla grande!!!

[malatodihardware]

Bene dai, vedi che non è poi tanto peggio di Endian..

Inviato dal mio Nexus 5 con Tapatalk

[Art83]

Quote:

Originariamente inviato da malatodihardware

Bene dai, vedi che non è poi tanto peggio di Endian..

Inviato dal mio Nexus 5 con Tapatalk

pensavo che andasse bene, ma sto iniziando a vedere degli errori!!

in pratica la situazione è la seguente:
WAN1 - telecom
OPT1 - fastweb
LAN - rete lan

con le 2 adsl ho creato 3 gruppi sotto System: Gateway Groups:
Gruppo 1 - balancing con entrambe le adsl su tier1
Gruppo 2 - telecom tier1 e fastweb tier2 failover telecom
Gruppo 3 - telecom tier2 e fastweb tier1 failover fastweb

ho poi inserito in System: Gateways (all'interno del menù di ogni adsl), il monitor ip (il dns di ogni linea)

poi in Firewall: Rules --> LAN ho forzato il monitor ip di telecom a uscire con l'adsl telecom e il monitor ip fastweb ad uscire con l'adsl fastweb.

ultimo passo, sempre in Firewall: Rules --> LAN ho inserito la regola che tutte le rischieste verso l'esterno usassero il loadbalancing.

all'inizio funzionava bene, dato che andando sul sito mio-ip, a volte mi faceva vedere l'ip di telecom e a volte quello di fastweb (loadbalancing ROUND ROBIN), ora invece, a distanza di qualche ora mi esce sempre e solo con la adsl di fastweb. non c'è verso di fare altro!!

eppure in Status: Gateways entrambe le connessioni sono in verde (online).

come ultima prova, se provo a staccare il doppino di fastweb (quindi hag acceso, ma senza linea) la connessione relativa a fastweb diventa rossa (offline) e mi esce con telecom!

come risolvo??

[malatodihardware]

Hai percaso attivato "Sticky connections" negli advanced settings?

In ogni caso potrebbe essere che in caso di linee scariche scelga sempre la route che ritiene migliore, prova con un donwload manager o con un torrent di una distro linux: riesci a saturare entrambe le linee? Se sì non mi preoccuperei troppo del test dell'IP.

In ogni caso per il traffico criptato (HTTPS\SMTPS etc..) devi creare un'apposita regola per uscire sempre su una WAN, perchè il loadbalancing dà problemi visto che cambi IP con la sessione criptata aperta.

[Art83]

domani controllo se ho attivato quella opzione, e faccio la prova con il download manager!



se può essere un dettaglio in più aggiungo che se da un qualsiasi pc provo a fare un ping verso la OPT1 (fastweb) funziona sempre e cmq!



se provo a fare un ping verso la WAN1 (telecom), a volte nn va e a volte si!



le volte che va, esco con l'ip di telecom, mentre le volte che non va, oltre che non aprirmi neanche la pagina di configurazione del router, mi esce con fastweb!



per quanto riguarda il traffico criptato, ho già provveduto a reindirizzarlo sempre e solo sulla WAN1 e solo in caso di fail di essa, esce sempre e solo con la OPT1!

EDIT: aggiungo che ho seguito questa guida alla lettere per configurare il punto 1...

http://www.pfsenseitaly.com/2012/09/...e-parte-1.html
http://www.pfsenseitaly.com/2012/10/...e-parte-2.html
http://www.pfsenseitaly.com/2012/10/...e-parte-3.html
Solo che mi da i problemi riportati sopra!!!

[Art83]

credo di aver capito dov'è il problema.....
in pratica, ho creato i 3 gruppi su System: Gateway Groups (gruppo 1 balance, gruppo 2 fail wan1 e gruppo 3 fail opt1).
fin qui tutto ok!
successivamente passo alla sezione Firewall: Rules (sottomenù LAN) e imposto questa configurazione:

interface: lan
protocol: any
source: LAN NET
port: any
destination: any
port: any
gateway: balance
queque: none

FUNZIONA IL BALANCE!!!

poi imposto le regole del traffico criptato (ne metto solo una, per le altre cambia solo la porta):

interface: lan
protocol: any
source: any
port: any
destination: any
port: https
gateway: fail wan1
queque: none

così facendo le porte criptate escono sempre con la stessa connessione. in caso di fail di questa connessione, utilizza sempre l'altra!

IL BALANCE CONTINUA A FUNZIONARE!!

infine configuro il server hotspot per uscire sempre con la connessione opt1 e come failover di opt1 la connessione wan1. lo configuro così:

interface: lan
protocol: any
source: single host or alias
address: xxx.xxx.xxx.xxx/24
port: any
destination: any
port: any
gateway: fail opt1
queque: none

in questo modo se cade la connessione opt1 utilizzerà la wan1, altrimenti va sempre con la stessa!!

Come attivo questa regola, IL BALANCE NON VA PIU', ed esce per tutti i pc con la OPT1!!

come risolvo??

[malatodihardware]

Scusa ma l'hotspot è in lan? Che IP ottengono i client?

Inviato dal mio Nexus 5 con Tapatalk

[Art83]

Hot spot ha 2 porte LAN... Una xxx.xxx.xxx.xxx (uguale alla LAN del firewall e alla LAN di tutti gli altri pc.
Ed una seconda scheda di rete collegata ad uno switch con gli access point... Quest'ultima ha indirizzo yyy.yyy.yyy.yyy (completamente diverso).

Su questo hot spot gira un software che altro nn fa che da:
- dhcp server per i vari clienti
- monitorare i log dei clienti e ributtarli sulla LAN principale!!

Naturalmente quando fa le richieste dei clienti sulla LAN normale, le fa lui stesso e poi le rigira ai vari client!!


Sent from my iPhone using Tapatalk

[Art83]

ora spero vi sia più chiara la situazione!!
vediamo di ricapitolare il tutto:

ho creato il gruppo balance, funziona e non ha problemi!
ho creato le regole che il traffico criptato deve usare il gruppo failover WAN1 (in modo che utilizzi sempre lo stesso ip) e non ci sono problemi
a questo punto, sorgono i problemi:

se imposto il server hotspot ad uscire sul gruppo/gateway failover OPT1, mi ci esce tutta la rete LAN e non solo lui!!
--aggiungo: impostata questa regola, il firewall non mi permette di entrare nel router WAN1... come se la wan1 scomparisse!!

se tolgo questa regola, tutto rifunziona normalmente!

[malatodihardware]

Il problema è che nella regola non devi mettere /24 altrimenti si applica a tutta la subnet..

In ogni caso gli dedicherei un'altra interfaccia isolata, non lo lascerei in lan

Inviato dal mio Nexus 5 con Tapatalk

[Art83]

Quote:

Originariamente inviato da malatodihardware

Il problema è che nella regola non devi mettere /24 altrimenti si applica a tutta la subnet..

In ogni caso gli dedicherei un'altra interfaccia isolata, non lo lascerei in lan

Inviato dal mio Nexus 5 con Tapatalk

perfetto provo!
EDIT: provato senza mettere la subnet e funziona!!

ora, se posso, vorrei chiederti anche un'altra cosa!
IL BALANCE FUNZIONA (infatti se vado su siti internet tipo mio-ip.com, mi fa vedere in maniera randomica uno o l'altro IP)!

se attivo l'antivirus HAVP in modalità trasparente e gli faccio monitorare LAN+WAN1+OPT1 (basta anche se monitorizza solo la LAN), l'antivirus funziona, non devo impostare nessun proxi, ma succede una cosa strana:

- il balance continua a funzionare (da speedtest.net ho come velocità la somma delle 2 adsl), ma su internet esce sempre e solo con la WAN1 (infatti tornando al sito di controllo ip, mi da sempre quello della WAN1 e non più tutti e 2 in maniera random)!!
- inoltre, anche sul server hot-spot mi esce con la WAN1 e non più con la OPT1 (è come se bypassa la regola)

da che può dipendere?

[malatodihardware]

Lo sapevo che saremmo arrivati qui..

Il problema è che il proxy trasparente esce sempre con un IP interno di pfSense e quindi bypassa le regole che gli hai impostato, la cosa non è risolvibile in modo semplicissimo, qui comunque trovi qualcosa: https://forum.pfsense.org/index.php/topic,60977.0.html

[Art83]

Quote:

Originariamente inviato da malatodihardware

Lo sapevo che saremmo arrivati qui..

Il problema è che il proxy trasparente esce sempre con un IP interno di pfSense e quindi bypassa le regole che gli hai impostato, la cosa non è risolvibile in modo semplicissimo, qui comunque trovi qualcosa: https://forum.pfsense.org/index.php/topic,60977.0.html

eccolo là... lo sapevo che prima o pio mi sarei imbattuto in qualcosa di più grande delle mie possibilità!!

ci ho provato a seguire il link che mi hai dato e a configurare, ma proprio nn so da dove cominciare!!

a questo punto le cose sono 2:

o utilizzo il proxy (di conseguenza anche havp e antispam) non uscendo più con il multiwan
o lascio perdere il multiwan e utilizzo il classico proxy!!