hai risolto???? mi potresti dare una dritta su come fare?

hai poi trovato una soluzione??? io sono alle prese da poco con pfsense…. sono impiegato comunale.... Ho realizzato una macchina con pfsense.... per utlizzarlo come proxy chache e come filtro per i siti..... Il mio problema è la gestione delle utenze. Siamo molti dipendenti.... e vorrei realizzare un modo per automatizzare la modifica della password da parte di questi.  Mi potresti dare una dritta??? Grazie anticipatamente....

No… e dubito troverai una funzione del genere. Se devi lasciare un servizio ftp aperto al mondo, le tecniche da usare sono altre, fra le cui possibili sono: poni il server ftp in una rete dmz isolata che può accedere solo a internet, e che dall'ip pubblico venga fatto un redirect delle porte che ti servono (tipo l'ftp). Poi farai una regola che da Lan puoi accedere a dmz (ma non viceversa) sul servizio ftp poni dei controlli, dove dopo X tentativi, l'ip dell'attaccante venga bannato (se usi linux come ftp server, fail2ban è un pacchetto utile allo scopo) se usi linux, usa l'autenticazione diversa dagli utenti di sistema (es. usa un autenticazione bassata su mysql o ldap o se pochi utenti, anche da file) poichè stai usando pfsense, configura un ids, tipo snort o suricata che sono disponibili frà i packages, ed attiva le regole relative agli ftp server. Ricorda comunque di monitorarle perchè tendono a creare diversi falsi positivi. In tal caso dovrai disabilitare quelle che posso dare fastidio.

[ RISOLTO]Ciao ,era la scheda di rete integrata che faceva confondere….. ne ho messa una sul pci ed ho risolto il problema! Grazie

Nel file di config del client hai l'indirizzo IP pubblico del server Vpn da raggiungere ? Inoltre, se da PF-Sense vai su Status –-> Open Vpn dovresti vedere se effettivamente le richieste del client arrivano o meno. Così puoi capire a che punto si ferma il tentativo di collegamento.

Ciao Delf, l'utilizzo che vorrei fare della DMZ è solamente per aumentare il livello di sicurezza. non sono un esperto di firewall ma mi piace dilettarmi nel mondo informatico (il famoso smanettone)  :) leggendo su internete le varie info e guide sembrerebbe che una DMZ aumenti il livello di sicurezza sia in caso di "buco in entrata" sia in uscita. sopratutto per le uscite: ho un server exchange e vorrei che il mio server fosse il meno possibile soggetto a rischi di essere usato come server spam sto cencando anche varie info per capire bene come configurare delle regole firewall in uscita per impedire quanto sopra. non ho necessità di configurare la DMZ entro domani e sono piuttosto tranquillo con il firewall ma unire il "divertimento" di imparare cose nuove, all'utilità di aumentare la sicurezza mi sembra un buon compromesso.  :P attualmente ho pfsense configuarto cosi: ippubblico statico di telecome 123.123.123.123 che entra dentro al modem telecom 192.168.0.1 che è collegato alla wan 192.168.0.2 che a sua volta è nat 192.168.1.1 quindi lato modem telecom ho il forwording della porta 25 su 192.168.0.2 e lato firewall su 192.168.1.serverexchange ciao e grazie

Ok risolto. lasciando tutto invariato come avevo scritto nei primi post, ho dovuto attendere solo una nuova versione di pfsense che ha risolto la gestione degli alias con i dyndns. Ora tutto funziona  ;D ho escluso l'uso della vpn

Confermo… non avevo visto host name resolution da impostare e quindi era rimasta la voce standard Interface IP adress

Grazie mille per il tuo prezioso consiglio, ho creato la regola e messa in prima posizione nella LAN I gruppi con il tier erano già impostati essendo il FW impostato con il failover, ma ho preferito impostare il GW di uscita sulla WAN1 sempre, anche se casca la linea; questo perchè, ricevo dall'esterno sull'IP del GW, quindi se fosse down, non avrei comunque nessuna chiamata dall'esterno. Per ora vedo che funziona tutto regolarmente. Grazie ancora

sono riuscito con pazienza a farlo…. e ringrazio per le risposte! volevo solo qualcuno che lo facesse al posto mio perchè, essendo la prima volta e avendo configurato in 3 giorni VMware con vCenter - Nas Qnap per bck e storeg 5 server win con sql exchange e DC un server SAP ero praticamente "cotto" e "potevo" perdemi in qualche passaggio.... ::) ::) ::) ??? :P :-[

Quali regole utilizzi LAN (WiFi). Proxy?

Ciao Fabio, ti aggiorno: si ho tolto quella regola che era un refuso, la prima regola le comprende entrambe come consigliato da te ho messo una rete con ip privato ora utilizzo 192.168.0.0/16. Il traceroute aggiungendo le rotte corrette (che ti allego) e mettendo una rotta statica sull'asa (ti allego anche questo), si ferma al primo hop e cioè al server openvpn e se provo a fare un ping alla lan del firewall (il nuovo ip è 192.168.0.100) mi da "Destionation Host Unreachable". Sto sbagliando qualche rotta? Aggiornamento: Sniffando il traffico sul server openvpn e facendo un ping verso un ip che sta dietro pfsense (collegato in openvpnclient) da una macchina che sta nella stessa rete del server openvpn, ottengo "09:06:13.539313 IP 10.34.0.230 > 192.168.0.100: ICMP echo request, id 24886, seq 1, length 64" Quindi qualcosa arriva…ma non torna indietro. Grazie come sempre [image: NuoveRotte.png] [image: NuoveRotte.png_thumb] [image: RotteAsa.png] [image: RotteAsa.png_thumb]

Quella di usare una porta diversa dalla 80 per più webserver, è sconsigliato e da usare solo in casi particolari, principalmente per 2 motivi. gli utenti remoti, possono avere firewall o proxy server, configurati per raggiungere solo le porte più comuni, e non le altre, per cui solo porta 80, 25, 110 etc.etc. se tu poni gli altri web server su porte tipo 81 82 83 etc. possono non essere raggiungibili. Inoltre, nel tuo suggerimento, la porta 81 è sconsigliata perchè tutte le porte 0-1023 sono riservate:  https://it.wikipedia.org/wiki/Lista_di_porte_standard potresti avere necessità di gesti molti web server per cui dovresti assegnare molte porte. C'era anche un terzo motivo, con cui mi sono scontrato in passato, ma ora non mi viene più in mente :-P

Perfetto! Ti ringrazio per il chiarimento  :D

Ciao, se il collegamento è 1:n allora puoi usare un pfsense con 2 porte, ad una colleghi la macchina verso cui viene fatto (192.168.10.20) il traffico e sull'altra lo switch dove sono attestate le altre. Se fosse così sarebbe molto meglio avere 2 subnet (VLAN), diciamo una per i server ed una per i client e far fare al pfsense il routing layer 3. Ciao Fabio

Ciao, il metodo corretto è quello di installare il package cron, è l'unico che ti permette di inserire nel file di config (config.xml) le impostazioni in modo che ad ogni riavvio il file di configurazione del crontab venga rigenerato correttamente. Fabio