Substituindo Fw linux por Pfsense
-
- um sistema de ids, basicamente para avisar de tentivas de invasao.
Snort. Pacote excelente no pfsense, mas tem que entender de snort para configura-lo corretamente
Sem dúvida, o Snort é excelente! Mas consome muita memória e algum processamento. Esteja atento a isto.
No fórum internacional tem dicas muito boas sobre a configuração do Snort, inclusive para novos usuários. -
Obrigado pelas dicas até aqui….
Quanto aos links acabei nao deixando bem claro como é:
Link1 - Conexao dedicada de 512 Kb, usada para e-mail / dns e acessos ssh. Possui 3 ips fixos e onde estao configurados mx e dns reverso do dominio. È a mais estavel.
Link 2 - Conexao via radio de 10 Mb, usado para navegação. Possui 1 ip fixo. Tem boa velocidade mas as vezes cai. -
Quanto ao squid. Tenho como copiar o arquivo passwd do linux com os usuarios e senhas? e o arquivo grupos e acls tambem?
Pois quando preciso trocar um firewall linux, normalmente copiando o squid.conf, o passwd e as pastas de acls e grupos de uma maquina para outra ( e fazendo os devidos ajustes no squid.conf) consigo migrar os usuarios, grupos e acls.
Não sei se com o pfsense o mesmo procedimento funciona.Pro bind to usando como base esse topico:
http://forum.pfsense.org/index.php/topic,52034.msg278183.html#msg278183 -
Você pode configurar qualquer coisa do squid usando o campo custom options na interface web.
Arquivos customizados podem ser configurados usando o pacote filer, para mante-los no backup do pfsense.
-
- um sistema de ids, basicamente para avisar de tentivas de invasao.
Snort. Pacote excelente no pfsense, mas tem que entender de snort para configura-lo corretamente
Sem dúvida, o Snort é excelente! Mas consome muita memória e algum processamento. Esteja atento a isto.
No fórum internacional tem dicas muito boas sobre a configuração do Snort, inclusive para novos usuários.Ja estou dando uma pesquisada, achei um topico interesante já:
http://forum.pfsense.org/index.php/topic,61018.0.html -
Uma duvida….
Na maquina atual tenho 5 placas de rede, caso precise trocar de maquina, com uma que tem 3 placas de rede. Poderei ter problemas se usar interfaces virtuais ??.... algo assim
Agora:
eth0 - Link 1
eth1 - Link 2
eth2 - rede interna ( 192.168.1.x)
eth3 - DMz ( 192.168.10.x)
eth4 - Conectada a um roteador wifi
Ficaria algo como:
eth0:1 Link1
eth0:2 Link 2
eth1 - rede interna
eth2:1 - DMZ
eth2:2 - Wifi -
Para usar interfaces "virtuais" seria necessário criar VLANs, nesse caso um Switch Layer 3 é necessário.
-
Para usar interfaces "virtuais" seria necessário criar VLANs, nesse caso um Switch Layer 3 é necessário.
E teria alguma solução sem que necessite de switch Layer 3?
-
Sem o switch, não vai ficar legal. Você pode até subir várias faixas de ip, mas o tráfego entre as redes no mesmo segmento não vai ficar isolado.
-
Sem o switch, não vai ficar legal. Você pode até subir várias faixas de ip, mas o tráfego entre as redes no mesmo segmento não vai ficar isolado.
Acho que se surgir essa situacao o que farei sera:
1 placa para cada link
e 1 placa com a faixa da rede interna, a faixa da dmz e do roteador wifi. ???
Sera uma situação temporaria…soa te configurar o servidor de produção.Fiz a pergunta pois a maquina que roda atualmente é um servidor hp que tem slot pra todas as placas, mas para fazer a transição e nao deixar nada fora quero primeiro configurar uma maquina para colocar no lugar dele enquanto configuro ele (servidor de transição). So que as que tenho aqui so tem a placa on mais 2 slots pci.
-
Bom…agora sobre o DNS server....
Tenho dois dominios que rodam no bind no linux atualmente, com reverso configurado.... pesquisa recursiva somente para a rede interna ( 192.168.0.0/24).....
Vi o topico sobre o pacote do bind.... e tambem instalei o dnsserver-tynydns para dar uma olhada ( num pfsense que roda numa maquina virtual de testes)
Me "parece" que o tynydns tem uma administração mais simples, por ter a interface grafica....
No linux sempre trabalhei com o bind/named sem problemas...... mas apanhei um pouco pra usar ele aqui no pfsense ( mesmo seguindo o tutorial que citei antes).O tinydns é uma boa opção para usa?? Pergunto pois até então não havia tido contato com ele ainda....
-
O tinydns é uma boa opção para usa?? Pergunto pois até então não havia tido contato com ele ainda….
Viu se o pacote configura mais de um domínio?
-
O tinydns é uma boa opção para usa?? Pergunto pois até então não havia tido contato com ele ainda….
Viu se o pacote configura mais de um domínio?
Nos teste que fiz, rodei o New domain wizard duas vezes, com dois dominios diferentes e criou todas as entradas no registro (Add/Edit record)
-
Nos teste que fiz, rodei o New domain wizard duas vezes, com dois dominios diferentes e criou todas as entradas no registro (Add/Edit record)
Se os registros não se misturam, pode configura tranquilo então.
-
Nos teste que fiz, rodei o New domain wizard duas vezes, com dois dominios diferentes e criou todas as entradas no registro (Add/Edit record)
Se os registros não se misturam, pode configura tranquilo então.
Parece que nao misturaram nao…fiz o teste.com com os ips 100 e novoteste.net com 200 e parece tudo certo....o print da tela.
-
Você pode configurar qualquer coisa do squid usando o campo custom options na interface web.
Arquivos customizados podem ser configurados usando o pacote filer, para mante-los no backup do pfsense.
Posso editar diretamente o arquivo squid.conf que fica em /usr/pbi/squid-i386/etc/squid e ajustar as opcoes que preciso?
por exemplo:
onde agora tem:# Custom options redirect_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf redirector_bypass off url_rewrite_children 5 auth_param basic program /usr/pbi/squid-i386/libexec/squid/ncsa_auth /var/etc/squid.passwd auth_param basic children 5 auth_param basic realm Please enter your credentials to access the proxy auth_param basic credentialsttl 60 minutes acl password proxy_auth REQUIRED http_access allow password localnet http_access allow password allowed_subnetsqueria mudar para o meusquid.passwd, que tem todos usuarios e senhas que uso autalmente, copiando ele na mesma pasta e mudando a linha para :
auth_param basic program /usr/pbi/squid-i386/libexec/squid/ncsa_auth /var/etc/meusquid.passwdEDITANDO:
Tentei copiar e colocar o conteudo do meu arquivo no squid.passwd, mas ele so pega os usuarios que sao cadastrados pela interface web ( aba local users)
Tentei pelo filer, apontando o caminho para o /var/etc/squid.passwd e copiando o conteudo, dae funcionou. O unico porem é que se preciso editar a senha do usuario, dae tenho que tirar ele do arquivo la no filer e cadastrar novamente pela interface web. Na interface web do pfsense só são listados os usuarios que foram criados por la -
altere o arquivo squid.inc para pesquisar seu arquivo em outro lugar. É ele quem gera o arquivo de configuração do squid.
Como alternativa, você pode instalar o pacote filer para editar o arquivo. Desta forma suas alterações ficam no backup.
-
altere o arquivo squid.inc para pesquisar seu arquivo em outro lugar. É ele quem gera o arquivo de configuração do squid.
Como alternativa, você pode instalar o pacote filer para editar o arquivo. Desta forma suas alterações ficam no backup.
Nao consegui achar o arquivo…
dei um find / "squid.inc" e o resultado: find: squid.inc: No such file or directory :P -
/usr/local/pkg/squid.inc
-
/usr/local/pkg/squid.inc
Obrigado marcelo, acabei testando com o filer e parece que deu certo… como eu fiz:
- Pelo filer alterei o arquivo /var/etc/squid.passwd com a minha lista de usuarios e senhas criptografadas. Depois pela interface grafica adicionei novos usuarios e funcionou tanto os que eu coloquei pelo filer quanto os cadastrados depois na interface web.
Mas depois que crio ou altero um usuario na interface web, tenho que abrir o filer, abrir o arquivo novamente e fechar. Senao o squid pega somente os usuarios que estao configurados na interface web.
Os grupos acabei criando manualmente na interface web e colocando os usuarios.... nao leveou mais que 1 hora para ajustar tudo.
Aparentemente a parte do squid ficou ok agora. Vou fazer alguns testes hoje de navegação.
- Pelo filer alterei o arquivo /var/etc/squid.passwd com a minha lista de usuarios e senhas criptografadas. Depois pela interface grafica adicionei novos usuarios e funcionou tanto os que eu coloquei pelo filer quanto os cadastrados depois na interface web.
