Переход от iptables на PfSense

AntonR69

@werter
Спасибо. День добрый. Снес снорт, поставил сурикату. Почтовые серваки не блочит, но сегодня заблочил сервера обновления и репозиториев pfsense. Хотел пакет поставить, а он мне - Ишь, чаво захотел. Вобщим, отключил пока режим блокировки. Буду пока наблюдать, уму-разуму набираться.
Я тут pfsense поставил на сервант. На железном раиде сделал raid1 из двух дисков. Все встало замечательно, но потом меня осенила мысль, а чем я буду контролировать диски в этом раиде, посмотрел, а оказалось нечем. Придется все снести и сделать софтовый раид GEOM встроеный в pfsense.

AntonR69

@antonr69
Не прокатил у меня мой вариант. Сервант dell Poweradge 1950 с корзиной из двух дисков. Raid контроллер дает только 3 варианта. Raid0 с одним диском, raid0 c двумя и raid1 с двумя дисками. Так что raid geom не получилось использовать. Ну и ладно, будем периодически в idrac заходить для контроля состояния дисков.

pigbrother

@antonr69 said in Переход от iptables на PfSense:

dell Poweradge 1950

Не слишком ли горячая машина для PfSense?

werter

Добрый.
@antonr69
Ложные срабатывания возможны (~1%).
Сурикат (как и любая IDPS) требует некоторого "обучения" - придется руками его потыкать не-кое время.

Dell PowerEdge 1950

У вас там PERC 5i вроде в кач-ве контроллера. Поищите по 'PERC 5i it mode' в гугле - может и получится его перешить.

AntonR69

@pigbrother said in Переход от iptables на PfSense:

Не слишком ли горячая машина для PfSense?

Может быть чуток лишака. Пока я не поставил PfblockerNG хватало коры дуба Е7400 с 4 гигами оперативки. Как поставил PfblockerNG машинка моя загнулась. Это мощная система фильтрации требует больше оперативки и процессора. Этот пакет загружает у меня более 3 миллионов адресов в память. Проц иногда до 40% подскакивает, а их там два 4-х ядерные. Одного наверное хватило бы.

werter

@antonr69
Развернуть гипер и в нем отдельно пф + pi-hole или adguard home для фильтрации.
И глянуть как будет работать.
Зы. Кстати, adguard home можно прямо на пф вместо пфблокера развернуть.

AntonR69

@werter said in Переход от iptables на PfSense:
Всем привет. Я тут вчера попробовал на базе pfblockerng включить geoip (MaxMaind) фильтрацию. Из разрешенных осталась только Россия. Среди заблокированных оказался клиент из Питера. Его IP реально бьётся на 2ip.ru как питерский, а заблокировал его африканский модуль. Как так, где у него кукушка съехала?

werter

@antonr69
А кто ж его знает. Люди делают ПО - люди не идеальны.

AntonR69

Еще подскажите пожалуйста. В Kerio controll в разделе DNS я мог сделать статические записи для локальных хостов, например, имя nas соотносится к ip xxx.xxx.xxx.xxx После создания такой записи я мог попадать на ресурсы вводя одно имя nas. В pfsense почему то я к имени должен добавить еще и имя домена. То есть, запись работает, но только в сочетании nas.domain.xxx. просто по nas не ходит. Это так заложено или я что то не так делаю? Вроде все по инструкции делал.

werter

@antonr69

просто по nas не ходит

И не надо. Настройте по nas.domain.xxx.
При этом у клиентов в настройках сети 1-м днс-ом должен быть пф.
И тогда клиент сможет обращаться и по nas и по nas.domain.xxx.

AntonR69

@werter said in Переход от iptables на PfSense:

@antonr69

При этом у клиентов в настройках сети 1-м днс-ом должен быть пф.
И тогда клиент сможет обращаться и по nas и по nas.domain.xxx.
Дело в том что первым днс как раз стоит pfsense, и при этом по имени без домена не ходит.