Ciao
grazie mille, l'informazione e' stata utilissima
Accursio

Salve,
ho istallato Snort e Okid, fin qui tutto regolare….ora vorrei bloccare skype, facebook e i p2p in generale ma al momento che spunto
Block offenders, chi genera gli alert va in black list per 60 minuti.
E' possibile bloccare il traffico senza però bloccare l'ip sorgente?

Grazie.

che tipo di ip virtuale
???  proxy arp carp  o other???

sapete mica qulcosa se se incompatibilita con il ppoe server???  cioe se abilito il pptp server non mi va piu il pppoe server !!

Ma su questo non sono sicuro … mi pare un mio cliente sul lago di garda abbia usato un modo simile e si è beccato un multone da fuoco. La legge è abbastanza specifica sul tipo di documenti richiesti, e serve un doc. d'identità valido con relativa copia.

Sempre sulla falsa riga mi risulta invece che in zona romagnola un altro mio cliente ha ragg. un accordo con la polizia locale ed il giudice che ha accolto la richiesta per poter utilizzare il tel. cellulare come dato univoco per l'identificazione ... ma ovviamente vi è tutta una documentazione CERTIFICATA - VIDIMATA e AUTORIZZATA dalle rispettive autorita vigenti.

Per cui io prima ne parlerei con chi di dovere e mi farei fare un foglio scritto, autentificato con tanto di marca da bollo (come atto notarile)

Ciaoz.-
By Ma.S.Caos.-

@Zanotti:

Per IP statici ti riferisci ad IP pubblici statici?

Si esattamente.

I server sono 1 server WEB e 1 dispositivo GATEWAY per 1 software FAD e Videoconferenza.

Adesso vado a dare un'occhiata a qualche guida su IP CARP e Proxy ARP per capire come funzionano.

Presta molta attenzione alle differenze tra CARP e Proxy ARP che non banali.

Non riesco a venirne fuori, ho disponibile uno switch managed, in che modo potrebbe essermi utile? Non ho mai lavorato con le VLAN, c'è qualcuno di buona volontà che possa darmi qualche suggerimento?

Io sono della vecchia scuola … se sono io che gestisco il firewall io DEVO sapere quali sono i proto da far passare e NON POSSO NON sapre se c'è qualche proto "OCCULTO". Nelle mie conf. passa solo il lecito il resto è un bel block Any.
Il prob. dei moderni client di P2P è che sono sempre più evoluti e riescono ad bypassare quasi tutto.
Qui si deve scegliere ... o un bel firewall l7 con il riconoscimento dell'layer delle applicazioni ... e per il mom. PAGHI (si esiste la possibilità di farselo a mano ma che 2 OO :D) o blocchi.

La mia scelta è quella di bloccare. Se puoi qualcosa non va mi si chiama, si leggono i log e poi si apre ciò che serve e nulla più.

Ciaoz.-

PS: ... esiste anche snot che può dare una mano ... :D :P

A solo titolo informatico puoi usare l'ev. sk. wifi (Atheros!) come AP direttamente da PF … che forse è anche più comodo.

Ciaoz.-

@LiquiD_85:

Ma l'arte di usare pfsene con un modem usb o ethernet è un arte oscura rivelata solo a pochi? non trovo nulla sul forum o in giro per la rete, non cè una guida o un piccolo straccio di documentazione?

Grz!

Modem USB … :D :D :D :D :D :D :D ... io ci son riuscito con pf2 ... ricompilando a mano TUTTO !!!

Con i modem ETH è gia più semplice ... se il tuo profilo adsl supporta il protocollo rfc 1486 bridge.

Ciaoz.-

@TheMoonlapse:

grazie della risposta  :D

per i log ho notato che squid è molto quotato, come si comporta con pfsense?
altra domandina, in termini "generali" quali sono le differenze tra l'uso di un captive portal e l'uso di un server radius? per ora mi pare di aver capito che il server radius offre sicuramente maggior sicurezza…

Be squid è squid … è che squid + pf non mi hanno mia convinto al 100% (per ora con la ver 2.x forse ... ma vedremo)

in realtà captive e radius sono due parti ben distinte, complementari tra loro.
Radius è un serve d'autentificazione ... captive nasce al solo scopo di "forzare il traffico verso un certo punto, qui chiedere un autentificazione e se questa va a buon fine lasciar passare il traffico verso la sua destinazione" questo è captive in parole povere. Diciamo che è un po come un grosso "imbuto" che prende tutto il traffico sulla rete (ovviamente seguendo delle regole) se sei autentificato passi se no vieni rigettato. Ed è nella fase dell'autentificazione che entra in gioco radius, che lo puoi usare con mezzo d'autentificazione al posto del più "semplice e leggero" integrato in captive.

.... spero d'aver dato un mano ...

ciaoz.-

Mi spiace ma con squid mi cogli in fallo … ho fatto molti esp. ma non sono mai stato soddisfatto a pideno di squid (con pf intendiamoci) ... ho lo stò provando con pf2 ed è tutta un altra storia ... sono certo però che con la modalità trasparente abilitata ci siano delle limitazioni aggirabili solo con delle ben determinate regole di firewall e nat reflection ... un lessi un post ... ma non mi ricordo se qui in ita o nel generale.

Ciaoz.-

l'unico problema di fastweb è che non hai un ip pubblico.
Forse lui ha risolto facendo partire il collegamento dalla macchina che sta su rete fastweb verso quella fuori rete fastweb…
imho :)

Da quello che hai scritto si … una volte che le interfacce che usi per connetterti ad internet sono collegate e conf. e non hanno conf. uguali (OVVIAMENTE) puoi fare cio che vuoi.

Ciaoz.-
Ma.S.Caos.-

Ho dovuto reinstallare tutto partendo questa volta dalla 1.2.2 tinyndns sembra che se installato, cancellato tutto anche file di configurazione a manella e reinstallato si pianti dopo una decina di secondo, senza indagare quindi ho spianato tutto.

Ho creato il primo dominio con il SOA [c'è il wizard]
non ho utilizzato il failover ne il modulo per sincronizzarlo sul secondo fw, ho detto semplicemente a quello di backup di prendersi tutte le zone dal primo firewall [mettendo sul master la password  e l'ip del secondo fw e su quello di backup (nella schermata general) ho impostato ip e come zone un bel *]

ora si sincronizza perfettamente
con il pacchetto nuovo di tinydns non c'è più il problema per l'mx.

Quindi ricapitolando, non so perché ma una volta installato è meglio non rimuoverlo, bisogna utilizzare l'ultima versione!

spero che questi appunti servino anche ad altri, ci ho sbattuto la testa due settimane, ho pensato di tutto ehehe!

ciao

Infatti ho seguito quella guida ;)
Grazie x il nuovo link.
Ciao
Max

credo con una regola:

tutto il traffico sulla porta  :log ( non la ricordo..)  va dove gli pare MA USA COME gateway non piu il default ma opt1 .
io uso il loading balancing e mi sono accorto che alcune  banche vanno in crisi se vuoi fare e-bancking con il load balancing:
soluzione:  l'ip del client ha una regola tutta sua che invece di farlo uscire sul gateway che ho chiamato balw1-2-3-4  ( e' un balance con  4 adsl 20 mega..) lo faccio uscire sul default gateway. so che puo sembrare che non centra un tubo ma penso che la config sia molto similare. ricorda che lip client e quello di pf e che la regola deve essere messa per prima!

spero che funzioni e alla prox

Ho risolto!!! Stupidamente, molto da newbie loser, non ho considerato che i server sulla DMZ hanno come gateway il firewall che è attualmente in uso e quindi non posso provare il nuovo finchè non faccio il passaggio da uno all'altro!

il server riceve  i pacchetti … il client li spedisce... e attende d'autenticazione rilasciata dal server..