Substituindo Fw linux por Pfsense
-
Estou dando uma olhada aqui…a opcao XMLRPC Sync, nao resolveria ? Tipo instalar os pacotes, e no servidor "base" colocar como Destination Server esse que quero que receba as configurações...
-
Estou dando uma olhada aqui…a opcao XMLRPC Sync, nao resolveria ? Tipo instalar os pacotes, e no servidor "base" colocar como Destination Server esse que quero que receba as configurações...
Fiz uns testes e squiguard,snort e filer sincronizou….o bind nao....a diferença que notei no bind é que na aba do synca ele tem so host e senha, nao tem porta e usuario como nos outros pacotes.
Usei a opcao: Sync to hosts defined bellow -
Fiz uns testes e squiguard,snort e filer sincronizou….o bind nao....
A versão 0.3 do pacote tem essa correção além de algumas novidades.
-
Fiz uns testes e squiguard,snort e filer sincronizou….o bind nao....
A versão 0.3 do pacote tem essa correção além de algumas novidades.
:D :D
Vi agora la no topic sobre o bind…...
Nao me liguei na hora que coloquei, de colocar esse problema la no topico pois era relacionado diretamente com o pacote..... :P
Sorte que amanhã é sexta, os neurônios tão precisando de folga...rss -
Bom…mais 2 questoes...acho que agora sao as ultimas... :)
O squid 2.7 nao tem a parte de sincronizacao, posso ter muitos problemas se instalar o squid3 na maquina de origem para fazer a sincronização?
As regras de firewall nao tem a opcao de sincronizacao, posso fazer um backup apenas das Firewall Rules e restaurar no servidor novo? As interfaces tao com nomes diferentes, mas isso acho que pode ser ajustado depois novamente.....
-
O squid 2.7 nao tem a parte de sincronizacao, posso ter muitos problemas se instalar o squid3 na maquina de origem para fazer a sincronização?
Se tiver o mesmo squid nas duas máquinas não tem problema.
As regras de firewall nao tem a opcao de sincronizacao
Configure a replicação em system -> High Avail Sync
-
Se tiver o mesmo squid nas duas máquinas não tem problema.
SIm, no caso instalaria o squid3 na maquina nova tambem
Configure a replicação em system -> High Avail Sync
So agora que falou que vi essa opção… :P
Mas preciso ter as interfaces configuradas com os mesmos nomes que o de origem, no servidor que vai receber a sincronização?
Pois por ex no micro de origem estao como link1,link2,lan e dmz....no destino coloquei como linknet,linkgvt, lan,dmz e a adicional que é wifi -
Mas preciso ter as interfaces configuradas com os mesmos nomes que o de origem, no servidor que vai receber a sincronização?
Normalmente usamos isso para alta disponibilidade. Nunca testei com nome de interface diferene ou com as interfaces em outra ordem…
-
Mas preciso ter as interfaces configuradas com os mesmos nomes que o de origem, no servidor que vai receber a sincronização?
Normalmente usamos isso para alta disponibilidade. Nunca testei com nome de interface diferene ou com as interfaces em outra ordem…
Bom…vou testar....ja que o pfsense ta virtualizado faço um snapshot antes, se der problema so reverto.
-
Bom…vou testar....ja que o pfsense ta virtualizado faço um snapshot antes, se der problema so reverto.
Você pode também mudar o nome das interfaces, sincronizar e depois acertar o nome de acordo com a necessidade.
-
Bom…vou testar....ja que o pfsense ta virtualizado faço um snapshot antes, se der problema so reverto.
Você pode também mudar o nome das interfaces, sincronizar e depois acertar o nome de acordo com a necessidade.
Vou fazer isso…So estou fazendo backup aqui do sistema e
redimensionar o espaço,digo, reinstalar a maquina virtual antes em disco da vm, pois acabei alocando todo espaço em hd pra ela e nao sobrando para os snapshots….Sobre o squid, estava vendo o seu topico do squid3 : http://forum.pfsense.org/index.php/topic,48265.0.html
Mas fiquei em duvida em como "atualizar" do meu atual 2.7 para o squid3 e manter as configurações.
E se fazendo essa mudança vou precisar mudar o Sguidguard tambem, que atualmente é o 1.4_4 -
Bom renomiei as interfaces da maquina de destino para a as mesmas da de origem,
Link1 e Lan ficou 100%, as regras do Link2 e dmz ele inverteu na hora de sincronizar, ficando a dmz com as regras do link2 e vice-versa
Mesmo marcando ele nao sincronizou os 2 ips virtuais que tenhoNos logs deu erro no começo…ams depois deu certo:
Oct 25 13:29:41 php: rc.filter_synchronize: Filter sync successfully completed with http://MEUIPDESTINO :80. Oct 25 13:29:40 php: rc.filter_synchronize: XMLRPC sync successfully completed with http://MEUIPDESTINO :80. Oct 25 13:29:37 php: rc.filter_synchronize: Beginning XMLRPC sync to http://MEUIPDESTINO :80. Oct 25 13:29:34 check_reload_status: Syncing firewall Oct 25 13:29:15 php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:15 php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:15 php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103 Oct 25 13:29:07 php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:07 php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:07 php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103 -
Bom renomiei as interfaces da maquina de destino para a as mesmas da de origem,
Link1 e Lan ficou 100%, as regras do Link2 e dmz ele inverteu na hora de sincronizar, ficando a dmz com as regras do link2 e vice-versa
Mesmo marcando ele nao sincronizou os 2 ips virtuais que tenhoNos logs deu erro no começo…ams depois deu certo:
Oct 25 13:29:41 php: rc.filter_synchronize: Filter sync successfully completed with http://MEUIPDESTINO :80. Oct 25 13:29:40 php: rc.filter_synchronize: XMLRPC sync successfully completed with http://MEUIPDESTINO :80. Oct 25 13:29:37 php: rc.filter_synchronize: Beginning XMLRPC sync to http://MEUIPDESTINO :80. Oct 25 13:29:34 check_reload_status: Syncing firewall Oct 25 13:29:15 php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:15 php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:15 php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103 Oct 25 13:29:07 php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:07 php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:07 php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103Bom, comparando os dois agora…ele nao sincronizou as regras pelos nomes da interface e sim pela ordem que estao la no interfaces assign...achoq ue se colcoar na mesma ordem deve ficar ok
-
-
achoq ue se colcoar na mesma ordem deve ficar ok
Fica sim.
Agora foi… :D
So nao achei como sincronizar os Ips virtuais e as config da VPn PPTP...
Ainda nao atualizei o bind na maquina de origem ( ta rodando tao bem...rsss) pra versao 0.3, daqui a pouco faço pra sincronizar....
Como os ips virtual ip sao so 2, pptp sao apenas 2 contas e o squid tem so 3 usuarios na interfce ( o resto ta num arquivo separado que o filer ja sincronizouvou terminar o que falta manualmente mesmo.... -
Bom…faltando 98% notei uma coisa agora quando tava fazendo as revisoes finais....
De dentro da lan eu navego normalmente, mas nao pingo pra nenhum local fora, nem ip nem dominio. Mesmo na dmz, que eh 192.168.10.x eu so so pingo o 192.168.10.1 que é o ip da interface do firewall, se pingo o 192.168.10.2 que é um roteador wifi nao responde, mas se digito 192.168.10.2 no navegador abro normalmente a pagina de configuracao desse roteador
Do console do pfsense eu pingo para qualquer local.
Para teste coloquei uma regra na lan e dmz liberando tudo e nao rolou ( * * * * em tudo)
Navega com proxy e sem ( se a regra de testa esta ativa), pede usario e senha do squid, pinga internamente na lan, e nos ips internos das 5 interfaces. dae pra frente nada....
De fora pingo o ip externo do pfsense e acesso a interface web tambem.....(fiz uma regra liberando para testes)
Todas interfaces estao com regra liberando icmp
Quando pingo um dominio externo, por ex gmail....ele resolva o ip, mas pro ping da esgotado o tempo limite do pedido. Ja se pingo o ip do dns do google por ex, 8.8.8.8, nao responde. -
Olhando os logs agora do firewall….vi que tem muito pacote entre o ip 192.168.10.1 e o 192.168.10.2 na dmz ( ip do firewall e ip do roteador wifi respectivamente) bloqueando e quando vou ver detalhes ele da como err:
The rule that triggered this actions is
@ 3 scrub on re1 all fragment reassemble
@ 3 block drop in log inet all label "Defaul deny IPV4' -
Quando pingo um dominio externo, por ex gmail….ele resolva o ip, mas pro ping da esgotado o tempo limite do pedido. Ja se pingo o ip do dns do google por ex, 8.8.8.8, nao responde.
Tcpdump na wan e na lan. Se o pacote estiver saindo, não é problema com seu firewall.
@ 3 scrub on re1 all fragment reassemble
@ 3 block drop in log inet all label "Defaul deny IPV4'Pacotes fragmentados e pacotes que cairam no bloqueio padrão.
-
Rodei o tcpdum na interface lan e dmz
na lan com a interface lan, host 192.168.1.100 and host 192.168.10.2
192.168.1.100 _ minha maquina de teste e 0 10.2 o roteador wifi
Aqui nao aparece nada quando dou o pinga da maquina pro roteadore na dmz o tcpdum na placa da dmz e o host 192.168.10.2
Aqui aparece os pacotes icmp somente da maquina teste par ao 192.168.10.2È como se achassem o destino, mas nao o caminho de volta no icmp
Mas se digito 192.168.10.2 no navegador, abre normalmente ( na maquina de teste), so que parece que nao carrega todos os graficos da interface do roteadorwifi
Agora se conecto no roteador wifi, com um ip 192.168.10.3, consigo pingar a interface do firewall 192.168.10.1, onde ele esta conectado mas para "dentro" , inclusive a rede 192.168.1.x, da como Host de destno inacessivel.
-
Revisei todas configuracoes com o do firewallq ue ta rodando e tudo bate….
Unica coisa que me chamou atenção é que nesse pfsense que estou terminando de configurar ( 64 bits que ta rodando numa vm do zemserver) agora quando dei reboot e fiquei observando a tela de console notei essa msg:
Configuring firewall.route: writing to routing socket: No such process ... done
Mas termina de carregar o boot normalmenteNota:
Fiz um teste agora , revertendo para um snapshot antes de fazer a sincronização das regras de firewall...e esta pingando normalmente tanto nomes quanto ips para fora .....
O problema acho que esta sendo na hora que faço a sincronização das regras do firewall em produção com este que estou configurando....
Por algum motivo acho que esta dando problema com a tabela de roteamento.....
