Configurazione base pfsense
-
No, solo la WAN utilizza un campo gateway che sarà poi l'IP 192.168.1.1
Alle interfacce OPT è possibile assegnare un GW ma non credo serva nel tuo caso, non c'è necessità di assegnare loro un GW e anzi a loro volta sono GW per i client dei rispettivi segmenti, ad es. l'IP della WI-FI 10.0.1.1 sarà GW per tutti i client che quell'interfaccia dovrà gestire.I client della LAN dovranno usare come DNS e GW 192.168.0.1
Quelli del WI-FI invece useranno come DNS e GW 10.0.1.1
Quelli della DMZ invece useranno 10.0.0.1 -
Vedi se è tutto chiaro prima di incominciare:
Pfsense:
rl0=LAN IP:(attuale IP=192.168.1.2/24)=192.168.0.1
SUB.:255.255.255.0
Gate.:192.168.0.1
DNS:192.168.0.1
rl1=WAN IP:192.168.1.2
SUB.:255.255.255.0
Gate.:192.168.1.1
DNS: ?
rl2=OPT1(DMZ) IP:10.0.0.1
SUB.:255.0.0.0
Gate.:10.0.0.1
DNS:10.0.0.1
ATH0=OPT2(Wi-FI) IP:10.0.1.1
SUB.:255.0.0.0
Gate.:10.0.1.1
DNS:10.0.1.1Router:
Lan= IP: 192.168.1.1
Sub.: 255.255.255.0
Gate.: 192.168.1.1
DNS: 192.168.1.1Ps alla WAN che DNS va messo?
-
In LAN non c'è possibilità di assegnare un GW o un DNS mentre per OPT1 e OPT2 io il GW non lo metterei nemmeno. In WAN come DNS puoi mettere quelli del tuo provider oppure l'ip del router. I restanti settings mi sembrano a posto.
-
Ma scusa OPT1 e OPT2 come vanno su internet? Scusa l'ignoranza..
A questo punto che ho sotto mano tutti i dati come procedo?Grazie.
-
E' sufficiente impostare una regola del firewall sia per OPT1 che per OPT2. E' possibiile anche usare un DHCP server per facilitarti le cose. L'importante è che i client di OPT1 e OPT2 siano configurati correttamente, loro sì che hanno bisogno del GW assegnato.
Una mia curiosità, OPT1 e OPT2 sono reti fisicamente separate da LAN o cosa?
-
OPT1(DMZ), OPT2(WI-FI) e LAN devono avere la possibilita di "vedersi", di condividere file e di andare su internet.Come posso iniziare? bisogna fare qualche regola? Come mi comporto? Spigami passo passo i procedimenti da fare.
Grazie.
-
Devi ricordarti prima di tutto 2 cose: la prima è che PFSense droppa tutto il traffico che non è esplicitato tramite una regola e seconda cosa quando hai più schede di rete c'è il forward automatico tra le interfacce. Questo vuol dire che gli IP di OPT1, OPT2 e LAN tra di loro si possono pingare ma per abilitare il resto del traffico va inserita una regola apposita.
Per esempio: voglio che il traffico dalla OPT2(WI-FI) passi verso la LAN? La regola da inserire è questà:
Proto Source Port Destination Port Gateway Schedule Description * OPT2 net * LAN net * * ABILITA TRAFFICO VERSO LAN -
Dove vanno inserite queste regole (qual' è il percorso?)? Mi faigli gli altri esempi per il mio caso?
Ma dopo tutto cio' dovrei aver concluso la mia configurazione? A parte ovviamente l'apertura delle porte per eMule..Grazie.
Morfeus8088.
-
Le regole vanno inserite in "Firewall" -> "Rules" una per ogni interfaccia che la regola abilita al traffico. Ti allego un paio di shots così capisci:
Negli shots come puoi vedere uso OPT2 come rete di partenza e LAN come destinazione. Se hai bisogno che altre interfacce dialoghino tra loro dovrai fare una regola sulla base di quella che ho postato cambiando rete di partenza e rete di destinazione.
Fatto ciò ti manca solo il NAT delle porte.
-
ho fatto le seguenti regole (seguendo i tuoi consigli):
wi-fi(opt2) –> lan
lan --> wi-filan --> dmz(opt1)
dmz --> lanwi-fi --> dmz
dmz --> wi-fiVa bene? Puo' bastare?
Passiamo al NAT?
Ps Scusa l'ignoranza adesso, dopo aver salvato, se spengo la macchina non perdo le configurazioni fatte giusto? -
Si dovrebbero bastare, se hai salvato le regole non si perdono quando fai il reboot del firewall.
-
A questo punto passiamo al NAT (che poi non so a cosa serve, scusa l'ignoranza in materia)?
PS E le porte da aprire in DMZ quando le facciamo? -
Ok ma tu mi devi dire cosa vuoi fare davvero, con un bello schema, con indicazione delle porte che usi o che dovrai usare e cosa dovranno gestire, inteso come traffico, le varie dmz o wi-fi del caso. Poi possiamo cominciare a parlare del NAT.
Scusa la franchezza e il fatto di essere di mio abbastanza diretto ma Pfsense NON è il programma giusto per chi è a digiuno dei fondamenti di networking in generale e NON è la soluzione migliore nel tuo caso perchè è un ambiente molto complesso e particolarmente ostico se un domani dovrai mettere mano alle regole o al NAT.
-
Zanotti, hai ragione, anche io sono franco con te: io sono solo un autodidatta che ha deciso di intraprendere la configurazione di un firewall con pfsense. Quindi io ti chiedo semplicemente un sostegno per fronteggiare tutto cio'. Ma se tu non vuoi piu' aiutarmi io capiro'.
Sicuro di una risposta.
Morfeus8088.
-
L'aiuto si da sempre ci mancherebbe ma siamo già alla terza pagina di thread e abbiamo fatto ben poco tranne un continuo botta e risposta che si poteva fare via pm.
Postami quello che ti ho chiesto intanto. -
Allora DMZ, WI-FI e LAN devono inanzitutto andare su internet e condividere files.
DMZ deve avere le seguenti porte aperte:
eMule=1469 TCP
eMule=1469 UDP
VNC=1475 TCP
Al seguente indirizzo IP: 10.0.0.2 (quindi DMZ non deve avere il DHCP abilitato).
LAN e WI-FI, invece devono avere DHCP abilitato.
Credo sia tutto.PS Comunque rifacendomi al discorso di prima io in teoria so cos'è il NAT(traduzione degli indirizzi di rete), è la pratica che mi manca..
-
Allora DMZ, WI-FI e LAN devono inanzitutto andare su internet e condividere files.
Per la condivisione dei files tra DMZ. WI-FI e LAN è sufficiente la regola negli screenshot che ho postato qualche giorno fa.
Per Internet invece devi aggiungerne un'altra, sempre una per ogni ethernet:
Nell'esempio io ho abilitato il traffico HTTP, HTTPS e ICMP dalla LAN. Le stesse regole le devi replicare per DMZ e WI-FI se devono fare altrettanto.
DMZ deve avere le seguenti porte aperte:
eMule=1469 TCP
eMule=1469 UDP
VNC=1475 TCP
Al seguente indirizzo IP: 10.0.0.2 (quindi DMZ non deve avere il DHCP abilitato).Questi screenshot ti mostrano come fare il NAT dall'esterno verso un IP interno, un IP della DMZ in questo caso:
LAN e WI-FI, invece devono avere DHCP abilitato.
Per abilitare il DHCP Server prima devi modificare la subnet mask della DMZ e della WI-FI da /8 a /24 altrimenti il DHCP farà un casino. Dopo che hai modificato vai in
"Services" -> "DHCP Server" e segui lo screenshot:
Ho settato un range di IP che il DHCP fornirà e credo siano sufficienti per il tuo uso. Per abilitare il DHCP sulla LAN dovrai seguire le stesse indicazioni.
-
Grazie Zanotti! Abbiamo quasi concluso il lavoro!
Adesso volevo sapere come andare a configurare le interfaccie ("interfaces"): soprattutto la Wan, Wi-fi e Dmz (puoi farmi gentilmente altri screenshoot?). infatti se vado a status –> interface, alla Wan, alla Dmz e alla wi-fi (alla voce status) mi dice: no carrier. Perche'? Lan invece mi dice "UP".Sul mio router che ha delle regole sulle porte di emule e vnc devo cambiarli indirizzo da 192.168.1.2 a 10.0.0.2?
Grazie ancora.
-
Se vedi il no carrier può essere che quelle ethernet non siano collegate o che il link salti di continuo oppure che non sono state abilitate. Fammi uno screenshot così capisco meglio.
Sul router invece dovrai fare in modo che tutto il traffico in entrata vada verso un IP poi è l'IP della WAN. A seconda del tipo di router questo si puo' fare tramite impostazione della DMZ oppure direttamente con le regole del firewall del router stesso.
-
OK é WAN scollegato (in type ho messo static, ho fatto bene?);
Dmz non so se è abilitato;
Wi-FI, non la vedo. Puoi farmi di tutte e tre le interfacce degli screenshot?Quindi devo aprire le porte al router all'indirizzo: 192.168.1.2?
Grazie!
PS Vorrei abilitare anche VNC(porta 1475 TCP) per LAN e WI-FI, come si fa'?
Inoltre, dimenticavo, per messenger e gli aggiornamenti antivirus di AVAST! bisogna abilitarli anch'essi?
