ma … gia ora si può scegliere il kernel smp o std .. per il pae non so ... dovresti aprire un post sulla sez. di sviluppo.

In ogni caso per usare 4GB di ram che devi fare 1000 (MILLE !!) tunnel IPSEC e gestire 50 interfacce di rete ...

Ciaoz.-

provato con un virtual ip?

crei un virtual ip  nella lan1 la lan due lo dovrebeb putnare come gateway

Riuppo questa discussione perché la mia domanda è correlata…

Premetto che sono ancora alle prime armi, sopratutto con questi argomenti (per cui vi chiedo un po' di clemenza o almeno un'indicazione su dove andare ad attingere informazioni).

Mi trovo nella seguente condizione:
Ho un modem/router con 5 indirizzi pubblici (più la possibilità di uscire con un indirizzo dinamico), quindi c'è pfSense (con 2 interfacce di rete: WAN e LAN) e "dietro" ci sono alcuni Pc, abilitati a navigare su Internet.
Quando pfSense ha come indirizzo della WAN uno degli indirizzi pubblici anche i Pc vengono visti con lo stesso indirizzo, mentre se la WAN è nella stessa sottorete del modem/router hanno un indirizzo dinamico. Quello che vorrei fare è che i Pc "dietro" utilizzino l'IP dinamico mentre l'IP pubblico venga utilizzato dal firewall (per una connessione VPN): è possibile tutto ciò?

grazie per la risposta….. avevo postato anche nel forum inglese e la riposta è stata la stessa.
ciao e scusa per il ritardo.

Ciao
grazie mille, l'informazione e' stata utilissima
Accursio

Salve,
ho istallato Snort e Okid, fin qui tutto regolare….ora vorrei bloccare skype, facebook e i p2p in generale ma al momento che spunto
Block offenders, chi genera gli alert va in black list per 60 minuti.
E' possibile bloccare il traffico senza però bloccare l'ip sorgente?

Grazie.

che tipo di ip virtuale
???  proxy arp carp  o other???

sapete mica qulcosa se se incompatibilita con il ppoe server???  cioe se abilito il pptp server non mi va piu il pppoe server !!

Ma su questo non sono sicuro … mi pare un mio cliente sul lago di garda abbia usato un modo simile e si è beccato un multone da fuoco. La legge è abbastanza specifica sul tipo di documenti richiesti, e serve un doc. d'identità valido con relativa copia.

Sempre sulla falsa riga mi risulta invece che in zona romagnola un altro mio cliente ha ragg. un accordo con la polizia locale ed il giudice che ha accolto la richiesta per poter utilizzare il tel. cellulare come dato univoco per l'identificazione ... ma ovviamente vi è tutta una documentazione CERTIFICATA - VIDIMATA e AUTORIZZATA dalle rispettive autorita vigenti.

Per cui io prima ne parlerei con chi di dovere e mi farei fare un foglio scritto, autentificato con tanto di marca da bollo (come atto notarile)

Ciaoz.-
By Ma.S.Caos.-

@Zanotti:

Per IP statici ti riferisci ad IP pubblici statici?

Si esattamente.

I server sono 1 server WEB e 1 dispositivo GATEWAY per 1 software FAD e Videoconferenza.

Adesso vado a dare un'occhiata a qualche guida su IP CARP e Proxy ARP per capire come funzionano.

Presta molta attenzione alle differenze tra CARP e Proxy ARP che non banali.

Non riesco a venirne fuori, ho disponibile uno switch managed, in che modo potrebbe essermi utile? Non ho mai lavorato con le VLAN, c'è qualcuno di buona volontà che possa darmi qualche suggerimento?

Io sono della vecchia scuola … se sono io che gestisco il firewall io DEVO sapere quali sono i proto da far passare e NON POSSO NON sapre se c'è qualche proto "OCCULTO". Nelle mie conf. passa solo il lecito il resto è un bel block Any.
Il prob. dei moderni client di P2P è che sono sempre più evoluti e riescono ad bypassare quasi tutto.
Qui si deve scegliere ... o un bel firewall l7 con il riconoscimento dell'layer delle applicazioni ... e per il mom. PAGHI (si esiste la possibilità di farselo a mano ma che 2 OO :D) o blocchi.

La mia scelta è quella di bloccare. Se puoi qualcosa non va mi si chiama, si leggono i log e poi si apre ciò che serve e nulla più.

Ciaoz.-

PS: ... esiste anche snot che può dare una mano ... :D :P

A solo titolo informatico puoi usare l'ev. sk. wifi (Atheros!) come AP direttamente da PF … che forse è anche più comodo.

Ciaoz.-

@LiquiD_85:

Ma l'arte di usare pfsene con un modem usb o ethernet è un arte oscura rivelata solo a pochi? non trovo nulla sul forum o in giro per la rete, non cè una guida o un piccolo straccio di documentazione?

Grz!

Modem USB … :D :D :D :D :D :D :D ... io ci son riuscito con pf2 ... ricompilando a mano TUTTO !!!

Con i modem ETH è gia più semplice ... se il tuo profilo adsl supporta il protocollo rfc 1486 bridge.

Ciaoz.-

@TheMoonlapse:

grazie della risposta  :D

per i log ho notato che squid è molto quotato, come si comporta con pfsense?
altra domandina, in termini "generali" quali sono le differenze tra l'uso di un captive portal e l'uso di un server radius? per ora mi pare di aver capito che il server radius offre sicuramente maggior sicurezza…

Be squid è squid … è che squid + pf non mi hanno mia convinto al 100% (per ora con la ver 2.x forse ... ma vedremo)

in realtà captive e radius sono due parti ben distinte, complementari tra loro.
Radius è un serve d'autentificazione ... captive nasce al solo scopo di "forzare il traffico verso un certo punto, qui chiedere un autentificazione e se questa va a buon fine lasciar passare il traffico verso la sua destinazione" questo è captive in parole povere. Diciamo che è un po come un grosso "imbuto" che prende tutto il traffico sulla rete (ovviamente seguendo delle regole) se sei autentificato passi se no vieni rigettato. Ed è nella fase dell'autentificazione che entra in gioco radius, che lo puoi usare con mezzo d'autentificazione al posto del più "semplice e leggero" integrato in captive.

.... spero d'aver dato un mano ...

ciaoz.-

Mi spiace ma con squid mi cogli in fallo … ho fatto molti esp. ma non sono mai stato soddisfatto a pideno di squid (con pf intendiamoci) ... ho lo stò provando con pf2 ed è tutta un altra storia ... sono certo però che con la modalità trasparente abilitata ci siano delle limitazioni aggirabili solo con delle ben determinate regole di firewall e nat reflection ... un lessi un post ... ma non mi ricordo se qui in ita o nel generale.

Ciaoz.-

l'unico problema di fastweb è che non hai un ip pubblico.
Forse lui ha risolto facendo partire il collegamento dalla macchina che sta su rete fastweb verso quella fuori rete fastweb…
imho :)

Da quello che hai scritto si … una volte che le interfacce che usi per connetterti ad internet sono collegate e conf. e non hanno conf. uguali (OVVIAMENTE) puoi fare cio che vuoi.

Ciaoz.-
Ma.S.Caos.-