[Thread ufficiale] pfSense Firewall

[blu(e)yes]

Quote:

Originariamente inviato da Homer314

Secondo voi posso procedere e dormire tranquillo per due/tre anni oppure è meglio rivolgermi verso un'altra soluzione hardware ?

Grazie

Sarebbe meglio usare una cf di tipo industriale, specifica per questo tipo di utilizzi, perché garantirebbe un numero di cicli di scrittura sulla singola cella maggiore, ma costa parecchio.

Comunque fai una prova con pfsense embedded senza swap, io anni fa avevo tenuto per un po' ipcop che girava su una normalissima cf e non mi aveva mai dato problemi (la cf).
Se hai necessità di non rimanere a piedi la soluzione economica che mi viene in mente e prendere un'altra cf e fare copia fisica di backup così da poterla sostituire all'occorrenza se si bruciasse la prima cf in uso.

[trottolino1970]

tutto sta nel capire cosa ci devi fare e come lo devi fare

[malatodihardware]

Con la CF non c'è problema, basta che usi la versione embedded e non quella standard.
Per quanto riguarda l'hardware in sé invece sceglierei qualcosa di più risparmioso a livello di corrente elettrica

Inviato dal mio Nexus 5 con Tapatalk

[Homer314]

Quote:

Originariamente inviato da malatodihardware

Con la CF non c'è problema, basta che usi la versione embedded e non quella standard.
Per quanto riguarda l'hardware in sé invece sceglierei qualcosa di più risparmioso a livello di corrente elettrica

Inviato dal mio Nexus 5 con Tapatalk

La cpu si aggira sui 9w, credo che tutto il sistema non consumi più di 15/17W.

Certo che se ci si aggiungono anche modem, switch ed access point tutto il "macro apparato" inizia a consumare abbastanza, effettivamente non ci avevo pensato

[valerio1990]

Salve,

Vorrei implementare nella mia rete lan un firewall hardware con pfsense.

La mia rete è così strutturata:

Antenna wireless (internet)----->Router wi-fi----->switch------>(pc1,pc2,print server, nas, ip-cam etcc...)
Ci sono anche client wi-fi.

Vorrei sapere se è possibile mettere il firewall così:

Antenna wireless (internet)----->Firewall---->Router wi-fi----->switch------>(pc1,pc2,print server, nas, ip-cam etcc...)

Io vorrei utilizzare il FW solo per filtrare e analizzare il traffico sulle sue porte, non facendolo diventare un router.
Vorrei utilizzare il FW anche per connettermi da remoto tramite open-vpn.

Se è possibile fare tutto ciò in che modalità devo utilizzare il firewall e anche il router?

[malatodihardware]

Dipende da come avviene la connessione antenna-router, è un router loro oppure è uno standard magari con PPOE?

Per la VPN inoltre sarebbe meglio se hai IP pubblico direttamente sul pfSense e non sull'antenna

[valerio1990]

Allora il router è mio e sulla wan è collegato il cavo ethernet proveniente dall'alimentatore poe (che alimenta l'antenna). Quindi:

Antenna wifi<----->POE---->LAN(uscita ethernet per la connessione internet)

A quanto pare il mio indirizzo ip non cambia anche scollegando l'alimentazione dell'antenna quindi credo sia un indirizzo statico.

Inoltre l'altro giorno collegando un router adsl soltanto come switch e access point (quindi disattivando DHCP) e guardando con ipconfig ho trovato l'indirizzo ip dell'antenna; infatti digitandolo sul browser appariva la richiesta delle credenziali di accesso (che non conosco dato che è proprietà dell'ISP).

Il router non è un router ADSL ed è l' EA6700.

Io comunque sul router ho configurazione automatica DHCP. Ma ci sono tutte le opzioni: PPPOE, IP STATICO, BRIDGE, L2TP, PPTP.

[malatodihardware]

Se sei in DHCP allora non penso che hai IP pubblico (il fatto che sia statico o meno poco cambia), comunque almeno all'inizio non dovrebbe essere un problema.

L'EA6700 andrà configurato come switch+AP dopo pfSense, la configurazione di tutto comunque è quella base anche per pfSense, quindi non penso che avrai troppi problemi..

[valerio1990]

Quindi disabilito il server DHCP del router e imposto il tutto per utilizzare pfSense come un router con server DHCP giusto?

Siccome con questo router riesco a trasferire a circa il 95% della velocità gigabit ho letto che bisogna utilizzare una cpu con potenza di calcolo elevato (per sfruttare al massimo la rete gigabit) tipo i3 è corretto?

Un FW/router basato sulla scheda GA1037-UN è fattibile?

Quindi lo schema diventa questo:

Antenna--->pfSense (come router)----->switch+AP----->switch----->lan


Ma non esiste un modo per mettere pfSense prima del router e non usarlo come un router ma fargli analizzare solo il traffico tra le sue due porte?
(il router sarebbe l'ea6700)

grazie mille per l'aiuto.

[malatodihardware]

Un i3 ti serve solo se vuoi fare routing gigabit, ma non è il tuo caso, visto che servirà solo per il traffico internet (pochi Mb). Tutto ciò che colleghi dopo pfSense continuerà ad andare in gigabit passando dallo switch e non dal firewall

Inviato dal mio Nexus 5 con Tapatalk

[Abalfor]

al momento ho una connessione adsl che passa da un modem vigor120 al quale è collegato uno switch. a questo switch ci sono collegate le mie macchine ed un router che va a gestire una lan separata per mio nipote.
una macchina con pfsense a monte mi permetterebbe di creare delle regole che consentano di non saturare la banda ed offrire una buona fruibilità della connessione ad internet per entrambe le lan? anche attivando il qos di router e switch non ho buoni risultati, se qualcuno impegna la connessione, l'altro ne risente.
eventuali alternative per raggiungere lo scopo?
consigliate pfsense anche per gestire una vpn o ci sono routers migliori?

[malatodihardware]

La parte di QOS di pfSense secondo me è forse quella meno riuscita, è parecchio complicata e, nonostante ci sia un piccolo wizard, rimane molto "manuale" e "tecnica".

Per quanto riguarda il supporto alle VPN invece è ottimo, ti consiglio OpenVPN con il plug-in Exporter che ti genera direttamente file di configurazione o pacchetti di setup per le piattaforme più diffuse.

[Abalfor]

grazie, al di là della configurazione, è possibile ottenere buoni risultati?
il traffico incriminato che genera disservizio in genere arriva dal mio muletto (nel quale ho assegnato l'upload dei vari p2p in modo che rimanga una buona latenza ed abbastanza banda per non rallentare il traffico http). purtroppo ho una adsl ballerina che durante il giorno ha dei cali. piuttosto di rimodulare i limiti a seconda degli orari vorrei che un router a monte desse la banda proporzionalmente alla reale disponibilità.
oltre a questo aspetto, un altro problema arriva dall'altra lan quando viene caricato un file su youtube/host vari.. il browser si prende tutto l'upload ed il resto delle reti piange. stessa cosa con download che sfruttano acceleratori software e simili..
certo, ci si può "mettere d'accordo" tra utenti (come già facciamo) per evitare certi comportamenti in momenti di reciproca necessità, però visto che viaggio spesso e non voglio dare l'accesso alle mie macchine, a volte mi arrivano chiamate del tipo "zio, laggo e non posso giocare" e mi tocca aprire il muletto con vnc per limitare ulteriormente la banda..

[malatodihardware]

Se configurato a dovere funziona, ma ti assicuro che non è per niente semplice.

Tra l'altro dobbiamo fermarci qui perchè nel regolamento del forum è vietato parlare di condivisione ADSL..

[Abalfor]

lo so benissimo cosa dice il regolamento, qualche giorno fa in un thread ho fatto la stessa osservazione ad un altro utente
viviamo assieme, semplicemente è stato aggiunto il router perché lui aveva bisogno del wifi per ps3 e telefono ed ho colto l'occasione per separare le reti comprando un router piuttosto di un semplice ap visto che il costo dell'apparato era di poco superiore.

[Abalfor]

ci sarebbero problemi a virtualizzare sulla stessa macchina pfsense e più installazioni di linux client? (una debian da muletto con torrent, amule e forse server opengts (circa 20 mezzi che inviano i dati gps) ed un'altra con installato xbmc)
oppure è meglio tenere pfsense su un hardware a parte?

[malatodihardware]

A livello di sicurezza sarebbe meglio hardware dedicato, a livello di funzionalità non ci sono problemi..

Inviato dal mio Nexus 5 con Tapatalk

[Likn'_ùs]

Sera!
Attirato da pfSense ho tirato su una macchina virtuale su VirtualBox..
L'obiettivo è:

Quote:

Internet -> Modem/Router -> pfSense virtualizzato -> Winzoz

Il tutto impostato come:
Scheda rete 1 in bridge sul chipset della mia scheda madre con indirizzo MAC impostato (ultimi due valori finali) 00
Scheda rete 2 sempre in bridge su Microsoft Loopback con MAC che finisce per 01

I due diversi valori finali dei MAC mi servono solo per identificare correttamente le porte..

Lancio pfSense (sia che lanci la iso di 2.1(AMD64 o i686), sia che usi un'immagine nano VGA sempre 32bit):
configuro le varie VLAN.. assegno em0 ed em1 guardando l'indirizzo MAC: quindi per 00->em0->WAN-> ricevo l'IP dinamico dal router visualizzato come:

Quote:

v4/DHCP4: 192.168.1.104/24

Mentre per 01->em1->LAN->indirizzo IP statico:

Quote:

v4: 192.168.1.1/24 impostato poi da me in 192.168.1.2 sempre con submask a 24bit

Ebbene.. dovrebbe essere tutto a posto.. ma.. non riesco ad accere alla Web GUI.. Dove sta l'errore?

P.s.: Non ho ancora disabilitato IPv4/IPv6 dalla rete basata sul NIC Realtek.. (da winzoz intendo)..
EDIT1
Solo pfSense per il momento.. niente Snort ne altri servizi..

[malatodihardware]

Così non funzionerà, ti servono almeno 2 schede di rete fisiche sul pc..

Tra l'altro WAN e LAN è meglio che stiano su due subnet differenti (ad esempio 192.168.1.0/24 e 192.168.0.0/24)

[Likn'_ùs]

Ok.. ora provo a cambiare una delle due subnet..

Avendo a disposizione un solo NIC fisico ho usato Microsoft Loopback che emula un NIC..! ; )

C'è una guida - che ho dovuto spulciare ad un certo punto per risolvere il problema - ma sono ancora inchiodato qui..

EDIT2
Grazie mille malatodihardware.. : ) Vedo che sei l'unico attivo su questo thread.. peccato.. davvero peccato..
OT
PS. Ho visto la tua configurazione casalinga di server.. molto bella.. l'x750e poi..! Quanto l'hai pagato? Usato? Baia?
Fine OT