Aiuto nella configurazione di pfsense


  • Buonasera, ho l'esigenza di configurare un pc come firewall (pfsense) ho 3 schede di rete una va alla Lan con ip 192.168.0.0 un'altra alla Wan/router Belkin 192.168.2.100(alla wan firewall ) e 192.168.2.1(router Belkin) ed un'altra alla DMZ con ip 10.0.0.1 sub 255.255.255.0. Il mio router (premetto ho un abbonamento alice adsl con ppp ATM con ip dinamico )  ha disabilitato il firewall interno. cosa devo configurare per gestire tuttel le roule dal pfsense dato che devo configurare alcune macchine interne alla lan per accedere ad emule e altre applicazioni? La mia domanda nasce dal fatto che se disabilito il firewall del router ho l'impressione che il pallino del controllo firewall non sia nelle mani di pfsense. cortesemete potreste aiutarmi?

    le foto che allego sono tutte riferite ad impostazioni che ho nel mio router belkin







  • Ciao, comincio subito col chiederti se hai IP statici a disposizione oppure hai solo quello dinamico?

    Con 192.168.0.0 mi stai indicando l'IP della LAN oppure la sua rete di appartenenza?

    Se disabiliti il firewall il router e se PFsense è configurato bene stai pur tranquillo che non rimpiangerai il firewall del Belkin…che tra l'altro è una marca che detesto  ;D

    Che cosa devi farci con la DMZ? Se è solo per Emule non c'è bisogno di fare una DMZ....


  • Ciao Zanotti e grazie del tuo aiuto,

    Inizio col dire che con 192.168.0.0 ti indico la rete di appartenenza della Lan

    non ho a dispo un ip statico fornito da isp ( risolvo con host dyndns.org)

    La dmz non mi serve per emule semmai per altri tipi di hosting (FTP, http)

    Purtroppo anche se ho belkin questo ci passa il convento al limite potrei sostituirlo con un us robotics

    La mia sensazione è che come vedi da print screen anche se disabilito il firewall se non attribuisco l'ip della scheda wan pfsense (IP 192.168.2.100) tra gli ip virtuali del router e apro le porte per emule (da usare in lan e quindi 192.168.0.0) si connette ma non con id alto.
    Se non faccio ciò il router mi blocca le due porte. Quindi può dipendere dal router o da una non corretta configurazione ?


  • @dualline:

    La mia sensazione è che come vedi da print screen anche se disabilito il firewall se non attribuisco l'ip della scheda wan pfsense (IP 192.168.2.100) tra gli ip virtuali del router e apro le porte per emule (da usare in lan e quindi 192.168.0.0) si connette ma non con id alto.
    Se non faccio ciò il router mi blocca le due porte. Quindi può dipendere dal router o da una non corretta configurazione ?

    Scusa potresti spiegare meglio questo passaggio degli IP virtuali? Magari con uno screenshot?


  • Si come vedi nello screenshot che allego si vede la lista degli ip virtuali gestiti dal router tra i quali c'è anche quello del firewall pfsense per poter gestire in lan le porte che servono aperte su un inidirizzo lan interno già nattato su pfsense.

    ![ip virtuali router.jpg](/public/imported_attachments/1/ip virtuali router.jpg)
    ![ip virtuali router.jpg_thumb](/public/imported_attachments/1/ip virtuali router.jpg_thumb)


  • Ok ora è chiaro, quello che non mi è ancora chiaro è se oltre al firewall puoi disabilitare anche il NAT perchè da quello che capisco anche se il firewall è disabilitato il NAT continua a funzionare ed è quello che potrebbe darci delle grane.


  • Si Zanotti credo tu abbia capito bene, non c'è la possibilità di disabilitare singolarmente il nat, nelle specifiche ho letto che anche se disabilito il firewall la rete gestita dal dispositivo belkin non sarà completamente scoperta da attacchi evidentemente proprio per questo. Credo che a questo punto posso dire che questo è proprio un router entry level difficile da adattare a reti più complesse.


  • Ma no dai ho già affrontato un caso simile con PFsense e con router di quel genere  ;)

    Abbiamo 2 possibili soluzioni: la prima è gestire tutto con 2 NAT ma francamente è una cosa complessa, la seconda è usare un trucchetto per far gestire tutto a Pfsense anche con il NAT del firewall attivato. Dai tuoi screenshot ho visto che è possibile fare una DMZ tradizionale, in modo che tutto il traffico in entrata bypassi il firewall e arrivi sull'ip che si va a inserire. In pratica noi dovremo inserire sul router come indirizzo IP da mettere in DMZ proprio l'ip della WAN che andremo a settare in pfsense. In questo modo riusciamo a gestire il traffico con Pfsense come vogliamo. I virtual IP diventeranno le entry del NAT di PFsense ed eventualmente gestiremo una DMZ direttamente da Pfsense.

    Per sicurezza però vorrei uno screenshot del menù firewall del tuo router, l'esempio che ti ho fatto l'ho usato con i Netgear che hanno questo problema.


  • Credo di aver capito, inserisco nella sez. dmz del router l'indirizzo wan di pfsense e dovrei dirottare tutto il traffico al firewall ho capito bene? ma poi per gli ip virtuali che saranno l'entry del nat dovranno sempre essere gestiti dal router o dal pfsense?

    altra domanda

    se voglio gestire l'accesso alla lan mediante wireless con un altro router devo per forza configurarlo in pfsense o posso bypassare e metterlo direttamente in rete facendo attenzione all'eventuale dhcp del firewall.



    ![firewall attivazione.jpg](/public/imported_attachments/1/firewall attivazione.jpg)
    ![firewall attivazione.jpg_thumb](/public/imported_attachments/1/firewall attivazione.jpg_thumb)


  • @dualline:

    Credo di aver capito, inserisco nella sez. dmz del router l'indirizzo wan di pfsense e dovrei dirottare tutto il traffico al firewall ho capito bene?

    Si hai capito bene, una volta inserito l'IP nella DMZ il router dovrebbe teoricamente dirottare lì tutto il traffico, diversamente potrebbe essere necessaria una regola in cui dovrai fare forward di tutte le porte (1-65535) sempre verso quell'IP.

    @dualline:

    ma poi per gli ip virtuali che saranno l'entry del nat dovranno sempre essere gestiti dal router o dal pfsense?

    Verranno gestiti direttamente da Pfsense dal momento che il router girerà verso quest'ultimo tutto il traffico.

    @dualline:

    altra domanda

    se voglio gestire l'accesso alla lan mediante wireless con un altro router devo per forza configurarlo in pfsense o posso bypassare e metterlo direttamente in rete facendo attenzione all'eventuale dhcp del firewall.

    Puoi fare quello che vuoi, puoi far gestire un secondo router a PFsense così come puoi mettere un secondo router indipendentemente dal primo.


  • @Zanotti:

    @dualline:

    Credo di aver capito, inserisco nella sez. dmz del router l'indirizzo wan di pfsense e dovrei dirottare tutto il traffico al firewall ho capito bene?

    Si hai capito bene, una volta inserito l'IP nella DMZ il router dovrebbe in linea teoriza dirottare lì tutto il traffico, diversamente potrebbe essere necessaria una regola in cui dovrai fare forward di tutte le porte (1-65535) sempre verso quell'IP.

    @dualline:

    ma poi per gli ip virtuali che saranno l'entry del nat dovranno sempre essere gestiti dal router o dal pfsense?

    Verranno gestiti direttamente da Pfsense dal momento che il router girerà verso quest'ultimo tutto il traffico.

    @dualline:

    altra domanda

    se voglio gestire l'accesso alla lan mediante wireless con un altro router devo per forza configurarlo in pfsense o posso bypassare e metterlo direttamente in rete facendo attenzione all'eventuale dhcp del firewall.

    Puoi fare quello che vuoi, puoi far gestire un secondo router a PFsense così come puoi mettere un secondo router indipendentemente dal primo.

    se volessi demandare a pfsense la gestione di quest'altro router a pfsense dove lo vado a configurare ?


  • @dualline:

    se volessi demandare a pfsense la gestione di quest'altro router a pfsense dove lo vado a configurare ?

    Beh ti servirebbe un'ulteriore scheda di rete sul Pfsense che funge da WAN2 e una volta configurata ques'ultima puoi gestire un failover o un load balance delle due ADSL oppure tenerle separate e usare l'outbound NAT per quei servizi che necessitano di uscire su di una ADSL piuttosto che l'altra.


  • Ciao Zanotti, scusami se approfitto delle tue competenze teorico/pratiche, volevo sapere come mai configurando una dongle usb wifi come accesso point e attribuendo un indirizzo ip 10.0.0.1 senza gateway, dhcp abilitato, non mi viene rilevata la rete wifi e attribuito il lease ip ? Forse sbaglio qualcosa nella configurazione? ti ricordo che sto gestendo un lan con famiglia ip 192.168.0.0 con dhcp che è ok voglio aggiungere una wifi per far accedere ad internet le postazioni wireless (notebook, ecc.) con una classe ip diversa tipo anche 10.0.0.1 e in seguito aggiungerò una dmz per hosting ftp. ti allego dei print per aiutarti a capire l'eventuale errore che commetto. Non sarà che devo gestirla in modalità infrastruttura anzichè come hotspot/access point? Ah dimenticavo l'errore che mi compare è  " rum0(dongle usb wifi): could not open Tx Pipe: IN_USE

    Anticipatamente ti ringrazio dell'aiuto che mi stai dando…. ;-)





  • Purtroppo si le chiavette USB non sono proprio degli access point quindi devono lavorare in modalità infrastruttura (anche perchè altrimenti che li compriamo a fare gli access point?) L'unica limitazione se non sbaglio è quella del numero massimo di dispositivi che l'infrastruttura può avere, max 3 mi pare.

    Se usi il driver "rum" presumo che stai usando una chiavetta Belkin giusto?


  • no la chiavetta è sitecom, cambia qualcosa ?


  • No non cambia nulla :)