|
|
|
|
Strumenti |
01-11-2012, 13:17 | #1 | |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
[Thread ufficiale] pfSense Firewall
Apro questo thread per una delle migliori e più utilizzate distribuzioni BSD ad uso firewall:
Quote:
pfSense-2.0.1-RELEASE-arch.iso.gz -> Live CD/Installazione completa pfSense-memstick-2.0.1-RELEASE-arch.img.gz -> Installazione da chiavetta USB pfSense-2.0.1-RELEASE-size-arch-nanobsd.img.gz -> NanoBSD/embedded (Console Seriale) pfSense-2.0.1-RELEASE-size-arch-nanobsd_vga.img.gz -> NanoBSD/embedded (Console VGA) MIRROR per il download Versioni BETA (snapshot) Guida all'installazione Link utili: Sito ufficiale Forum ufficiale Sezione italiana del forum Blog italiano Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5
Ultima modifica di malatodihardware : 02-11-2012 alle 08:51. |
|
01-11-2012, 13:18 | #2 |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
Hardware consigliato:
CPU Premettiamo che PFsense funziona solo su hardware x86, quindi niente ARM o simili.. Ovviamente l'hardware su cui far girare il tutto dipende parecchio dalle performance e dal carico che si vuole ottenere. Partendo dal basso (quindi routing e qualche pacchetto leggero) siamo nella fascia delle Alix, i primissimi Atom da netbook (N270)e pentium II. Salendo leggermente (e volendo aggiungere qualche pacchetto in più ma con routing limitato tra le interfacce) ci sono le varie serie VIA e i Pentium III. Per iniziare ad utilizzare routing gigabit verso le interfacce OPT serve almeno un Atom D525, un Penitum-M oppure un Pentium 4 (anche se lo sconglio visto il consumo elevato). Con questi processori si riescono a gestire circa 600 Mb\s in routing puro.. Per raggiungere il gigabit vero serve qualcosa in più, come un G620 oppure un i3. Altro discorso riguarda le performance in VPN, per cui lascio un link a un piccolo specchietto di comparazione su IPSEC: http://www.hacom.net/kb/ipsec-perfor...wall-appliance SCHEDE DI RETE Le schede di rete consigliate sono quelle con chipset Intel, che riescono ad avere migliori performance rispetto alle omologhe Realtek. Consigliabile nell'ottica di un box compatto avere almeno due interfacce gigabit direttamente sulla scheda madre, nel caso ne servano di più ci si può affidare a schede di espansione preferibilmente PCI-Express per evitare colli di bottiglia, oppure a doughterboard specifiche per la motherboard stessa (ad esempio Jetway propone queste soluzioni). Se non serve un esagerato throughput contemporaneo è consigliabile utilizzare le VLAN con uno switch approrpiato piuttosto che aggiungere schede di rete costose (con 2 o 3 interfacce), per i modelli più economici consigli Mikrotik RB250GS oppure Netgear GS105E. Se si mettono le VLAN della DMZ\OPT insieme alla WAN e si lascia la LAN sull'altra le performance sono ottime comunque visto che generalmente la banda WAN è decine (se non centinaia) di volte inferiore al gigabit. VIRTUALIZZAZIONE Ovviamente è anche possibile virtualizzare PFsense, in tal caso si consiglia la piattaforma ESXI che è ben supportata (anche se le prestazioni sono ovviamente peggiori di un'installazione fisica), discreto anche il supporto a Xen, molto scarso invece quello per Hyper-V. Installazione su Watchguard X-Core e Sono necessari i seguenti file: physdiskwrite BIOS Modificato FreeDos per aggiornamento BIOS L'aggiornamento del BIOS è necessario per poter far leggere al Watchguard le CF da più di 256MB. Copiare con physdiskwrite l'immagine di FreeDOS su una CF di piccole dimensioni (128MB max). Bisogna innanzitutto eliminare qualsiasi partizione dalla CF (consiglio diskpart da DOS). Quindi riversare il contenuto dell'immagine sulla CF con physdiskwrite. A questo punto inserire l'ultimo bios nella cartella bios sulla CF. A questo punto inserire la CF nel Watchguard e avviarlo con un pc connesso via seriale in ascolto (con putty) con velocità 9600 8N1. Si sentiranno 3 beep quindi l'output verrà girato sulla seriale e sul pc si avrà il prompt di FreeDOS. Spostarsi nella cartella BIN quindi lanciare biosid. Se la versione originale del BIOS è la ETAC0017 proseguire, altrimenti non se ne garantisce il corretto funzionamento. Con il comando awdflash /pn /sy backup1.bin /e si può backuppare il vecchio bios, quindi con awdflash x750eb7.bin /py /sn /cc /e flashiamo il nuovo BIOS. Collegandosi ora sempre con Putty in seriale ma a una velocità di 115200 e premendo il tasto TAB si potrà accedere al BIOS. Qui bisognerà impostare il numero di "head" del disco primario a 2. Per uscire premere ESC seguito da freccia SU. Si potrà ora mettere l'immagine embedded di pfSense sulla CF e si vedrà l'avvio di pfSense via seriale (9600). A questo punto la configurazione di pfSense è quella standard.. C'è qualche altro tweak ma lo indicherò più avanti.. Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5
Ultima modifica di malatodihardware : 06-02-2013 alle 13:20. |
01-11-2012, 13:18 | #3 |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
Guide per la configurazione (grazie a pfsenseitaly.com)
Creazione server VPN PPTP Integrazione con autenticazione LDAP\Active Directory Creazione server VPN OpenVPN OpenVPN con autenticazione LDAP\AD Limitare la banda in upload\download Accesso WiFi ospiti Alert e reporting Attivazione diagnostica SMART Configurazione come IDS/IPS con SNORT Reset password di amministratore Accesso WiFi con CaptivePortal e vouchers - Parte 2 - Parte 3 - Parte 4 Automatizzare il backup MultiWAN - Parte 2 - Parte 3 HighAviability con CARP e pfSync - Parte 2 Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5
Ultima modifica di malatodihardware : 02-11-2012 alle 08:51. |
01-11-2012, 13:21 | #4 |
Senior Member
Iscritto dal: Jan 2006
Città: Montalto Uffugo
Messaggi: 6017
|
iscritto
Sent from my iPhone using Tapatalk |
01-11-2012, 14:08 | #5 |
Senior Member
Iscritto dal: Jan 2010
Messaggi: 817
|
e io no ???
|
01-11-2012, 17:34 | #6 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 7493
|
Hardware consigliato è durissima...
Per fare cosa? Per un piccolo firewall router, qualsiasi atom va benissimo. Anche con scheda PCI e non PCIe; la velocità massima su quella scheda sarà di circa 550 Mbits, ma per le nostre ADSL basta ed avanza. Ma non dimentichiamo anche i processori a basso consumo: ho in casa due macchine su cui gira pfSense, una con atom, un altra con un G620T; il consumo è identico, la velocità parecchio differente. La cosa che in casa può risultare noiosa di pfSense, però va scritta: non ci si può installare alcun server o modulo che scarichi, ovvero, salvo pastricciamenti terribili, dementicatevi di transmission, minidlna, samba e via dicendo. Per quello, ci vuole una macchina più potente e la virtualizzazione... |
01-11-2012, 19:45 | #7 | |
Senior Member
Iscritto dal: Jan 2010
Messaggi: 817
|
Hardware consigliato:
per un semplice router/fw va benissimo anche una Alix, che rispetto ad Atom consuma parecchio meno. Il vero limite dell'Alix, secondo me, è che è solo FastE. E questo pone grossi limiti se vuoi usare il router per fare routing tra vlan. La soluzione Atom/G620T secondo me è da considerare in ambito home se non ti serve solo un router/fw ma ANCHE package aggiuntivi pesanti, come squid/snort e/o antivirus. E' una soluzione che sto seguendo perché è quella che vorrei realizzare tra un annetto (per ora ho un'Alix): un prodotto così configurato con pfSense secondo me non ha rivali per la fascia di prezzo che può costare (circa 300/400 €). @alfonsor una coriosità: che te ne fai di due pfSense a casa ? un acquisto "sbagliato" o un upgrade perché sentivi la mancanza di qualche funzione ? scusa se lo chiedo: mi interessa molto l'argomento.... Quote:
Chi usa dd/openwrt vuole un apparecchio "unico" e con quello cerca di fare tutto, comprese le funzioni che hai elencato. Invece chi sceglie pfSense secondo me è utente più "evoluto" (nel senso che ha necessità più spinte) e sa bene che la specializzazione si ottiene a scapito delle n-mila funzioni di altro genere. In questi casi credo sia anche un bene separare le funzioni su macchine diverse: a me per esempio darebbe fastidio pensare che la funzione di antivirus o di IPS è rallentata perché mio padre sta guardando un film usando il dlna sulla stessa macchina del firewall..... |
|
03-11-2012, 09:49 | #8 |
Senior Member
Iscritto dal: Nov 2005
Città: Припять
Messaggi: 4618
|
ah thread nuovo ! mi iscrivo, stavo giusto installando pfsense su vmware...
|
03-11-2012, 10:53 | #9 |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
Modificato l'hardware consigliato (poi quando avrò più tempo lo migliorerò)..
Oltre ad Atom e G620 tenete in considerazione anche i vecchi Pentium-M, hanno potenza da vendere e consumano poco (oltretutto il prezzo d'acquisto è parecchio più basso, basta solo trovare la MB giusta) |
03-11-2012, 22:17 | #10 | |
Senior Member
Iscritto dal: Nov 2005
Città: Припять
Messaggi: 4618
|
Quote:
Allora, ho appena finito di configurare pfsense su vmware(su un pc dedicato), ho messo bridged i due nic, vmnet0, vmnet2.. pfsense assegna em0 la WAN ed em1 la LAN... Unica domanda, ho un router alice, quindi in realtà la wan che trova pfsense è su un indirizzo di rete del router, e la lan di pf sense è settata praticamente come una sottorete... funziona tutto regolarmente, però non so se i vari servizi che ho caricato (tipo snort) sono efficaci con questa configurazione.. |
|
03-11-2012, 22:40 | #11 |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
Dovrebbero funzionare comunque, anche se a livello di performance e debug non è proprio il massimo (soprattutto con il VoIp). Purtroppo il router di Alice non puoi neanche configurarlo in bridge quindi non c'è altra soluzione..
EDIT: Guarda qui se ti interessa il bridge Ultima modifica di malatodihardware : 03-11-2012 alle 22:47. |
03-11-2012, 22:48 | #12 |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
Ragazzi se avete qualche mini-guida da inserire è ben accetta..
|
08-11-2012, 08:20 | #13 |
Member
Iscritto dal: Nov 2011
Messaggi: 50
|
Iscritto anche io.
E' da tempo che sto pensando di fare un serio upgrade al mio DGN3500, e tutto quello che vedo in commercio poco mi soddisfa. Le soluzioni pfSense/monowall/zeroshell mi hanno sempre intrigato parecchio, anche se mi pare di capire che, per avere delle soluzioni paragonabili ai router/access point in commercio, bisogna spendere un po' di più. Domanda da niubbo assoluto: ma oltre ad alix/soekris e compagnia bella, non essiste nessuno che utilizzia soluzioni amd/intel/via per produrre dispositivi di rete un po' più completi? Grazie. |
08-11-2012, 11:57 | #14 |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
C'è anche Fabiatech, ma i prezzi di queste appliance sono parecchio alti, ti conviene assemblarlo..
|
21-11-2012, 11:35 | #15 | |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
Quote:
|
|
22-11-2012, 20:54 | #16 |
Senior Member
Iscritto dal: Apr 2004
Città: Provincia di Piacenza
Messaggi: 8190
|
iscritto, sono 3 anni che ho un fw pfSense
|
22-11-2012, 21:59 | #17 |
Senior Member
Iscritto dal: May 2004
Città: Salerno
Messaggi: 21185
|
Però segnala
|
22-11-2012, 22:42 | #18 |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
|
01-01-2013, 13:57 | #19 |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
In attesa della nuova versione 2.1 che introdurrà diversi cambiamenti (primi tra tutti l'aggiornamento di FreeBSD alla versione 8.3 e il supporto a IPv6) è stata rilasciata la versione 2.0.2 di pfSense.
E' solo una maintenance release, quindi non sono state introdotte nuove funzionalità ma solo bugfix. Tra le principali segnalo: - Patch di sicurezza per FreeBSD 8.1 - Inserito un warning nella creazione di VPN PPTP in quanto insicure e violate da tempo - Cambio del pacchetto NTP da OpenNTPD a ntp.org NTP daemon - Fix dell'interfaccia grafica ed errori - Fix per l'upgrade di OpenVPN server da versioni 1.2.3 - Fix di sicurezza per IPSEC Release Notes ufficiale |
06-02-2013, 13:23 | #20 |
Senior Member
Iscritto dal: Sep 2008
Messaggi: 3583
|
Mi è appena arrivato un Watchguard x750e su cui ho immediatamente installato pfSense!
Ho aggiunto all'inizio una mini-guida, è piuttosto sintetica ma si dovrebbe capire.. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 18:50.