Вопросы новичка по pfsense

millenium

такой вопрос!

при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

как сделать, что бы на прямую отправлял?

PbIXTOP

@millenium:

такой вопрос!

при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

как сделать, что бы на прямую отправлял?

Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

Algon

Доброго времени суток.
Изучаю возможность использования Pfsense в качестве пограничного firewall (возможно еще IPS). В связи с чем возникло несколько вопросов…

Схема сети:
Internet <===> Firewall (Pfsense etc.) <===> NAT/NAS-ы на базе Mikrotik CCR.

Вопрос №1.
Есть ли возможность ограничивать PPS по заданным критериям? Именно количество пакетов в единицу времени для хоста, суммарно или отдельно по протоколам, а не сессий и т.п.. Либо реализовать детектирование атаки по граничному количеству пакетов/сек и далее полностью блокировать любой трафик с хоста на определенное время. Актуально для фильтрации DoS-атак типа ICMP/UDP-flood и подобных.

Вопрос №2.
Канал на инет 4Gbps, под firewall/IPS планируется железка: 2x Xeon E5649 (2.53GHz, суммарно 12 физ./24 логических ядра) 48GB RAM. Потянет ли, при минимальном наборе правил Pfsense + Snort или Pfsense + Suricata ? С учетом вопроса №1.

Небольшое пояснение. Основная задача firewall будет состоять как раз в отражении DoS и небольших DDoS атак, с целью не пропускать паразитный трафик на NAS-ы. Поскольку оборудование Mikrotik очень критично к атакам большим количеством мелких пакетов.

Заранее благодарю за конструктивные ответы и советы.

werter

Доброе
Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение",  т.к. оч редко блокировала то, что не надо было.

P.s. А в чем проблема icmp на WAN вообще закрыть ?

Algon

@werter:

Доброе
Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение",  т.к. оч редко блокировала то, что не надо было.

P.s. А в чем проблема icmp на WAN вообще закрыть ?

ICMP в принципе закрыть можно, хоть и очень нежелательно. А вот UDP закрыть уже никак не получится, в сети имеются пара сотен клиентов, арендующих статические белые IP для своих нужд. Видеонаблюдение, игровые сервера и прочие их сервисы активно используют входящие подключения UDP.
Использовать для фильтрации адрес-листы Snort или Suricata это не совсем корректное решение, поскольку использование готовых листов неизбежно приведет к блокировке части легитимных подключений, а создавать кастомные листы это задача слишком долгая и трудоемкая.
Pfsense пока что работает в условиях стенда и к сожалению похоже, что возможности обнаружения и блокировки UDP-атак у нее весьма ограничены. По моему впечатлению, Pfsense "заточена" как корпоративный файрвол, для задач провайдера она мало подходит.

З.Ы. У меня уже есть практический опыт борьбы с ddos. Программная часть RouterOS в этом плане вполне устраивает своей гибкостью, возможностью полной автоматизации обнаружения и блокировки практически любых атак. Но вот аппаратная часть не выдерживает серьезных нагрузок, а установить RouterOS на достаточно мощный кастомный сервер не получится.

werter

@oleg1969:

Для общего развития и понимания советую почитать эту ссылку  ;)

http://salf-net.ru/?p=494

Спасибо за ссылку.

werter

2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata)

NetWoolf

у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

PbIXTOP

@NetWoolf:

у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.

Algon

@werter:

2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata)

Спасибо, но это не совсем то ))
На стенде протестировали несколько вариантов атак, с атаками по TCP справляется хорошо, а вот с UDP проблема. Паразитный трафик при распределенной атаке по т.н. "мягкому" варианту (большое количество атакующих хостов с относительно небольшим количеством пакетов с каждого хоста) Pfsense+Snort не заблокировал.

werter

Suricata пробуйте. И внимательно с выбором категорий в настр. Suricata.

millenium

@PbIXTOP:

@millenium:

такой вопрос!

при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

как сделать, что бы на прямую отправлял?

Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

не подскажете как это реализовать, может инструкция есть?
заранее спасибо.

borg

По поводу валидных посмотрите let's encrypt или starssl. Если же вы хотите чтобы самоподписанные сертификаты не вызывали таких сообщений, вам необходимо выгрузить корневой сертификат pfsens'a и установить их например политикой на все компьютеры

artsi

Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

PbIXTOP

@artsi:

Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

Убрать разрешающее правило в Firewall'e

artsi

а подробнее?  закрыть на lan-интерфейсе 80 порт,  оставив порт прокси 3128?

PbIXTOP

@artsi:

а подробнее?  закрыть на lan-интерфейсе 80 порт,  оставив порт прокси 3128?

Как-то так, только интернет не только 80 порт.

Sheva

Подскажите, где подсмотреть?
pfSense из коробки, https://yadi.sk/d/b6udU9Rd3DiVQV
Ч-з неопределенные промежутки времени (около часа) отпадает LAN. если "перевтыкнуть" разъем LAN, сразу же появляется, так же появляется и сам через 2-3 мин.  От нагрузки не зависит. сетевые карты менял.

borg

А что в логах пишет?

artsi

PbIXTOP спасиб, цель достигнута) Еще вопрос по ftp:
При подключении к удаленному внешнему серверу происходит мгновенная авторизация,  но листинг по директориям занимает минуту-две на каждую папку. Причем само скачивание файла происходит мгновенно. Перепробовал все браузеры и ftp-клиенты,  ситуация везде одинакова. При использовании другого прокси-сервера, но  того-же софта - проблема исчезает. Т.е. дело в pfsense.  Подскажите в какую сторону копать?  (в файрволе, clam-e и сквиде ip-адрес фтп-ника  разрешен)