Substituindo Fw linux por Pfsense

marcelloc

@LFCavalcanti:

Apenas uma questão: O uso da porta 25 para servidores SMTP está sendo desencorajado mundo a fora e especificamente no Brasil houve uma determinação da CGI.BR para mudar para a porta 587.

Esta determinação é para comunicação entre cliente e servidor. A maioria das ADSLs hoje já bloqueia a comunicação pela porta 25.
Entre servidores a comunicação continua pelo smtp mesmo.

marcosjost

@marcelloc:

No smtp só o destino tem porta 25.
Se arrisque mais no tcpdump. Ele responde perguntas muito melhor e mais Rápido que nós do fórum.

Acho que foi falta de atenção minha, pois se tem uma regra de nat redirecionando do link1 pra esse ip e porta, ela já é a origem… So teria que fazer a regra para o caminho de volta ( desntino).  ::)

marcosjost

Bom, a migração para o pfsense na maquina 32 bits foi terminada. Ja ta rodando com squid, squidguard, bind e vpn.
Depois vou ver se faço um post com as principais dificuldades encontradas e as soluções.
Agora vou iniciar a instalação na maquina de 64 bits( servidor ibm x3200 m3 com 4 Gb de ram e dosi hds de 250 Gb em raid). Instalar os pacotes e copiar as configurações pra ele.

marcosjost

@marcosjost:

Bom, a migração para o pfsense na maquina 32 bits foi terminada. Ja ta rodando com squid, squidguard, bind e vpn.
Depois vou ver se faço um post com as principais dificuldades encontradas e as soluções.
Agora vou iniciar a instalação na maquina de 64 bits( servidor ibm x3200 m3 com 4 Gb de ram e dosi hds de 250 Gb em raid). Instalar os pacotes e copiar as configurações pra ele.

Esse ibm deu trabalho…. ???
http://forum.pfsense.org/index.php/topic,68340.0.html
So consegui instalar o pfsense nesse servidor virtualizando com o xenserver.
Bom, ele esta instalado e pronto... Agora tenho uma dúvida.... como copiar as configurações ( regras de firewall, configuracoes do squid e bind) para essa maquina?
Usar o backup/restore funcionara? sendo que a maquina que ta rodando atualmente é uma de 32Bits com 4 placas de rede, essa nova virtualizada é 64 bits e tem 5 interfaces de rede ( a adicional tera apenas uma regra de firewall para uma rede wifi).

marcosjost

Estou dando uma olhada aqui…a opcao XMLRPC Sync, nao resolveria ? Tipo instalar os pacotes, e no servidor "base" colocar como Destination Server esse que quero que receba as configurações...

marcosjost

@marcosjost:

Estou dando uma olhada aqui…a opcao XMLRPC Sync, nao resolveria ? Tipo instalar os pacotes, e no servidor "base" colocar como Destination Server esse que quero que receba as configurações...

Fiz uns testes e squiguard,snort e filer sincronizou….o bind nao....a diferença que notei no bind é que na aba do synca ele tem so host e senha, nao tem porta e usuario como nos outros pacotes.
Usei a opcao: Sync to hosts defined bellow

marcelloc

@marcosjost:

Fiz uns testes e squiguard,snort e filer sincronizou….o bind nao....

A versão 0.3 do pacote tem essa correção além de algumas novidades.

marcosjost

@marcelloc:

@marcosjost:

Fiz uns testes e squiguard,snort e filer sincronizou….o bind nao....

A versão 0.3 do pacote tem essa correção além de algumas novidades.

:D :D
Vi agora la no topic sobre o bind…...
Nao me liguei na hora que coloquei, de colocar esse problema la no topico pois era relacionado diretamente com o pacote..... :P
Sorte que amanhã é sexta, os neurônios tão precisando de folga...rss

marcosjost

Bom…mais 2 questoes...acho que agora sao as ultimas... :)

O squid 2.7 nao tem a parte de sincronizacao, posso ter muitos problemas se instalar o squid3 na maquina de origem para fazer a sincronização?

As regras de firewall nao tem a opcao de sincronizacao, posso fazer um backup apenas das Firewall Rules e restaurar no servidor novo? As interfaces tao com nomes diferentes, mas isso acho que pode ser ajustado depois novamente.....

marcelloc

@marcosjost:

O squid 2.7 nao tem a parte de sincronizacao, posso ter muitos problemas se instalar o squid3 na maquina de origem para fazer a sincronização?

Se tiver o mesmo squid nas duas máquinas não tem problema.

@marcosjost:

As regras de firewall nao tem a opcao de sincronizacao

Configure a replicação em system -> High Avail Sync

marcosjost

@marcelloc:

Se tiver o mesmo squid nas duas máquinas não tem problema.

SIm, no caso instalaria o squid3 na maquina nova tambem

Configure a replicação em system -> High Avail Sync

So agora que falou que vi essa opção…  :P
Mas preciso ter as interfaces configuradas com os mesmos nomes que o de origem, no servidor que vai receber a sincronização?
Pois por ex no micro de origem estao como link1,link2,lan e dmz....no destino coloquei como linknet,linkgvt, lan,dmz e a adicional que é wifi

marcelloc

@marcosjost:

Mas preciso ter as interfaces configuradas com os mesmos nomes que o de origem, no servidor que vai receber a sincronização?

Normalmente usamos isso para alta disponibilidade. Nunca testei com nome de interface diferene ou com as interfaces em outra ordem…

marcosjost

@marcelloc:

@marcosjost:

Mas preciso ter as interfaces configuradas com os mesmos nomes que o de origem, no servidor que vai receber a sincronização?

Normalmente usamos isso para alta disponibilidade. Nunca testei com nome de interface diferene ou com as interfaces em outra ordem…

Bom…vou testar....ja que o pfsense ta virtualizado faço um snapshot antes, se der problema so reverto.

marcelloc

@marcosjost:

Bom…vou testar....ja que o pfsense ta virtualizado faço um snapshot antes, se der problema so reverto.

Você pode também mudar o nome das interfaces, sincronizar e depois acertar o nome de acordo com a necessidade.

marcosjost

@marcelloc:

@marcosjost:

Bom…vou testar....ja que o pfsense ta virtualizado faço um snapshot antes, se der problema so reverto.

Você pode também mudar o nome das interfaces, sincronizar e depois acertar o nome de acordo com a necessidade.

Vou fazer isso…So estou fazendo backup aqui do sistema e redimensionar o espaço ,digo, reinstalar a maquina virtual antes em disco da vm, pois acabei alocando todo espaço em hd pra ela e nao sobrando para os snapshots….

Sobre o squid, estava vendo o seu topico do squid3 : http://forum.pfsense.org/index.php/topic,48265.0.html

Mas fiquei em duvida em como "atualizar" do meu atual 2.7 para o squid3 e manter as configurações.
E se fazendo essa mudança vou precisar mudar o Sguidguard tambem, que atualmente é o 1.4_4

marcosjost

Bom renomiei as interfaces da maquina de destino para a as mesmas da de origem,
Link1 e Lan ficou 100%, as regras do Link2 e dmz ele inverteu na hora de sincronizar, ficando a dmz com as regras do link2 e vice-versa
Mesmo marcando ele nao sincronizou os 2 ips virtuais que tenho

Nos logs deu erro no começo…ams depois deu certo:

Oct 25 13:29:41	php: rc.filter_synchronize: Filter sync successfully completed with http://MEUIPDESTINO :80.
Oct 25 13:29:40	php: rc.filter_synchronize: XMLRPC sync successfully completed with http://MEUIPDESTINO :80.
Oct 25 13:29:37	php: rc.filter_synchronize: Beginning XMLRPC sync to http://MEUIPDESTINO :80.
Oct 25 13:29:34	check_reload_status: Syncing firewall
Oct 25 13:29:15	php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80.
Oct 25 13:29:15	php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80.
Oct 25 13:29:15	php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103
Oct 25 13:29:07	php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80.
Oct 25 13:29:07	php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80.
Oct 25 13:29:07	php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103

marcosjost

@marcosjost:

Bom renomiei as interfaces da maquina de destino para a as mesmas da de origem,
Link1 e Lan ficou 100%, as regras do Link2 e dmz ele inverteu na hora de sincronizar, ficando a dmz com as regras do link2 e vice-versa
Mesmo marcando ele nao sincronizou os 2 ips virtuais que tenho

Nos logs deu erro no começo…ams depois deu certo:

Oct 25 13:29:41	php: rc.filter_synchronize: Filter sync successfully completed with http://MEUIPDESTINO :80.
Oct 25 13:29:40	php: rc.filter_synchronize: XMLRPC sync successfully completed with http://MEUIPDESTINO :80.
Oct 25 13:29:37	php: rc.filter_synchronize: Beginning XMLRPC sync to http://MEUIPDESTINO :80.
Oct 25 13:29:34	check_reload_status: Syncing firewall
Oct 25 13:29:15	php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80.
Oct 25 13:29:15	php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80.
Oct 25 13:29:15	php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103
Oct 25 13:29:07	php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80.
Oct 25 13:29:07	php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80.
Oct 25 13:29:07	php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103

Bom, comparando os dois agora…ele nao sincronizou as regras pelos nomes da interface e sim pela ordem que estao la no interfaces assign...achoq ue se colcoar na mesma ordem deve ficar ok

marcelloc

@marcosjost:

achoq ue se colcoar na mesma ordem deve ficar ok

Fica sim.

marcosjost

@marcelloc:

@marcosjost:

achoq ue se colcoar na mesma ordem deve ficar ok

Fica sim.

Agora foi… :D
So nao achei como sincronizar os Ips virtuais e as config da VPn PPTP...
Ainda nao atualizei o bind na maquina de origem ( ta rodando tao bem...rsss) pra versao 0.3, daqui a pouco faço pra sincronizar....
Como os ips virtual ip sao so 2, pptp sao apenas 2 contas e o squid tem so 3 usuarios na interfce ( o resto ta num arquivo separado que o filer ja sincronizouvou terminar o que falta manualmente mesmo....

marcosjost

Bom…faltando 98% notei uma coisa agora quando tava fazendo as revisoes finais....
De dentro da lan eu navego normalmente, mas nao pingo pra nenhum local fora, nem ip nem dominio. Mesmo na dmz, que eh 192.168.10.x eu so so pingo o 192.168.10.1 que é o ip da interface do firewall, se pingo o 192.168.10.2 que é um roteador wifi nao responde, mas se digito 192.168.10.2 no navegador abro normalmente a pagina de configuracao desse roteador
Do console do pfsense eu pingo para qualquer local.
Para teste coloquei uma regra na lan e dmz liberando tudo e nao rolou ( * * * * em tudo)
Navega com proxy e sem ( se a regra de testa esta ativa), pede usario e senha do squid, pinga internamente na lan, e nos ips internos das 5 interfaces. dae pra frente nada....
De fora pingo o ip externo do pfsense e acesso a interface web tambem.....(fiz uma regra liberando para testes)
Todas interfaces estao com regra liberando icmp
Quando pingo um dominio externo, por ex gmail....ele resolva o ip, mas pro ping da esgotado o tempo limite do pedido. Ja se pingo o ip do dns do google por ex, 8.8.8.8, nao responde.