Configurazione base pfsense

Zanotti

Gli IP da assegnare alle interfacce dovresti conoscerli già, per la DMZ e la WI-FI potresti usare due reti diverse, es. 10.0.0.1 per la DMZ e 10.0.1.1 per la WI-FI. Per l'IP della WAN invece si usa assegnare 1 IP statico del tuo provider (se ce l'hai a disposizione) oppure un IP della stessa classe della LAN del tuo router. A meno che tu non debba pubblicare in un DNS il tuo Firewall, puoi inserire un dominio fittizio nel campo relativo, come dns metti pure un dns qualunque (vedi sotto); per quanto riguarda invece il gateway della WAN di solito si inserisce l'IP del router, ma questo dipende anche dal tipo di xDSL che hai e se il tuo Pfsense dovrà funzionare in modalità bridged o router. Il resto dei settaggi lascialo come è di default.

morfeus8088

Quindi posso usare per sk Lan e sk Wan stessa classe di indirizzi? Comunque l'Isp mi fornisce solo IP dinamico.

Grazie.

Zanotti

No io sconsiglio di usare la stessa classe di IP per Lan e Wan a meno che non si debba fare un bridge oppure perchè non vi è altra soluzione. Se il tuo ISP dà solo IP dinamici ti consiglio di assegnare alla WAN del Firewall e alla LAN del router la medesima classe di IP. E' un piccolo esercizio di stile ma ti assicuro che poi non avrai problemi.

morfeus8088

Pfsense:

rl0=LAN             192.168.0.1
rl1=WAN 192.168.1.2
rl2=OPT1(DMZ) 10.0.0.1
ATH0=OPT2(Wi-FI)10.0.1.1

LAN router 192.168.1.1

Che subnet mask deve avere DMZ e WI-FI in base a questo schema?(scusa l'ingnoranza)
Se ho altre difficolta ti avviso.

Ci aggiorniamo.

Zanotti

Diciamo che se non devi avere reti di grosse dimensioni una subnet /24 va più che bene sia per DMZ che per WI-FI

morfeus8088

Come DNS e Gateway per WAN,LAN,DMZ e WI-FI, utilizzero' gli stessi parametri della LAN del router?

Zanotti

No, solo la WAN utilizza un campo gateway che sarà poi l'IP 192.168.1.1
Alle interfacce OPT è possibile assegnare un GW ma non credo serva nel tuo caso, non c'è necessità di assegnare loro un GW e anzi a loro volta sono GW per i client dei rispettivi segmenti, ad es. l'IP della WI-FI 10.0.1.1 sarà GW per tutti i client che quell'interfaccia dovrà gestire.

I client della LAN dovranno usare come DNS e GW 192.168.0.1
Quelli del WI-FI invece useranno come DNS e GW 10.0.1.1
Quelli della DMZ invece useranno 10.0.0.1

morfeus8088

Vedi se è tutto chiaro prima di incominciare:

Pfsense:

rl0=LAN            IP:(attuale IP=192.168.1.2/24)=192.168.0.1
  SUB.:255.255.255.0
  Gate.:192.168.0.1
  DNS:192.168.0.1
rl1=WAN            IP:192.168.1.2
  SUB.:255.255.255.0
  Gate.:192.168.1.1
  DNS:  ?
rl2=OPT1(DMZ)      IP:10.0.0.1
  SUB.:255.0.0.0
  Gate.:10.0.0.1
  DNS:10.0.0.1
ATH0=OPT2(Wi-FI)  IP:10.0.1.1
  SUB.:255.0.0.0
  Gate.:10.0.1.1
  DNS:10.0.1.1

Router:

Lan=  IP:    192.168.1.1
      Sub.:  255.255.255.0
      Gate.: 192.168.1.1
      DNS:  192.168.1.1

Ps alla WAN che DNS va messo?

Zanotti

In LAN non c'è possibilità di assegnare un GW o un DNS mentre per OPT1 e OPT2 io il GW non lo metterei nemmeno. In WAN come DNS puoi mettere quelli del tuo provider oppure l'ip del router. I restanti settings mi sembrano a posto.

morfeus8088

Ma scusa OPT1 e OPT2 come vanno su internet? Scusa l'ignoranza..
A questo punto che ho sotto mano tutti i dati come procedo?

Grazie.

Zanotti

E' sufficiente impostare una regola del firewall sia per OPT1 che per OPT2. E' possibiile anche usare un DHCP server per facilitarti le cose. L'importante è che i client di OPT1 e OPT2 siano configurati correttamente, loro sì che hanno bisogno del GW assegnato.

Una mia curiosità, OPT1 e OPT2 sono reti fisicamente separate da LAN o cosa?

morfeus8088

OPT1(DMZ), OPT2(WI-FI) e LAN devono avere la possibilita di "vedersi", di condividere file e di andare su internet.Come posso iniziare? bisogna fare qualche regola? Come mi comporto? Spigami passo passo i procedimenti da fare.

Grazie.

Zanotti

Devi ricordarti prima di tutto 2 cose: la prima è che PFSense droppa tutto il traffico che non è esplicitato tramite una regola e seconda cosa quando hai più schede di rete c'è il forward automatico tra le interfacce. Questo vuol dire che gli IP di OPT1, OPT2 e LAN tra di loro si possono pingare ma per abilitare il resto del traffico va inserita una regola apposita.

Per esempio: voglio che il traffico dalla OPT2(WI-FI) passi verso la LAN? La regola da inserire è questà:

Proto  	Source  	Port  	Destination  	Port  	Gateway  	Schedule  	Description
  *  	   OPT2 net 	 *  	 LAN net  	     *  	   *  	    	       ABILITA TRAFFICO VERSO LAN  

morfeus8088

Dove vanno inserite queste regole (qual' è il percorso?)? Mi faigli gli altri esempi per il mio caso?
Ma dopo tutto cio' dovrei aver concluso la mia configurazione? A parte ovviamente l'apertura delle porte per eMule..

Grazie.

Morfeus8088.

Zanotti

Le regole vanno inserite in "Firewall" -> "Rules" una per ogni interfaccia che la regola abilita al traffico. Ti allego un paio di shots così capisci:

Negli shots come puoi vedere uso OPT2 come rete di partenza e LAN come destinazione. Se hai bisogno che altre interfacce dialoghino tra loro dovrai fare una regola sulla base di quella che ho postato cambiando rete di partenza e rete di destinazione.

Fatto ciò ti manca solo il NAT delle porte.

morfeus8088

ho fatto le seguenti regole (seguendo i tuoi consigli):

wi-fi(opt2) –> lan
lan --> wi-fi

lan --> dmz(opt1)
dmz --> lan

wi-fi --> dmz
dmz --> wi-fi

Va bene? Puo' bastare?
Passiamo al NAT?
Ps Scusa l'ignoranza adesso, dopo aver salvato, se spengo la macchina non perdo le configurazioni fatte giusto?

Zanotti

Si dovrebbero bastare, se hai salvato le regole non si perdono quando fai il reboot del firewall.

morfeus8088

A questo punto passiamo al NAT (che poi non so a cosa serve, scusa l'ignoranza in materia)?
PS E le porte da aprire in DMZ quando le facciamo?

Zanotti

Ok ma tu mi devi dire cosa vuoi fare davvero, con un bello schema, con indicazione delle porte che usi o che dovrai usare e cosa dovranno gestire, inteso come traffico, le varie dmz o wi-fi del caso. Poi possiamo cominciare a parlare del NAT.

Scusa la franchezza e il fatto di essere di mio abbastanza diretto ma Pfsense NON è il programma giusto per chi è a digiuno dei fondamenti di networking in generale e NON è la soluzione migliore nel tuo caso perchè è un ambiente molto complesso e particolarmente ostico se un domani dovrai mettere mano alle regole o al NAT.

morfeus8088

Zanotti, hai ragione, anche io sono franco con te: io sono solo un autodidatta che ha deciso di intraprendere la configurazione di un firewall con pfsense. Quindi io ti chiedo semplicemente un sostegno per fronteggiare tutto cio'. Ma se tu non vuoi piu' aiutarmi io capiro'.

Sicuro di una risposta.

Morfeus8088.