grazie mille per l'info
lunedì dovrebbe arrivare l'alix (spedizione lentissima  >:(  )

@appavito:

…nei test che ho fatto evevo la necessità di proxare ( tenere in proxy le pagine piu utilizzate) e di uscire con il bilanciatore..
se abilitavo tutti e due su una singola interfaccia, o facevo uscire la lan ( nei miei test) con il default gateway , e proxava, o facevo uscire la lan con il bilanciatore... e non proxava..

ho risolto mettendo un bilanciatore a monte di una macchina adibita a proxy..

Grazie della risposta; ho risolto così io pure mettendo a monte una macchina Debian che fa da failover e loadbalancer delle due adsl presenti

Grazie del feedback

ciauz

@pier1969:

Salve a tutti sono un nuovo utilizzatore di pfsense.
Faccio il webmaster di un sito, ultimamente qualcuno ha preso di mira il ns. sito con attacchi dos, quindi ho cercato di correre hai ripari con un firewall, mi hanno consigliato pfsene, ma appena messo su gli attacchi hanno contunuato.

Qualcuno di voi sà se c'è da settare qualcosa in particolare per difendersi da questi attacchi?

Grazie

Buone feste a tutti

Vedi se con snort riesci a tamponare la cosa. In teoria con il modulo IPS, e l'uso delle emerging rules dovresti farcela senza troppi grattacapi.

Ciauz

@appavito:

…... se ti serverebbe la stessa configurazione su piu interfacce credo che sarebbe possibile, bindi due ethernet... ma  non credo sia fattibile se da una parte di serve trasparent e dall'altra no...

Ciao, grazie per la conferma. Mi ero addentrato negli esperimenti nel frattempo e ho verificato che non è possibile come hai citato tu sopra. Grazie lo stesso per il feedback e per il consiglio ;)

Ciauz

io  ho rispolto il problema dei log  facendo salvare tutti i log ad un server esterno: una macchina server2003 con kiwi … non ho messo il proxi...

diverse volte ho discusso su cosa va loggato e cosa no:

sicuramente va loggato le richieste di autenticazione e di abbandono.
il traffico non e' necessario. ( immagina telecom o fastweb se loggassero tutto il traffico  del tipo utente---server , quanti tera al giorno creerebbero???? )
il mio titolare ( lavoro per un isp )  cioe' chi va in galera nel caso di problemi..... mi dice di loggare solo le richieste di autenticazione:

devi dire chi era connesso e da che ora, non cosa sta vedendo ( a meno che ci siano politiche specifiche di monitoraggio..)

non ho capito bene scusa…

se vuoi pubblicare un servizio anche sulla wan di pfsense  giustamente devi fare un portfw... in tal caso  tutti i pacchetti che arriveranno sulla wan:numeroPorta  verranno girati su  ipprivato:porta a patto che pero' il gateway del server da pubblicare sia pfsense che effettua il port fw..

puoi provare ad inserire un  next-hop...

non un funge cosi: devi ragionare innanzi tutto su come evvengono le sessioni http:

tu spari una richiesta http , e il server ti '' bombarda'' con una miriade di pacchetti di risposta…..
se mandi una richiesta sola ( pacchetto singolo) al massimo saturerai unalinea.
ma se mandi due richieste, una da una linea e una da un altra, il server ( o i servers...)  ti risponderanno con una valanga di pacchetti..
in tal caso  utilizzerai  tutte e due  le linee..

ci sono diversi tipi di load balancing.. quello implementato da pfsense e' tipo round rubin non pesato ( che puo essere pesato con diversi stratagemmi...)  funge tipo cosi:

un pacchetto sulla wan1
una pacchetto sulla wan2
un pacchetto sulla wan1
una pacchetto sulla wan2
un pacchetto sulla wan1
una pacchetto sulla wan2

quindi ipotesi: vai su debian e tiri giu na distro,  provabilmente ciuccierai tutte e due le linee fino al tappo.... dato che occorrerranno diversi pacchetti up per fare il down di tutta l'immagine e provabilmente parte dei pacchetti di richesta saranno inviati dalla wan1 e parte dalla wan 2 ..

quello che ti consiglio pero se devi solo fare il balancing, quindi un ti servono filtraggi firewall, capitive portal o dhcp.. buttati su vyatta..
finge molto meglio per lo scopo... pero fa solo da router, non da firewall..

si puo fare ma rimane molto complesso … puoi fare un filtro all'ip del sito ( e non con il nome dns..)  che blocca  usando lo scheduler della regola di firewall per farla attivare o disattivare  a tempo..

Schedule
Leave as 'none' to leave the rule enabled all the time.

utilizzando  un proxi ce la potresti fare  a filtrare il nome... ma gestire lo scheduler e molto piu complessoo....

ottimo consiglio…  anzi live  al limite...

Ciao,
il trsffic shaper può ssere escluso, l'ho disabilitato e non è cambiato nulla.
Non avevo pensato alle collisioni o a problemi di routing. Secondo te abilitare il RIP potrebbe aiutare ad eliminare eventuali problemi di routing?

L'altra prova che suggerisci l'ho fatta in varie condizioni, ora ho scoperto che nel caso in cui ho un upload anche di dimensioni ridotte da uno dal server web della sede 1 (upload verso internet e non verso la VPN), decadono drasticamente le prestazioni sulla VPN tra la sede 1 e la sede 2.
In particolare il ping dalla sede 2 alla sede 1 passa dai 22ms di ritardo a 300ms ed anche più.

Ora che in caso di utilizzo della banda anche per altri servizi crei concorrenza e quindi le prestazioni su riducono è un po'la scoperta dell'acqua calda ma comunque il degrado delle prestazioni mi sembra elevato.

Ciao e Grazie

ti potrei dire due strade possibili, una più complicata ma sicuramente funzinante e un'altra più semplice ma più incerta (e anche insicura)

1-attivare l'universal plug and play sia sul pfsense che sul muletto, in modo che si arrangino loro a sbrigarsi per le porte ogni volta, in teoria dovrebbe funzionare però ti espone a rischio sicurezza

2- per ogni pc impostare un set di porte ed ad ogni emule di ogni pc specificare le relative porte: ad ogni 'musso' servono sostanzialmente 2 porte che puoi decidere arbitrariamente, basta dire al firewall che il pc1 usi la 4662 4672, il pc2 la 4762 e la 4772, il pc3 la 4862 e la 4872…ogni computer quindi va configurato in modo scrupoloso (ip delle schede, porte su pfsense, impostazioni connessione dei muletti)

Sistemato creando una Destination dedicata e filtrando utilizzando le expression con separatore |.

Una volta inserita la destination, la troverete nalla lista "destination ruleset" ( quelle che vengono caricate automaticamente se impostate un URL come blacklist) e da li selezionate l'esito della rule ( deny,allow,white)

Inconveniente: se filtrate le expression "ass" e "sesso" cercate "assessore", la ricerca viene bloccato da squid.

Idee ?

Thanks

lo fa quando non sente piu dns… a me lo faceva spesso...      reboot necessario... sei sicuro che la linea sia completamente apposto??

spara un ping continuativo con un portatile mettendoti a monte di pf e guarda se ti crolla anche quello quando va giu pf.....

….mai trovato.... credo che al max o ti giri su prodotti per la gestione di reti piccolo medie ( tipo clarc connect) o devi mettere un macchina in piu e poi lavorare di regole...

aia… mi sa che un puoi senza radius esterno ( e anche con radius esterno ce da tribbolare ...)...

noi usiamo alvarion :-)  occhio alla ubiquiti perche si crepano facilmente ( molto delicate a livello elettrico..)

BE MOLTO  GREZZAMENTE LIMITA LA BANDA A LIVELLO DI  RADIO CLIENT...... veloce, facile e non centralizzato ( e quindi piu difficile da gestire..)

considera che noi come provider non teniamo  i log delle pagine viste, ma i log delle autenticazioni .. devi sapere chi e a che ora usava la tua rete.. non cosa a visto ..
( se la telecom dovesse tenere i log di ogni chiamata per ogni utente produrrebbe qualcosa come un paio di terabyte al giorno…)...
inoltre per la privacy non e' bene che vai a spippolare per sapere cosa e dove guardano i tuoi utenti..

comunque in ogni caso anche nel log totale di ogni connessione,
basta che attivi nelle regole di firewall  che istradano il traffico abilitato ( per capirci quelle verdi..) l'opzione di registrazione dei log ( un mi ricordo ma credo si chiama la scritta ma centra la parola log..)..
ti consiglio inoltre di mettere una macchina esterna con demone syslog e dischi ridondati.. MAGARI SU UN INTERFACCIA A PARTE DI PF  in modo fa creare la tua rete amministrativa privata su cui magari pubblicare servizi in un futuro , come ftp, radius o servizi web...) noi usiamo un serverino hp  con windows server 2003 e kiwi...

basta che vai su nat- port fw e puoi prendere porte lato wan e pubblicarle lato lan… io lo uso spesso per il remote mgm!