Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Firewall / IPS per ufficio

    Scheduled Pinned Locked Moved Italiano
    12 Posts 5 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      parcs
      last edited by parcs

      Ciao a tutti, sono nuovo nel forum, avrei bisogno di installare un firewall nel mio ufficio, vorrei adottare PfSense e sarebbe la prima volta, per cui ho un po’ di dubbi sull’hardware da utilizzare.

      La nostra rete interna è di 1 GB, vengono condivisi solo piccoli file, principalmente PDF e doc. Sono presenti due switch TP Link easy smart che collegano una ventina di client dislocati su due piani, due access point Cisco cui si connettono altrettanti dispositivi mobili, un NAS Synology che funge da fileserver ma che dovrebbe essere sostituito a breve da un server vero e proprio che faccia anche da controller di dominio (il NAS verrà mantenuto per i backup).

      Abbiamo una connessione 200/20 FTTS con Fastweb, più un’altra di backup sempre 200/20.
      PfSense dovrebbe quindi agire come:

      • router
      • firewall
      • load balancer/failover per i due router fastweb
      • Server DHCP
      • IPS
      • Filtro Web (social media, contenuti per adulti, p2p)
      • OpenVPN (ma gli accessi in VPN sarebbero molto rare, per un paio di utenti e difficilmente connessi allo stesso tempo, quindi non è una priorità ma vorrei utilizzarlo alla bisogna).

      Quale hardware potrebbe soddisfare le mie esigenze? Vorrei avere due macchine da mettere in cluster, quindi credo siano necessarie quattro schede di rete. Ma in termini di CPU, RAM e spazio di archiviazione?

      Ho visto alcuni box Qotom, che apparentemente sembrano un buon affare, ma sono titubante ad acquistare dalla Cina soprattutto per il supporto. Che ne pensate?
      In alternativa potrei anche assemblare un box, conoscendo l'hardware giusto.
      Dal momento che siamo un’associazione di volontariato sto cercando di bilanciare qualità e prezzo.

      Qualsiasi suggerimento sarebbe molto apprezzato.
      Grazie!

      federicopF 1 Reply Last reply Reply Quote 0
      • P
        psp
        last edited by

        Qui ci sono delle appliance prodotte in Italia: https://www.miniserver.it/firewall.html

        Nel sito esiste anche un configuratore per dimensionare l' hardware più adatto.

        1 Reply Last reply Reply Quote 0
        • F
          Fumetto
          last edited by

          ...oppure ti rivolgi a chi può fornirti sia l'hardware che l'eventuale supporto...
          http://www.efuture.it/products/26-firewall-pf-1150

          ^_^

          1 Reply Last reply Reply Quote 0
          • federicopF
            federicop @parcs
            last edited by

            @parcs che budget hai? il Nas che modello è?

            io ti consiglio, visto che devi acqusitare un server di mantenere il nas (dipende dal modello) metterlo in Raid5 e fargli fare da storeg per il server virtuale vmware.

            per il server magari potrebbe fare al caso tuo, (https://www.amazon.it/Fujitsu-PRIMERGY-TX1310-E3-1225-Famiglia/dp/B072L7H1N1/ref=sr_1_4?__mk_it_IT=%C3%85M%C3%85%C5%BD%C3%95%C3%91&keywords=server&qid=1573159813&sr=8-4)

            aggiungi un po di ram e una o due schede di rete (150 euro al massimo)

            installi una macchina virtuale server per il domino (winserver o quella che preferisci), installi pfsense come macchina virtuale.
            prendi un vecchio pc ci installi freenas e ti fai un nas per i backup.

            se poi vuoi fare una chicca compri due server installi vmware e vcenter e bilanci le macchine virtuali in modo che se cade un nodo (server fisico) l'altro funziona.

            compra anche un UPS per il server (100-200 euro) di spesa
            con la configurazione sopra spendi circa 900 euro di harware
            500 server
            150 hardware aggiuntivo
            200 UPS

            i dati sono iper al sicuro perche RAID5 hai un hd di bakcup e con freenas fai i bakup giornalieri delle macchine virtuali e dei file di rete.

            1 Reply Last reply Reply Quote 0
            • P
              parcs
              last edited by

              Innanzitutto grazie a tutti per le risposte.

              @federicop, il NAS è un Synology ds415+ a 4 vani con 2 gb di ram. Attualmente ci sono 2 WD Red da 2 TB in raid1.
              L'idea è proprio di mantenere il NAS per i backup del server, magari mettendolo in raid5. Un secondo Nas con FreeNas a cosa sarebbe dedicato?

              Ritieni che quel server Fujitsu sia sufficiente per il mio scenario? Dovrebbe fare da fileserver, dns server e domain controller, printserver e magari montare un paio di applicazioni (un piccolo db sqlserver e un software di gestione amministrativa). Avevo visto dei Dell Poweredge molto più costosi, completi di controller raid, ma forse basta un entry level? E la stessa macchina riuscirebbe a gestire anche IPS, VPN e filtri web?

              La mia intenzione in realtà era di mantenere firewall e server su macchine separate, prendendo due box mini-itx in cluster per il firewall ed occuparmi poi del server in un secondo momento, ma prenderò in considerazione la tua proposta.

              Avevo pensato ad un budget di 2000 euro per il server, per cui volevo tenermi sui 600/700 per i firewall in cluster. La domanda fondamentale rimane sempre: quanta potenza hardware serve realmente per le nostre esigenze? Per avere una soluzione che duri nel tempo, il budget può anche salire (abbiamo la fortuna di avere le licenze windows server in donazione in quanto no profit).

              Grazie ancora

              1 Reply Last reply Reply Quote 0
              • federicopF
                federicop
                last edited by

                nel nas metterei altri 2 hdd da 2t in modo da avere in totale 8T che messi in Raid5 diventano 6 - quindi più che sufficenti per i dati e i bakup.

                io ti ho scritto che il nas non lo metterei solo per i backup ma gli farei fare proprio da storeg (hdd) al server che anzichè configurarlo come fisico, lo farei virtuale con wmware.
                questo ti consente di avere sempre winserver (o altri server che ti cofigurerai) sempre attivi, ovvero se ti si rompe il server fisico, basta che ripristini la macchina virtuale, altrimenti devi riconfigurare tutto il domimio, AD, MSSQL ecc.
                il server che ti ho consigliato per le Vs esigenze basta e anvaza, aumenterei la ram portadola almeno a 32 Gb (specialmente se seguirai il mio consiglio delle macchine virtuali)

                il freenas (applicativo tipo pfsense) lo configurerei per avere un nas fatto in casa per i bakup (ma già saresti messo bene con la configurazione che ti ho descritto sopra - ovvero 8T in raid 5 quindi 6 T puliti. considerando che oggi lavori con 4 TB, 6 dovrebbero bastarti per un pò, poi casomai in futuri integri spazio con un nuovo nas da 2 o 4 baie.

                però se hai a disposizione 2.000 euro io farei come ti ho detto doppio server fisico configurato in virtuale con Vcenter.
                avresti la rindondanza harware che se cade un server fisico hai sempre l'altro a disposizione.

                COnsidera che io in azienda ho lo stesso server che ti ho consigliato (aumentato di RAM e schede di rete) configurato in virtuale e mi gestisce - Pfsense con (IPS filtri, vlan, VPN ecc) + un server WIN Server Core (gestione file, dominio, dns, AD e stampe) + un server deidicato a MSSQL e gestionale SAP + PDM, + un server WIN server Exchange (posta elettronica) + Server di Backup e Videosorveglianza.

                come vedi con due server fisici ho ben 5 server (e potrei aumetarli fino a quando l'hardware lo gestisce) e se mi salta un server esempio quello sql lavoro lo stesso perchè il core è un'altro - quindi il rischio di blocco è minore.
                mentre con la tua soluzione dovresti avere un server fisico per ogni Winserver o se configuri tutto in un unico Winserver se ti si rovina l'ad sei fottuto.

                1 Reply Last reply Reply Quote 0
                • kiokomanK
                  kiokoman LAYER 8
                  last edited by kiokoman

                  dell poweredge tutta la vita 😂 ne ho 3 in ufficio (r710), ormai vecchiotti ma zero problemi in 10 anni. ma ti confermo che anche i fujitsu sono buoni. giusto l'altro giorno mi si è rotto per la prima volta uno degli 8 sas montati su uno ci gira pfsense virtualizzato. evita i qotom come la peste, sono le classiche patacche che vanno bene per casa e chi vuole risparmiare, non certo per utilizzo professionale. nn ti so consigliare per quanto riguarda il server windzoz. l'ultimo che ho configurato era windows server 2003 ... poi sono passato a linux e non tornerò mai indietro...

                  ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                  Please do not use chat/PM to ask for help
                  we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                  Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                  P 1 Reply Last reply Reply Quote 0
                  • P
                    parcs @kiokoman
                    last edited by

                    grazie mille per i suggerimenti

                    @federicop , in realtà le risorse sono ancora minori, non lavoro con 4TB ma praticamente con 2TB dato che sono due dischi da 2 in raid1, e i file dell'ufficio occupano attualmente meno di 200GB!

                    l'idea della virtualizzazione mi piace, ma potendo avere WinServer 2019 standard in donazione a prezzi irrisori andrei più su hyper v che è già compreso in WinServer, anche se avrei a disposizione solo due macchine virtuali se ho capito come funzionano le licenze.
                    Peraltro sembrerebbe che quel Fujitsu non supporti WinServer 2019, ma solo 2012/2016... possibile?

                    @kiokoman , avevo pensato anche io ai Poweredge, ne abbiamo avuto uno che è durato più di dieci anni... sapresti consigliarmene uno che sia sufficiente per le mie esigenze? Ad esempio, il T140? https://www.dell.com/it-it/work/shop/povw/poweredge-t140

                    Gli HP come sono?

                    Al di là dell'ottima soluzione di virtualizzare pfsense sul server, mi piacerebbe comunque sapere quale macchina esterna potrebbe fare al caso mio. Se i Qotom non sono professionali, dove puntare? Inizialmente avevo pensato a questo: https://www.miniserver.it/firewall/cluster/nano-cluster-apu-4c4.html, ma mi pare di aver capito che con IPS, filtering e 20 utenti connessi l'hardware non sarebbe sufficiente.
                    Quest'altro? https://www.miniserver.it/firewall/compact-small-utm3-pfsense-opnsense-hardware.html
                    Ho però la sensazione che siano prezzi molto alti per l'hardware che effettivamente offrono...

                    Grazie ancora

                    federicopF 1 Reply Last reply Reply Quote 0
                    • federicopF
                      federicop @parcs
                      last edited by

                      @parcs ovviamente sono tutte soluzioni similari per i livelli di cui stai parlando, ma credo che te non abbiamo ben presente di cosa stiamo parlando (quando parli di virtualizzazione)

                      hyper v non lo conosco ma da come me lo hai descritto o stai confondendo la cosa o non fa al caso tuo.
                      Vmware vSphere ESXi) 6.7U3 è un server per macchine virtuali gratuito (per un nodo - ovvero un server fisico) e dentro puoi installarci tutte le macchine virtali che vuoi (server o home - linux o win).
                      in sostanza nel server fisico che sceglierai di acquistare (dell, Fujitsu, ecc) installi Vmware vSphere ESXi, dentro installerai virtualizzate una o più "macchine" win server 2019 e pfsense.

                      quindi userrai sia per win server che per pfseense le risorse hardware del server dell, Fujitsu, ecc (quello che acquisterai), ovvero potrei dedicare le risorse che vuoi alle varie macchine virtuali.

                      ti allego un veloce diagramma
                      DIAGRAMMA.png

                      se poi non scegli la soluzione con due nodi (due server fisici "collegati insieme") puoi spendere di piu per il server fisico e farti cpu e ram piu potenti a prescidndere dalla marca.

                      1 Reply Last reply Reply Quote 0
                      • kiokomanK
                        kiokoman LAYER 8
                        last edited by

                        se vuoi qualcosa di dedicato perche' non prendere in considerazione i prodotti netgate ?
                        https://www.dadonet.it/negozio/pfsense/desktop/sg-3100-pfsense/
                        come caratteristiche per la tua linea è più che sufficiente oltre al fatto che supporteresti lo sviluppo di pfsense invece che dare i soldi a chi "ruba" il lavoro altrui
                        o questo https://www.dadonet.it/negozio/pfsense/desktop/sg-5100-firewall-appliance/
                        ma sinceramente potrebbe essere esagerato per la tua configurazione
                        tieni anche in considerazione il consumo energetico che ti farebbe risparmiare rispetto ad un server virtualizzato. se non hai la necessità di tenerlo acceso 24/24 quello che spendi in più per l'sg-3100/5100 lo risparmi di corrente dopo
                        il T140 .. non sono aggiornato su quanto consuma in termini di risorse windows come ti ripeto uso solo server linux. potrebbe andare bene se ci sono solo una ventina di client

                        ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                        Please do not use chat/PM to ask for help
                        we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                        Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                        federicopF 1 Reply Last reply Reply Quote 0
                        • federicopF
                          federicop @kiokoman
                          last edited by

                          @kiokoman mi sembra di capire che ragioniamo su due scuole di pensiero diverse (virtual e no virtual) .... 😀 😀 ... .bello mi piace il confronto costruttivo.

                          diciamo che se non c'è necessità di usare 24/24 teoricamente nn gli conviene nemmeno mettere un server.... e magari prenderne uno dedicato in cloud, i server sono costruiti proprio per quello, cmq non è il risparmio energetico secondo me da comparare tra virtual o acquisto deidicato hardware pfsense - perchè se spegni il server teoricamente non necessiti piu nemmeno del firewal - ovvero se spegni il server virtuale ti trovi nella stessa condizione di risparmio.

                          anche io prima avevo server fisici dedicati... e da quando sono passato al virtuale sono rinato.
                          consumi minori... prima avevo 5 server fisici ora 2 - se mi salta un server fisico non devo riconfiguare tutto da capo ma basta che ricarico la macchina virtuale e sono subito operativo, se metti vcente sfrutti le risorse di piu server, esempio io ho due macchine con 64 gb di ram, che messe in totale fanno 128 gb di ram, trovatemi un server con queste caratteristiche.....(senza spendere soldoni) 15 schede di rete gigabit (7 su un server e 8 su un altro) ecc.....a mio avviso non c'è paragone tra virtuale e fisico, poi le macchine puoi farci girare lunux o winzoz, ma il resto non cambia
                          io ho
                          3 server win
                          4 linux (zabbix - voip - pfsense - freenas)

                          1 Reply Last reply Reply Quote 0
                          • kiokomanK
                            kiokoman LAYER 8
                            last edited by kiokoman

                            magari gli basta avere i nas accesi a cui accedere 😂
                            non sono contrario alla virtualizzazione anzi .. ma per il firewall sinceramente preferisco avere hardware dedicato
                            sono invece contrario al cloud ... preferisco avere il controllo delle mie cose tant'e' che abbiamo una macchina virtuale per owncloud per me e i miei colleghi

                            ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                            Please do not use chat/PM to ask for help
                            we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                            Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.