Вопросы новичка по pfsense
-
Доброго времени суток.
Изучаю возможность использования Pfsense в качестве пограничного firewall (возможно еще IPS). В связи с чем возникло несколько вопросов…Схема сети:
Internet <===> Firewall (Pfsense etc.) <===> NAT/NAS-ы на базе Mikrotik CCR.Вопрос №1.
Есть ли возможность ограничивать PPS по заданным критериям? Именно количество пакетов в единицу времени для хоста, суммарно или отдельно по протоколам, а не сессий и т.п.. Либо реализовать детектирование атаки по граничному количеству пакетов/сек и далее полностью блокировать любой трафик с хоста на определенное время. Актуально для фильтрации DoS-атак типа ICMP/UDP-flood и подобных.Вопрос №2.
Канал на инет 4Gbps, под firewall/IPS планируется железка: 2x Xeon E5649 (2.53GHz, суммарно 12 физ./24 логических ядра) 48GB RAM. Потянет ли, при минимальном наборе правил Pfsense + Snort или Pfsense + Suricata ? С учетом вопроса №1.Небольшое пояснение. Основная задача firewall будет состоять как раз в отражении DoS и небольших DDoS атак, с целью не пропускать паразитный трафик на NAS-ы. Поскольку оборудование Mikrotik очень критично к атакам большим количеством мелких пакетов.
Заранее благодарю за конструктивные ответы и советы.
-
Доброе
Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение", т.к. оч редко блокировала то, что не надо было.P.s. А в чем проблема icmp на WAN вообще закрыть ?
-
Доброе
Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение", т.к. оч редко блокировала то, что не надо было.P.s. А в чем проблема icmp на WAN вообще закрыть ?
ICMP в принципе закрыть можно, хоть и очень нежелательно. А вот UDP закрыть уже никак не получится, в сети имеются пара сотен клиентов, арендующих статические белые IP для своих нужд. Видеонаблюдение, игровые сервера и прочие их сервисы активно используют входящие подключения UDP.
Использовать для фильтрации адрес-листы Snort или Suricata это не совсем корректное решение, поскольку использование готовых листов неизбежно приведет к блокировке части легитимных подключений, а создавать кастомные листы это задача слишком долгая и трудоемкая.
Pfsense пока что работает в условиях стенда и к сожалению похоже, что возможности обнаружения и блокировки UDP-атак у нее весьма ограничены. По моему впечатлению, Pfsense "заточена" как корпоративный файрвол, для задач провайдера она мало подходит.З.Ы. У меня уже есть практический опыт борьбы с ddos. Программная часть RouterOS в этом плане вполне устраивает своей гибкостью, возможностью полной автоматизации обнаружения и блокировки практически любых атак. Но вот аппаратная часть не выдерживает серьезных нагрузок, а установить RouterOS на достаточно мощный кастомный сервер не получится.
-
@oleg1969:
Для общего развития и понимания советую почитать эту ссылку ;)
http://salf-net.ru/?p=494
Спасибо за ссылку.
-
2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata) -
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
-
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети. -
2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata)Спасибо, но это не совсем то ))
На стенде протестировали несколько вариантов атак, с атаками по TCP справляется хорошо, а вот с UDP проблема. Паразитный трафик при распределенной атаке по т.н. "мягкому" варианту (большое количество атакующих хостов с относительно небольшим количеством пакетов с каждого хоста) Pfsense+Snort не заблокировал. -
Suricata пробуйте. И внимательно с выбором категорий в настр. Suricata.
-
такой вопрос!
при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)
как сделать, что бы на прямую отправлял?
Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.
не подскажете как это реализовать, может инструкция есть?
заранее спасибо. -
По поводу валидных посмотрите let's encrypt или starssl. Если же вы хотите чтобы самоподписанные сертификаты не вызывали таких сообщений, вам необходимо выгрузить корневой сертификат pfsens'a и установить их например политикой на все компьютеры
-
Подскажите пожалуйста, как сделать что бы pfsense пускал серфить инет только через squidguard? Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip - pfsense по прежнему пускает их в сеть с отсутствием ограничения на просматриваемый контент.
-
Подскажите пожалуйста, как сделать что бы pfsense пускал серфить инет только через squidguard? Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip - pfsense по прежнему пускает их в сеть с отсутствием ограничения на просматриваемый контент.
Убрать разрешающее правило в Firewall'e
-
а подробнее? закрыть на lan-интерфейсе 80 порт, оставив порт прокси 3128?
-
а подробнее? закрыть на lan-интерфейсе 80 порт, оставив порт прокси 3128?
Как-то так, только интернет не только 80 порт.
-
Подскажите, где подсмотреть?
pfSense из коробки, https://yadi.sk/d/b6udU9Rd3DiVQV
Ч-з неопределенные промежутки времени (около часа) отпадает LAN. если "перевтыкнуть" разъем LAN, сразу же появляется, так же появляется и сам через 2-3 мин. От нагрузки не зависит. сетевые карты менял. -
А что в логах пишет?
-
PbIXTOP спасиб, цель достигнута) Еще вопрос по ftp:
При подключении к удаленному внешнему серверу происходит мгновенная авторизация, но листинг по директориям занимает минуту-две на каждую папку. Причем само скачивание файла происходит мгновенно. Перепробовал все браузеры и ftp-клиенты, ситуация везде одинакова. При использовании другого прокси-сервера, но того-же софта - проблема исчезает. Т.е. дело в pfsense. Подскажите в какую сторону копать? (в файрволе, clam-e и сквиде ip-адрес фтп-ника разрешен) -
2 artsi
Доброе.
В каком режиме работает удаленный ftp ?
Вкл. логирование fw пф и смотрите на происходящее там. -
Пакет FTP_Client_Proxy не пробовали?
