[Thread ufficiale] pfSense Firewall

[malatodihardware]

Apro questo thread per una delle migliori e più utilizzate distribuzioni BSD ad uso firewall:

Quote:

pfSense è una distribuzione open source personalizzata di FreeBSD su misura per l'utilizzo come firewall e router. Oltre ad essere una potente e flessibile piattaforma di firewalling e routing, comprende una lunga lista di funzioni correlate e un sistema di pacchetti che permette grande espandibilità senza aggiungere ulteriori o potenziali vulnerabilità di sicurezza alla distribuzione di base. pfSense è un progetto popolare con più di 1 milione di download fin dalla sua nascita e ha dimostrato di poter gestire innumerevoli applicazioni che vanno da piccole reti domestiche in protezione di un PC e una Xbox a grandi aziende, università e altre organizzazioni che proteggono migliaia di dispositivi di rete.
Questo progetto è iniziato nel 2004 come un fork del progetto m0n0wall, ma si è focalizzata verso installazioni complete per PC, piuttosto che per hardware embedded come m0n0wall. pfSense offre anche un'immagine incorporata per installazioni basate su Compact Flash, ma non è il nostro obiettivo primario.
Traduzione dal sito ufficiale del progetto

Versioni disponibili:
pfSense-2.0.1-RELEASE-arch.iso.gz -> Live CD/Installazione completa
pfSense-memstick-2.0.1-RELEASE-arch.img.gz -> Installazione da chiavetta USB
pfSense-2.0.1-RELEASE-size-arch-nanobsd.img.gz -> NanoBSD/embedded (Console Seriale)
pfSense-2.0.1-RELEASE-size-arch-nanobsd_vga.img.gz -> NanoBSD/embedded (Console VGA)
MIRROR per il download
Versioni BETA (snapshot)
Guida all'installazione

Link utili:
Sito ufficiale
Forum ufficiale
Sezione italiana del forum
Blog italiano

Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5

[malatodihardware]

Hardware consigliato:

CPU
Premettiamo che PFsense funziona solo su hardware x86, quindi niente ARM o simili..
Ovviamente l'hardware su cui far girare il tutto dipende parecchio dalle performance e dal carico che si vuole ottenere.
Partendo dal basso (quindi routing e qualche pacchetto leggero) siamo nella fascia delle Alix, i primissimi Atom da netbook (N270)e pentium II.
Salendo leggermente (e volendo aggiungere qualche pacchetto in più ma con routing limitato tra le interfacce) ci sono le varie serie VIA e i Pentium III.
Per iniziare ad utilizzare routing gigabit verso le interfacce OPT serve almeno un Atom D525, un Penitum-M oppure un Pentium 4 (anche se lo sconglio visto il consumo elevato). Con questi processori si riescono a gestire circa 600 Mb\s in routing puro..
Per raggiungere il gigabit vero serve qualcosa in più, come un G620 oppure un i3.
Altro discorso riguarda le performance in VPN, per cui lascio un link a un piccolo specchietto di comparazione su IPSEC:
http://www.hacom.net/kb/ipsec-perfor...wall-appliance
SCHEDE DI RETE
Le schede di rete consigliate sono quelle con chipset Intel, che riescono ad avere migliori performance rispetto alle omologhe Realtek. Consigliabile nell'ottica di un box compatto avere almeno due interfacce gigabit direttamente sulla scheda madre, nel caso ne servano di più ci si può affidare a schede di espansione preferibilmente PCI-Express per evitare colli di bottiglia, oppure a doughterboard specifiche per la motherboard stessa (ad esempio Jetway propone queste soluzioni).
Se non serve un esagerato throughput contemporaneo è consigliabile utilizzare le VLAN con uno switch approrpiato piuttosto che aggiungere schede di rete costose (con 2 o 3 interfacce), per i modelli più economici consigli Mikrotik RB250GS oppure Netgear GS105E.
Se si mettono le VLAN della DMZ\OPT insieme alla WAN e si lascia la LAN sull'altra le performance sono ottime comunque visto che generalmente la banda WAN è decine (se non centinaia) di volte inferiore al gigabit.
VIRTUALIZZAZIONE
Ovviamente è anche possibile virtualizzare PFsense, in tal caso si consiglia la piattaforma ESXI che è ben supportata (anche se le prestazioni sono ovviamente peggiori di un'installazione fisica), discreto anche il supporto a Xen, molto scarso invece quello per Hyper-V.




Installazione su Watchguard X-Core e
Sono necessari i seguenti file:
physdiskwrite
BIOS Modificato
FreeDos per aggiornamento BIOS
L'aggiornamento del BIOS è necessario per poter far leggere al Watchguard le CF da più di 256MB.
Copiare con physdiskwrite l'immagine di FreeDOS su una CF di piccole dimensioni (128MB max).
Bisogna innanzitutto eliminare qualsiasi partizione dalla CF (consiglio diskpart da DOS). Quindi riversare il contenuto dell'immagine sulla CF con physdiskwrite. A questo punto inserire l'ultimo bios nella cartella bios sulla CF.

A questo punto inserire la CF nel Watchguard e avviarlo con un pc connesso via seriale in ascolto (con putty) con velocità 9600 8N1. Si sentiranno 3 beep quindi l'output verrà girato sulla seriale e sul pc si avrà il prompt di FreeDOS. Spostarsi nella cartella BIN quindi lanciare biosid.
Se la versione originale del BIOS è la ETAC0017 proseguire, altrimenti non se ne garantisce il corretto funzionamento.
Con il comando awdflash /pn /sy backup1.bin /e si può backuppare il vecchio bios, quindi con awdflash x750eb7.bin /py /sn /cc /e flashiamo il nuovo BIOS.

Collegandosi ora sempre con Putty in seriale ma a una velocità di 115200 e premendo il tasto TAB si potrà accedere al BIOS. Qui bisognerà impostare il numero di "head" del disco primario a 2. Per uscire premere ESC seguito da freccia SU.

Si potrà ora mettere l'immagine embedded di pfSense sulla CF e si vedrà l'avvio di pfSense via seriale (9600).

A questo punto la configurazione di pfSense è quella standard.. C'è qualche altro tweak ma lo indicherò più avanti..

Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5

[malatodihardware]

Guide per la configurazione (grazie a pfsenseitaly.com)

Creazione server VPN PPTP
Integrazione con autenticazione LDAP\Active Directory
Creazione server VPN OpenVPN
OpenVPN con autenticazione LDAP\AD
Limitare la banda in upload\download
Accesso WiFi ospiti
Alert e reporting
Attivazione diagnostica SMART
Configurazione come IDS/IPS con SNORT
Reset password di amministratore
Accesso WiFi con CaptivePortal e vouchers - Parte 2 - Parte 3 - Parte 4
Automatizzare il backup
MultiWAN - Parte 2 - Parte 3
HighAviability con CARP e pfSync - Parte 2

Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5

[trottolino1970]

iscritto


Sent from my iPhone using Tapatalk

[anubbio]

e io no ???

[alfonsor]

Hardware consigliato è durissima...

Per fare cosa? Per un piccolo firewall router, qualsiasi atom va benissimo. Anche con scheda PCI e non PCIe; la velocità massima su quella scheda sarà di circa 550 Mbits, ma per le nostre ADSL basta ed avanza.

Ma non dimentichiamo anche i processori a basso consumo: ho in casa due macchine su cui gira pfSense, una con atom, un altra con un G620T; il consumo è identico, la velocità parecchio differente.

La cosa che in casa può risultare noiosa di pfSense, però va scritta: non ci si può installare alcun server o modulo che scarichi, ovvero, salvo pastricciamenti terribili, dementicatevi di transmission, minidlna, samba e via dicendo.

Per quello, ci vuole una macchina più potente e la virtualizzazione...

[anubbio]

Hardware consigliato:

per un semplice router/fw va benissimo anche una Alix, che rispetto ad Atom consuma parecchio meno. Il vero limite dell'Alix, secondo me, è che è solo FastE. E questo pone grossi limiti se vuoi usare il router per fare routing tra vlan.
La soluzione Atom/G620T secondo me è da considerare in ambito home se non ti serve solo un router/fw ma ANCHE package aggiuntivi pesanti, come squid/snort e/o antivirus.
E' una soluzione che sto seguendo perché è quella che vorrei realizzare tra un annetto (per ora ho un'Alix): un prodotto così configurato con pfSense secondo me non ha rivali per la fascia di prezzo che può costare (circa 300/400 €).

@alfonsor una coriosità:
che te ne fai di due pfSense a casa ? un acquisto "sbagliato" o un upgrade perché sentivi la mancanza di qualche funzione ? scusa se lo chiedo: mi interessa molto l'argomento....

Quote:

La cosa che in casa può risultare noiosa di pfSense, però va scritta: non ci si può installare alcun server o modulo che scarichi, ovvero, salvo pastricciamenti terribili, dementicatevi di transmission, minidlna, samba e via dicendo.

Vero, ma secondo me non è un grosso limite. E' vero che altri fw come dd-wrt o openwrt offrono (quasi) tutte queste funzionalità, però secondo me il target è diverso, pur rimanendo in ambito home.
Chi usa dd/openwrt vuole un apparecchio "unico" e con quello cerca di fare tutto, comprese le funzioni che hai elencato.
Invece chi sceglie pfSense secondo me è utente più "evoluto" (nel senso che ha necessità più spinte) e sa bene che la specializzazione si ottiene a scapito delle n-mila funzioni di altro genere.
In questi casi credo sia anche un bene separare le funzioni su macchine diverse: a me per esempio darebbe fastidio pensare che la funzione di antivirus o di IPS è rallentata perché mio padre sta guardando un film usando il dlna sulla stessa macchina del firewall.....

[Giux-900]

ah thread nuovo ! mi iscrivo, stavo giusto installando pfsense su vmware...

[malatodihardware]

Modificato l'hardware consigliato (poi quando avrò più tempo lo migliorerò)..

Oltre ad Atom e G620 tenete in considerazione anche i vecchi Pentium-M, hanno potenza da vendere e consumano poco (oltretutto il prezzo d'acquisto è parecchio più basso, basta solo trovare la MB giusta)

[Giux-900]

Quote:

Originariamente inviato da malatodihardware

Modificato l'hardware consigliato (poi quando avrò più tempo lo migliorerò)..

Oltre ad Atom e G620 tenete in considerazione anche i vecchi Pentium-M, hanno potenza da vendere e consumano poco (oltretutto il prezzo d'acquisto è parecchio più basso, basta solo trovare la MB giusta)

(concordo, ho da tempo un sistema con pentium m... tdp bassissimo, va anche fanless volendo, forse è possibile trovare ancora delle mb appositamente per s479, magari micro atx o mini itx, oppure p4c+ct479 ma non so se si trova più.. parecchio obsoleto oramai... cmq valido per questa finalità se uno se lo ritrova..)

Allora, ho appena finito di configurare pfsense su vmware(su un pc dedicato), ho messo bridged i due nic, vmnet0, vmnet2.. pfsense assegna em0 la WAN ed em1 la LAN...
Unica domanda, ho un router alice, quindi in realtà la wan che trova pfsense è su un indirizzo di rete del router, e la lan di pf sense è settata praticamente come una sottorete... funziona tutto regolarmente, però non so se i vari servizi che ho caricato (tipo snort) sono efficaci con questa configurazione..

[malatodihardware]

Dovrebbero funzionare comunque, anche se a livello di performance e debug non è proprio il massimo (soprattutto con il VoIp). Purtroppo il router di Alice non puoi neanche configurarlo in bridge quindi non c'è altra soluzione..

EDIT: Guarda qui se ti interessa il bridge

[malatodihardware]

Ragazzi se avete qualche mini-guida da inserire è ben accetta..

[magullo]

Iscritto anche io.
E' da tempo che sto pensando di fare un serio upgrade al mio DGN3500, e tutto quello che vedo in commercio poco mi soddisfa.
Le soluzioni pfSense/monowall/zeroshell mi hanno sempre intrigato parecchio, anche se mi pare di capire che, per avere delle soluzioni paragonabili ai router/access point in commercio, bisogna spendere un po' di più.
Domanda da niubbo assoluto: ma oltre ad alix/soekris e compagnia bella, non essiste nessuno che utilizzia soluzioni amd/intel/via per produrre dispositivi di rete un po' più completi?
Grazie.

[malatodihardware]

C'è anche Fabiatech, ma i prezzi di queste appliance sono parecchio alti, ti conviene assemblarlo..

[malatodihardware]

Quote:

Originariamente inviato da REGOLAMENTO

E' Vietato Inserire nelle proprie discussioni link informatici di carattere commerciale, oltre a link relativi a precisi prodotti presenti su aste. L'eccezione è nel caso di un prodotto specifico, che è presente sempre e solo presso un rivenditore in quanto trattato in esclusiva:in questo caso è preferibile consultarsi con un moderatore. Operando in questo modo evitiamo che i messaggi del forum diventino una vetrina di propaganda per le attività commerciali presenti nel web.

PS: I prezzi rispetto a una soluzione home-made non dico siano improponibili ma quasi..

[ToO_SeXy]

iscritto, sono 3 anni che ho un fw pfSense

[pegasolabs]

Quote:

Originariamente inviato da malatodihardware

PS: I prezzi rispetto a una soluzione home-made non dico siano improponibili ma quasi..

Però segnala

[malatodihardware]

Quote:

Originariamente inviato da pegasolabs

Però segnala

Sorry.. :-)

Inviato dal mio MB525

[malatodihardware]

In attesa della nuova versione 2.1 che introdurrà diversi cambiamenti (primi tra tutti l'aggiornamento di FreeBSD alla versione 8.3 e il supporto a IPv6) è stata rilasciata la versione 2.0.2 di pfSense.
E' solo una maintenance release, quindi non sono state introdotte nuove funzionalità ma solo bugfix.
Tra le principali segnalo:
- Patch di sicurezza per FreeBSD 8.1
- Inserito un warning nella creazione di VPN PPTP in quanto insicure e violate da tempo
- Cambio del pacchetto NTP da OpenNTPD a ntp.org NTP daemon
- Fix dell'interfaccia grafica ed errori
- Fix per l'upgrade di OpenVPN server da versioni 1.2.3
- Fix di sicurezza per IPSEC

Release Notes ufficiale

[malatodihardware]

Mi è appena arrivato un Watchguard x750e su cui ho immediatamente installato pfSense!
Ho aggiunto all'inizio una mini-guida, è piuttosto sintetica ma si dovrebbe capire..