A ecco … mi sembrava strano. Ma in realtà usare firewall in cascata è tutto fuor che facile e TRASPARENTE. Mi servirebbero maggiori dettagli sul firewall HW (e già qui ho dei dubbi atroci ... un firewall come fa ad essere solo HW se il NETWORK è in se un "rudimentale" livello di software ... per forza di cosa deve aver un OS se pur minimo ... anche se al gg. d'oggi sono più propenso a credere che sia un OS a tutti gli effetti !).

In parole povere se non so che firewall è: TIPO - MOD. - ecc ..., che OS Monta e come è interfacciato alla rete: 1 o + eth ... diciamo che rimaniamo nel teorico ipotetico immaginario.

Ciaoz.-

Grazie del suggerimento…. oggi provo e vi faccio sapere! :)

grande… mi sa che ci provo allora
come seconda scheda metto una normale realtek gigabit (mi pare marchiata c-net)
appena procedo con l'acquisto vi faccio sapere!

@scoppys:

tecnicamente la versione emb. non scrive su disco carica tutto in ram.
Come prestazioni io ho Freenas su cf ( cugino di pfsense) da circa 1 anni versione emb e nesusn problema anzi ilboot è più veloce che dal vechcio disco da 1 gbyte (si ho un disco eide 1gbyte..)

Allora la ver. embedded va perfettamente sia su HDD che CF che USB (rif. al post citato prima nella presente discussione).
La velocità dipende moltissimo dalla qualità della CF ma anche dal ev. adattatore CF -> IDE usato (alcuni modelli mi hanno dato problemi !).
La ver. di Pf che va in RAM è la live … da iso o cd ... anche se va bene al massimo per far una prova.

Sempre per il concetto della criticità la differenza la fa la QUALITA' generale dell'hw. Ricordati che le CF classiche hanno un certo numero di cicli di lett/scrit prima di "morire". Esistono CF professionali (si Lexar che SanDisk che Kingston le fanno) non solo veloci ma progettate con un occhio di riguardo all'affidabilità.

Ciaoz.-

ma … gia ora si può scegliere il kernel smp o std .. per il pae non so ... dovresti aprire un post sulla sez. di sviluppo.

In ogni caso per usare 4GB di ram che devi fare 1000 (MILLE !!) tunnel IPSEC e gestire 50 interfacce di rete ...

Ciaoz.-

provato con un virtual ip?

crei un virtual ip  nella lan1 la lan due lo dovrebeb putnare come gateway

Riuppo questa discussione perché la mia domanda è correlata…

Premetto che sono ancora alle prime armi, sopratutto con questi argomenti (per cui vi chiedo un po' di clemenza o almeno un'indicazione su dove andare ad attingere informazioni).

Mi trovo nella seguente condizione:
Ho un modem/router con 5 indirizzi pubblici (più la possibilità di uscire con un indirizzo dinamico), quindi c'è pfSense (con 2 interfacce di rete: WAN e LAN) e "dietro" ci sono alcuni Pc, abilitati a navigare su Internet.
Quando pfSense ha come indirizzo della WAN uno degli indirizzi pubblici anche i Pc vengono visti con lo stesso indirizzo, mentre se la WAN è nella stessa sottorete del modem/router hanno un indirizzo dinamico. Quello che vorrei fare è che i Pc "dietro" utilizzino l'IP dinamico mentre l'IP pubblico venga utilizzato dal firewall (per una connessione VPN): è possibile tutto ciò?

grazie per la risposta….. avevo postato anche nel forum inglese e la riposta è stata la stessa.
ciao e scusa per il ritardo.

Ciao
grazie mille, l'informazione e' stata utilissima
Accursio

Salve,
ho istallato Snort e Okid, fin qui tutto regolare….ora vorrei bloccare skype, facebook e i p2p in generale ma al momento che spunto
Block offenders, chi genera gli alert va in black list per 60 minuti.
E' possibile bloccare il traffico senza però bloccare l'ip sorgente?

Grazie.

che tipo di ip virtuale
???  proxy arp carp  o other???

sapete mica qulcosa se se incompatibilita con il ppoe server???  cioe se abilito il pptp server non mi va piu il pppoe server !!

Ma su questo non sono sicuro … mi pare un mio cliente sul lago di garda abbia usato un modo simile e si è beccato un multone da fuoco. La legge è abbastanza specifica sul tipo di documenti richiesti, e serve un doc. d'identità valido con relativa copia.

Sempre sulla falsa riga mi risulta invece che in zona romagnola un altro mio cliente ha ragg. un accordo con la polizia locale ed il giudice che ha accolto la richiesta per poter utilizzare il tel. cellulare come dato univoco per l'identificazione ... ma ovviamente vi è tutta una documentazione CERTIFICATA - VIDIMATA e AUTORIZZATA dalle rispettive autorita vigenti.

Per cui io prima ne parlerei con chi di dovere e mi farei fare un foglio scritto, autentificato con tanto di marca da bollo (come atto notarile)

Ciaoz.-
By Ma.S.Caos.-

@Zanotti:

Per IP statici ti riferisci ad IP pubblici statici?

Si esattamente.

I server sono 1 server WEB e 1 dispositivo GATEWAY per 1 software FAD e Videoconferenza.

Adesso vado a dare un'occhiata a qualche guida su IP CARP e Proxy ARP per capire come funzionano.

Presta molta attenzione alle differenze tra CARP e Proxy ARP che non banali.

Non riesco a venirne fuori, ho disponibile uno switch managed, in che modo potrebbe essermi utile? Non ho mai lavorato con le VLAN, c'è qualcuno di buona volontà che possa darmi qualche suggerimento?

Io sono della vecchia scuola … se sono io che gestisco il firewall io DEVO sapere quali sono i proto da far passare e NON POSSO NON sapre se c'è qualche proto "OCCULTO". Nelle mie conf. passa solo il lecito il resto è un bel block Any.
Il prob. dei moderni client di P2P è che sono sempre più evoluti e riescono ad bypassare quasi tutto.
Qui si deve scegliere ... o un bel firewall l7 con il riconoscimento dell'layer delle applicazioni ... e per il mom. PAGHI (si esiste la possibilità di farselo a mano ma che 2 OO :D) o blocchi.

La mia scelta è quella di bloccare. Se puoi qualcosa non va mi si chiama, si leggono i log e poi si apre ciò che serve e nulla più.

Ciaoz.-

PS: ... esiste anche snot che può dare una mano ... :D :P

A solo titolo informatico puoi usare l'ev. sk. wifi (Atheros!) come AP direttamente da PF … che forse è anche più comodo.

Ciaoz.-