ho dimenticato una domanda, nelle rules va fatto qualcosa per il dns?

Non mi ero di menticato di farlo… l'avevo fatto ma mi ero accorto che quello che mi dava il messaggio di alerta non era un MAC Adress ma qualche cosa di simile

LAN
Surce [fe80::84aa:e973:44dd:2079]:56433
Destination [ff02::1:3]:5355

qualche suggerimento?

@federicop:

Con quali devoice si collega? perchè potresti usare due strade diverse:

mi sembra di ricordare che pfsense abbia un plugin forse era Captive Portal per far collegare devoice fornendo nome utente e password ai quali puoi impostare limite di tempo e traffico, un po come succede negli hotel quando richiedi la passowrd della WiFi.
Teoricamente questa funzione oramai ce l'hanno anche tutti i router e viene chiamata "WiFi Ospiti"

altra soluzione è a monte, cioè sul pc impostare un utente che non abbia i privilegi di modificare i parametri LAN

spero di esserti stato utile!
ps: e fai bene a limitare internet a tuo figlio  ;D ;D ;D

ho fatto una veloce ricerca e ti allego un link che dovrebbe fare al caso tuo
http://www.pfsenseitaly.com/2012/08/accesso-wifi-con-captive-portal-e_30.html

http://www.pfsenseitaly.com/2012/08/accesso-wifi-con-captive-portal-e.html

1000 grazie per la risposta
La device che voglio limitare è soprattutto la PS4 che è come la droga…
Verificherò come funziona grazie davvero.
Devo poter far saltare il login ma limitare per ip/mac (altrimenti dalla ps4 non esce la pagina di richiesta user e pwd), poi tutta la lan deve saltare il captive altrimenti mi rallenta (per quanto poco) i pacchetti...
Grazie della dritta

Ciao Fabio, come dicevi tu ho risolto con l'host override, mappando l'host con l'ip. Grazie.

Ciao,
posto che il firewall blocca il passaggio da lan a internet, direi che non puoi farlo con il firewall.

La cosa più semplice sarebbe creare una vlan/rete dedicata in cui ogni macchina è isolata (stile accesso internet degli alberghi) dove ogni pc vede solo il firewall e da firewall permetti solo http ed https in uscita.

Ciao fabio

Ma ogni quanto è consigliabile impostare questo paramentro ?
E perchè quando viene eseguito si perde la connessione, anche se per poco, ma si perde ?

Grazie, Alberto

ciao nulla da fare ho riservato l'ip ma funziona sempre nello stesso modo

Confermo che c'era l'opzione Rule Order nella scheda General… e con quello ho risolto il problema iniziale, dopodichè ho anche sistemato il filtro GeoIP (contry) ed avendo inserito più liste IPv4 (per il filtraggio ip spam) ho risolto tutto.

Poi ho anche installato e configurato Snort (che devo ottimizzare in configurazione ma aprirò altro post per suggerimenti)

GRAZIE!!!!!

@sisko212:

Una roba semplice che puoi fare, se usi pfsense come dns per la tua rete locale (oppure lo fai sul dns anche se diverso), è inserire un override sul dns resolver  un host dove fai 127.0.0.1 -> update.microsoft.com
Non so per quale motivo lo vuoi fare, ma se è per l'occupazione di banda che ti crea quando tutti i client tentano di scaricarsi gli update, e non vuoi complicarti la vita ad installarti un WSUS locale, proverei ad installare lo squid proxy, ed assegnarli dello spazio su disco e modificando i parametri per conservare anche i files molto grossi (diciamo 100-200gb), così quando il primo client ha scaricato l'update, dovrebbe essere in proxy, e tutti gli altri di fatto lo trovano in locale e non ti saturano la banda del provider.

esatto il problema nell'azienda per ui lavoro è l'ampiezza di banda.
Abbiamo una linea in fibra sincrona da 10mb con circa 70 postazioni fisiche e virtuali.
Ho settato la cache locale su squid proxy a 100GB e l'oggetto massimo che deve memorizzare in cache l'ho settato a 5GB.
Vediamo come si comporta.
Purtroppo gli aggiornamenti microsoft sui pc fissi devo avviarli durante l'orario di lavoro perchè dopo le 17:00 vengono spenti.

La prima cosa da fare è andare nei log e vedere quali richieste fa l'app e quale/i IP vuole e poi andargli dietro a manina.

Hai già risolto?

Puoi postare uno schema della tua rete perché non capisco se hai 4 ISP, il sophos com'è collegato e dove attacchi un PC per fare le prove.

@veleno81:

Ciao a tutti
premesso che é il primo approccio con pfsense pertanto mi scuso anticipatamente per la banalità del mio quesito.
Ho installato pfsense configurato wan e lan e tutto funziona, il problema sorge con le altre tre schede di rete che danno regolarmente i vari IP ai pc loro connessi ma non passa la connessione e internet. Noto che nella prima lan nelle regole del firewall vi è un' impostazione che non riesco a copiare nelle altre interfacce. Grazie a tutti

Cosa intendi con 'il problema sorge con le altre tre schede di rete'? Quindi hai 5 interfacce sull'appliance (wan-lan-opt1-opt2-opt3)?

Il link da 30mt a che velocità lavora?

Sdoppiata vuol dire che di 8 cavi di un cavo di rete ne hai fatti 2 da 4? Quindi 100MBps? Hai usato le 2 copie ritorte per ogni semi-cavo?

Se il modello è Koala FW4L, le schede di rete (4 * Realtek RTL8111EVL) della Realtek non dovrebbero dare problemi.

Sì, puoi cambiare il nome dei file. Ma lo devi anche fare all'interno di essi, in quanto si richiamano a vicenda.

Risolto installando il pacchetto ftp_proxy.
Grazie mille  ;) ;)

Mmmm… se non c'è frà i pacchetti installabili di pfsense non saprei.
Certo, pfsense, essendo freebsd, potresti tentare di installarti un servizio ftp dai suoi repository (vedi comandi pkg) però poi la configurazione e gestione te la devi fare a shell.
In seguito non so se durante le fasi di aggiornamento però te lo ritrovi ancora installato, oppure venga rimosso.
Eventulamente prova a formulare la domanda a qualcuno nel forum internazionale

Ciao,

se non ricordo male io ho seguito https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server#Summary e tutto funziona correttamente.