Scusate, mi devo fidare?!
-
Chiedo scusa per l'OP, ma è da ieri che, installato pfSense 2.0.1 ho dei problemi che sinceramente, mi mettono parecchi dubbi sull'installare la piattaforma in un ambiente di produzione o anche solo pensare di andare avanti a lavorarci.
Premesso che non c'era verso di far partire il transparent proxy (ho rinunciato presto all'autenticazione via LDAP, improponibile chiedere all'utenza di loggarsi ogni volta per usare internet), ho provato, dopo alcune ricerche a disinstallare e reinstallare il pacchetto squid3.
Qui cominciano gli altri problemi, nei log compaiono vari errori del tipo:
SQUID is installed but not started. Not installing redirect rules etc. etc.Bene, decido così di provare un riavvio della macchina che al boot lamenta degli errori di configurazione in squid.inc (mai toccato).
Una volta partita, il servizio lo configuro come avevo fatto e come viene consigliato nella guida ufficiale. Niente, non c'è verso: questa volta appare una pagina sul browser che sto usando per le prove, che indica l'impossibilità di tradurre il nome usato "www.google.it" in forma di indirizzo ip perchè "Il server DNS ha risposto: internal error".
Ora, ho usato varie piattaforme tipo questa: ipcop, smoothwall, utilizzo a livello professionale Fortigate, Sonicwall, Endian… e ad ora mai avuti così tanti problemi in sole 10 ore. Mi aspetterei quantomeno che se installo un pacchetto questo vada al primo colpo, dopotutto il proxy non mi pare una cosa così complessa da configurare.
Credo anche che qui dentro ci siano persone che utilizzino pfSense con soddisfazione, ma l'impressione che ho avuto io è di una piattaforma piuttosto fragile ed instabile dove l'aggiunta di pacchetti non presenti al termine dell'installazione possa anche creare parecchi problemi.
Ora, con tutta la calma del caso, discutendone pacificamente, voi cosa pensate?
Grazie.
-
Sinceramente penso che ti sei perso qualche cosa.
Anche a me è capitato di avere qualche problema dopo aver installato un pacchetto, probabilmente l'installazione si era persa qualche cosa, cmq c'è l'apposito bottone per re-installare e sistemare nella pagina dei pacchetti installati.
squid3 non l'ho usato, ho preferito squid+squidguard e, per quanto riguarda l'autenticazione, se il proxy deve essere trasparente non puoi chiedere che ci si autentichi.
Una cosa non specificata da nessuna parte è quella che quando installi un pacchetto devi mettere mano ad una configurazione di base sempre, altrimenti sorgono i problemi di cui ti lamenti. -
cmq c'è l'apposito bottone per re-installare e sistemare nella pagina dei pacchetti installati.
che ho usato. ma ogni volta saltava fuori un nuovo problema.
ho preferito squid+squidguard e, per quanto riguarda l'autenticazione, se il proxy deve essere trasparente non puoi chiedere che ci si autentichi.
è proprio quello che ho specificato: abbandonata l'idea di usare LDAP, ho tentato di attivare, almeno, il transparent proxy.
Una cosa non specificata da nessuna parte è quella che quando installi un pacchetto devi mettere mano ad una configurazione di base sempre, altrimenti sorgono i problemi di cui ti lamenti.
questo cosa significa? editare i file di configurazione o configurarli dal webConfigurator?
Grazie, ciao.
-
Intendo da webconfigurator.
L'installazione mette il pacchetto ma, per quella poca esperienza che ho in merito, non c'è una configurazione base con cui il pacchetto può partire; a.e. squid, installi il pacchetto e poi per prima cosa vai a configurare le impostazioni base dall'apposita pagina dopodiché si avvia senza problemi, idem squidguard; se lo installi e cerchi di avviarlo non funziona cosa che ti è accaduta (ti ricordi che ti chiesi della regola "all" nel tuo post? Si era avviato squidguard senza essere configurato e restituiva quegli errori. )Se abiliti il transparent proxy imposta automaticamente una regola di port forwarding dalla 80 alla porta del proxy ("If transparent mode is enabled, all requests for destination port 80 will be forwarded to the proxy server without any additional configuration necessary. "), anche se non la vedo nel webconfigurator; nella mia installazione ha funzionato senza problemi.
Sono d'accordo che complessivamente non è semplice ( ho installato snort e pfblocker e ancora non li ho configurati/attivati perchè non riesco ancora a capirlo, ma non ho avuto tempo di studiare! ) ma mi sembra affidabile.
Devo riuscire a bloccare il p2p ma nonostante tutto quello che ho letto ancora non so da dove iniziare!
Ho anche un ipcop che è molto più semplice (proxy, blocco p2p, filtro url/contenuti) ma non mi permette di usare le vlan che mi servono su queste altre lan.
-
Non saprei che dire guarda. Ok configurare i pacchetti una volta installati, per forza. Altrimenti nemmeno sono abilitati :)
Però, è un paio d'ore che cambio configurazioni con squid (stavolta ho installato squid dopo aver formattato la macchina) + squidguard…
Sembra sempre fare quello che vuole. Nelle common ACL di squidguard ho impostato tutto a deny dopo aver importato le blacklist da http://www.shallalist.de/. Tutto a deny mi aspetterei che da un qualsiasi client non riesca a navigare da nessuna parte.
Invece, per un po' è andata così (il client non si connetteva da nessuna parte), ora invece va praticamente dove vuole.
Poi ho creato una group acl, nella quale ho inserito un altro client, ed impostato tutto a DENY.
Il client va dove vuole... Boh. In pratica, a me da l'impressione che pfSense funzioni bene out of the box (quindi come firewall, nat, port forward, openvpn, ipsec) almeno per quello che ho provato... mentre fa un po' quello che gli pare con i pacchetti installati separatamente.
E' un 'problema' della 2.0.1? Meglio installare una versione precedente?
-
Guarda, lui questi pare riconoscerli come categorie (almeno dal log) però nonostante sia tutto a deny, passano senza problemi:
20.04.2012 15:08:35 192.168.3.7/- http://cdn.api.twitter.com/1/users/show.json?screen_name=youporn&callback=twttr.setFollowersCount Request(HighRestricted/blk_BL_forum/-) - GET REDIRECT
20.04.2012 15:08:35 192.168.3.7/- http://p.twitter.com/f.gif?_=1334927314724&id=twitter-widget-0&lang=en&screen_name=youporn&show_count=false&show_screen_name=true&size=m&twttr_variant=2.0&twttr_referrer=http://www.youporn.com/&twttr_widget=1&twttr_li=0&twttr_pid= Request(HighRestricted/blk_BL_forum/-) - GET REDIRECT
20.04.2012 15:08:34 192.168.3.7/- http://www.google-analytics.com/__utm.gif?utmwv=5.2.9&utms=1&utmn=1410988964&utmhn=www.youporn.com&utmcs=UTF-8&utmsr=1280x800&utmvp=1264x670&utmsc=8-bit&utmul=it-it&;utmje=0&utmfl=-&utmdt=Porn%20Videos,%20Sex,%20XXX,%20Free%20Porn%20Tube%20-%20YouPorn&utmhid=781063916&utmr=-&utmp=/&utmac=UA-163988-4&utmcc=__utma=125626709.1969125141.1334927315.1334927315.1334927315.1;+__utmz=125626709.1334927315.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none);&utmu=qBAAAC~ Request(HighRestricted/blk_BL_tracker/-) - GET REDIRECT
20.04.2012 15:08:34 192.168.3.7/- http://cdn1.static.pornhub.phncdn.com/images/bar/ph_net_bar.png Request(HighRestricted/blk_BL_porn/-) - GET REDIRECT
-
Prfemetto che non sono in ufficio fino a lunedì quindi a memoria non ricordo bene.
Di sicuro io non ho nessuna group acl, in common acl->target rules quelle che ho messo a deny (l'unica cosa che ho configurato di squidguard) vengono bloccate (tranne facebook e non capisco ancora perchè, ho dovuto fare una regola ad hoc x questo). Mentre la default action è allow.Per testare che blocchi tutto prova a lasciare le singole categorie con –-- (cioè il default) e mettere come regola di default block; in questo modo qualsiasi cosa è bloccata di default.
Mi viene in mente, per caso hai qualche regola di nat/firewall imostata a parte quelle di default che potrebbero interferire?
-
Prfemetto che non sono in ufficio fino a lunedì quindi a memoria non ricordo bene.
Di sicuro io non ho nessuna group acl, in common acl->target rules quelle che ho messo a deny (l'unica cosa che ho configurato di squidguard) vengono bloccate (tranne facebook e non capisco ancora perchè, ho dovuto fare una regola ad hoc x questo). Mentre la default action è allow.Per testare che blocchi tutto prova a lasciare le singole categorie con –-- (cioè il default) e mettere come regola di default block; in questo modo qualsiasi cosa è bloccata di default.
Mi viene in mente, per caso hai qualche regola di nat/firewall imostata a parte quelle di default che potrebbero interferire?
Ciao. Intanto grazie per la chiacchierata :)
Ho provato sia a non avere l'acl group che ad impostare tutte le common a deny, oppure tutte su –-- e solo la 'default access' a deny... insomma di prove ne ho fatte parecchie.
Però nonostante nei log abbia "squidGuard ready for requests (1334928026.953)" il tutto è funzionato per qualche minuto poi al primo cambio di configurazione è come se le regole non esistessero.
Ogni volta che cambio una configurazione premo 'salva' alla fine della pagina e vado nei general settings a dare un 'APPLY'.
Tutto pare attivo, nei log vedo passare le pagine che dovrebbero essere filtrate con gli orari corretti etc. però di fatto i client accedono sempre a tutto senza problemi (questo sia impostando il transparent proxy che disattivandolo e configurando il browser).
Per il resto ho una route attiva su un GW della rete per poter accedere ad una macchina in DMZ (non dovrebbe influenzare in alcun modo) ed ho un port forward verso un terminal server per l'accesso dall'esterno da un ip definito.
Tutto qui; dovrei aggiungere un sacco di altre regole per i test, ma finchè non funziona a dovere il proxy/filtering è inutile che mi metta a fare altre prove, perchè diciamo che è il motivo principale per il quale penserei a pfsense.