Prima di installare Pfsense



  • Ciao a tutti,
    prima di installare pfsense volevo qualche qualche delucidazione….

    con un vecchio zywall che ho attualmente e che voglio... buttare..
    ho la possibiltà di vedere un monitoragio del traffico per vedere se qualcuno abusa più degli altri della banda..
    è possibile avere con questo firewall anche un monitoraggio del traffico, per ogni host?

    attualmente ho una vpn tra due zywall.. ed uno lo voglio eliminare..
    chiedo pertanto se è possibile fare e se esiste qualche guida a tal proposito tra pfsense e un zywall...?

    poi... ne approfitto per togliermi qualche dubbio, se sono per la strada giusta.
    Non conosco per niente questa distribuzione ma sto iniziando a leggere qualcosa.
    Io ho come hardware un vecchio pentium 4 con 1 giga di ram
    e quindi ho scaricato questo file:

    pfSense-2.0-RELEASE-i386.iso.gz

    ho fatto il cd ed ho visto che fa il boot.,. e domani lo installero seguendo qualche guida...
    ma vi chiedo è il file giusto? visto che ne vedo di vari tipi...  sul mirror?

    grazie mille
    Buona serata



  • Ciao, fai benissimo a buttare gli Zywall perchè la mia esperienza anni fa con quel tipo di router è stata assolutamente orribile  ;D
    Per quanto riguarda la tua domanda Pfsense ha degli strumenti per il monitoraggio del traffico, molti di questi sono programmi che devi installare dal package manager che trovi dentro Pfsense stesso. Tra i tanti ci sono Lightsquid se usi un proxy, Ntop, darkstat, bandwidthd, zabbix ecc.. ecc.. basta solo provarli.

    Per le vpn Pfsense può usare sia OpenVPN che IPSEC che L2TP ma se non ricordo male Zywall non è compatibile con OpenVPN ma con IPSEC credo di si, dovresti provare con quest'ultimo eventualmente.

    PFsense non ha bisogno di un hardware potentissimo ma molto sta a quello che ci devi fare tu, se deve fare solamente del firewall, del routing e nulla più anche un P4 con 1GB di memoria può andare benissimo, se invece un domani dovrai fargli fare anche altri ruoli tipo server proxy, server Snort, captive portal ecc.. allora potrebbe non essere sufficiente. Una valutazione di questo tipo include anche altri parametri non ultimo quanti utenti deve servire il firewall.

    Il file che hai scaricato è quello corretto, c'è anche una versione a 64Bit se vuoi mentre gli altri con suffisso memstick sono per installazioni da schedina di memoria per appliance dedicati.

    Se hai qualche altra domanda chiedi pure. Ciao.



  • Grazie mille della risposta Zanotti!
    E visto che mi chiedi se ho altre domande ne approfitto subito :)
    Anzi due domanfinw: Hihihih

    1. Ho una  decina di ip pubblici che mi escono fuori e smanettando un po' sono riuscito ad assegnarne due ad
      altrettanti due sever apache che ho in LAN. Perfetto da fuori li vedo ma mi sono accorto però che dall'interno se questi server li richiamo con ip pubblico non mi rispondono, mi sai dire magari cosa mi manca?!

    2. esiste una guida un po' più esaustiva (della doc) magari con qualche esempio per configurare il port forwarding, che proprio non mi sta facendo impazzire?!
      O almeno credo che sia quello che mi serve… Magari sbaglio ma sullo zywall credo era questa funzione...
      Praticamente sfruttando l'ip con cui esce la LAN e cambiando solo le porte vorrei accedere ai vari desktop remoti dei pc della LAN.
      Praticamente aprire la porta per esempio 3345 al pc1 ed accederci dall'esterno
      94.23.227.12:3345
      E così via per altri pc della LAN sempre con lo stesso ip publibico!
      Esiste qualche esempio o guida?!
      Ciao e ancora grazie
      Giuseppe



  • @girub:

    1. Ho una  decina di ip pubblici che mi escono fuori e smanettando un po' sono riuscito ad assegnarne due ad
      altrettanti due sever apache che ho in LAN. Perfetto da fuori li vedo ma mi sono accorto però che dall'interno se questi server li richiamo con ip pubblico non mi rispondono, mi sai dire magari cosa mi manca?!

    E' fondamentale capire come hai impostato gli IP pubblici sul Pfsense, io consiglio di settarli in "Firewall" -> "Virtual IPs" come "IP Alias". A seconda dell'utilizzo che se ne deve fare di un IP pubblico, solo CARP e IP Alias permettono a IP virtuali o pubblici di essere raggiungibili da ping a patto che vi sia una regola che lo permetta. Proxy ARP e Other invece non permettono questa funzione. La differenza tra i diversi tipi la trovi su http://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses%3F

    Il server che pinghi all'interno della LAN fa anche da gateway per la LAN stessa? Ad ogni modo credo che manchi una regola lato LAN nel firewall che permetta proprio di raggiungere quell'IP pubblico.

    1. esiste una guida un po' più esaustiva (della doc) magari con qualche esempio per configurare il port forwarding, che proprio non mi sta facendo impazzire?!
      O almeno credo che sia quello che mi serve… Magari sbaglio ma sullo zywall credo era questa funzione...
      Praticamente sfruttando l'ip con cui esce la LAN e cambiando solo le porte vorrei accedere ai vari desktop remoti dei pc della LAN.
      Praticamente aprire la porta per esempio 3345 al pc1 ed accederci dall'esterno
      94.23.227.12:3345
      E così via per altri pc della LAN sempre con lo stesso ip publibico!

    Fare questo è abbastanza facile, i passi te li spiego brevemente: Se vuoi usare un IP diverso da quello della WAN definisci un IP pubblico come IP alias come ti ho scritto sopra, ovviamente lo associ alla WAN o alla WAN2 se hai più di una linea ADSL dopodichè per fare una regola di NAT devi andare in "Firewall" -> "NAT".

    Nel tab "Port Forward" clicca sul "+" per creare una nuova regola. Come primo passo devi decidere su quale interfaccia di rete deve agire il NAT, in questo caso diciamo WAN, poi scegli il protocollo TCP o UDP o entrambi (ICMP non fa uso di porte quindi casomai fai una regola separata). Nel campo "Source" inserisci l'IP sorgente ovvero l'IP che è abilitato ad usare questa regola, nel caso fosse accessibile da chiunque scegli. Se invece non vuoi che il NAT sia accessibile da chiunque ma solo da un gruppo di IP pubblici puoi prepararti degli Alias in "Firewall" -> "Aliases" e definire una lista di IP.

    Nel campo "Source Port Range" puoi lasciare ANY perchè l'IP in entrata randomizza sempre la porta salvo configurazioni molto particolari (Es. VPN)
    Nel campo "Destination" invece puoi scegliere WAN se vuoi usare l'IP pubblico della WAN oppure puoi scegliere uno degli IP alias che hai inserito.
    Nel campo "Destination Port Range" inserisci per esempio la tua porta o una porta che preferisci, questa è comunque la porta che apri sul Firewall quindi occhio!
    Nel campo "Redirect Target IP" inserisci l'IP del PC in LAN che devi raggiungere.
    Nel campo "Redirect Target Port" inserisci la porta che risponde al servizio che devi raggiungere, 3345 in questo caso.

    Molto spesso, per casi di FTP passivo, VPN, NAT non troppo esotici ecc. ecc, i campi "Destination Port Range" e "Redirect Target Port" sono settati sulla medesima porta proprio per questioni di praticità e semplicità. Cio non toglie che puoi settarli come ti pare tenendo a mente che il primo è la porta aperta sul firewall da fuori e il secondo è la porta che devi raggiungere.

    Conferma la regola e fai le tue prove, per il momento mi fermo quì se hai problemi chiedi pure. Ciao.



  • grazie mille Zanotti
    Allora ho seguito alla precisione quello che mi hai scritto :)
    Per l'apertura delle porte ho seguito le tue istruzioni ed è tutto ok!!
    richiamando 99.22.22.210
    e metteno le varie porte tipo.

    3335
    3035
    3566

    posso raggiungere il desktopremoto dei vari pc!!
    Ti volevo però chiedere è giusto che:
    NAT reflection  deve stare su "use system default"
    e
    Filter rule association deve stare su "Pass"?

    C'è ancora qualche altra cosetta che mi sta facendo impazzire?

    Non riesco ancora a vedere l'ip pubblico dalla lan
    In particolare ti faccio l'esempio di quello che ho in azienda:
    con ip 99.22.22.210 esco dalla lan (quindi è l'ip wan)
    poi ho

    99.22.22.211 che é associato al mil ip (anche qui ho un server web)

    99.22.22.212 l'ho assegnato al 194.247.0.99 che è un server web e su
    cui ho aperto la porta http

    99.22.22.213 a cui ho assegnato il 194.247.0.84 ed ho una stampante
    99.22.22.214 a cui ho assegnato il 194.247.0.83 ed ho un altra stampante

    Ne approfitto sempre della tua sapienza e pazienza :) e sparo un altra domandina:

    1. questi ip sono visibili all'esterno ma da dentro la lan invece li
      posso raggiungere solo con il 194.247.0.. quale regola mi manca
      secondo te? è la regola lato lan di cui mi scrivi che secondi te manca?
      grazie mille
      Giuseppe


  • @girub:

    Ti volevo però chiedere è giusto che:
    NAT reflection  deve stare su "use system default"
    e
    Filter rule association deve stare su "Pass"?

    Io disabiliterei entrambi i NAT reflection, sia 1:1 che port forward, perchè possono darti problemi con configurazioni di routing particolari, es. failover o balancing, e avendo più di un IP pubblico hai bisogno di impostare tu manualmente il tuo routing.
    La filter rule association serve a stabilire una policy in fase di creazione del NAT. In poche parole quando tu vai ad inserire un NAT puoi decidere che sia il NAT stesso a crearti la regola di routing in "Firewall" -> "Rules" per la scheda di rete corrispondente. E' soltanto un metodo più pratico e veloce di gestire a posteriori un NAT senza dover sempre riscrivere delle regole ogni volta, spesso ricorrenti.

    Agendo su quel campo puoi creare un NAT attivo senza creare automaticamente la regola di routing (opzione pass), questa opzione ti permette di abilitare o disabilitare il NAT, non la regola di routing corrispondente se presente, quando ne hai necessità.

    Puoi creare un NAT con regola di routing collegata (Add associated filter rule), se cancelli questo NAT cancelli anche la relativa regola di routing collegata.

    Puoi anche creare un NAT attivo senza che si crei la regola di routing automaticamente (Add unassociated filter rule), di solito si usa per avere regole attive senza associarle immediatamente, ha senso quando vuoi fare delle prove su NAT che cambi spesso oppure quando cambi associazione di frequente. E' utile soprattutto per non dover riscrivere decine di NAT tutte le volte.

    L'ultima opzione (none) non ha un vero utilizzo, nella pratica è simile a "add unassociated filter rule".

    Come ultima considerazione ricorda che le regole di NAT che creano regole di routing "bloccano" queste ultime ovvero se devi modificarle devi farlo dal pannello del NAT. Diversamente quelle che non sono associate a NAT possono essere modificate liberamente. Con la pratica vedrai la differenza.

    Non riesco ancora a vedere l'ip pubblico dalla lan
    In particolare ti faccio l'esempio di quello che ho in azienda:
    con ip 99.22.22.210 esco dalla lan (quindi è l'ip wan)
    poi ho

    99.22.22.211 che é associato al mil ip (anche qui ho un server web)

    99.22.22.212 l'ho assegnato al 194.247.0.99 che è un server web e su
    cui ho aperto la porta http

    99.22.22.213 a cui ho assegnato il 194.247.0.84 ed ho una stampante
    99.22.22.214 a cui ho assegnato il 194.247.0.83 ed ho un altra stampante

    Ne approfitto sempre della tua sapienza e pazienza :) e sparo un altra domandina:

    1. questi ip sono visibili all'esterno ma da dentro la lan invece li
      posso raggiungere solo con il 194.247.0.. quale regola mi manca
      secondo te? è la regola lato lan di cui mi scrivi che secondi te manca?
      grazie mille
      Giuseppe

    La classe IP 194.247.X.X rappresenta la tua LAN oppure una DMZ o qualche altro segmento fisicamente separato? Non è chiarissimo questo passaggio.
    Questi IP pubblici che mi hai scritto come li hai impostati su Pfsense? li hai inseriti in "Firewall" -> "Virtual IPs" ? Specifica anche se li hai messi come ARP Proxy, CARP, IP Alias o Other. Credo di avere capito il problema ma per sicurezza dovresti postarmi le regole che hai in "Firewall" -> "Rules" -> "LAN"

    Ciao.



  • ti continuo a ringraziare della pazienza che hai :)

    sei stato molto chiaro.. sulla spiegazione.
    allora…
    la classe 194.247.X.X rappresenta la mia lan
    gli ip li ho inseriti come tuo suggerimento in
    "Firewall" -> "Virtual IPs"  e poi li ho impostati come IP Alias

    queste sono le regole invece presenti nella sezione lan

    Ho smanettato un po dappertutto .. ma queste c'erano dall'inizio.. o almeno credo :)
    Comunque mi son dimenticato di scrivere che se richiamo via browser 99.22.22.211-2-3-4 mi esce sempre l'interfaccia web di pfsense, dove mi chiede la username e password.
    anche un tutorial o link e ben accetto… :)
    buona giornata!!
    grazie ancora giuseppe



  • Ciao, ora è più chiaro in effetti  ;D

    Quando tu cerchi di collegarti ai vari IP pubblici dalla LAN e ti risponde il portale di Pfsense è normalissimo perchè sono tutti IP virtuali attestati sulla WAN e per effetto del default routing è normale che succeda questo. Guardando lo screenshot mi sono accorto che avevo capito male, cioè credevo che tu avessi una WAN, una LAN e una DMZ, con gli IP pubblici nattati verso quelli della DMZ, e che quest'ultima doveva essere raggiungibile da LAN  ;D

    Gli settaggi dello screenshot sono corretti. Devo però dirti che la tabella di NAT indica solo come un IP deve cambiare nell'header, ma una volta trasformato si tratta comunque di un pacchetta che viene girato al corrispondente IP in LAN. Quindi non c'è modo (al 90% sono sicuro a meno di settaggi molto esotici) che Pfsense ti traduca l'IP 99.22.22.212 in 194.247.0.99 se la richiesta rimane intra LAN. Puoi fare un trucchetto con il DNS forwarder in modo che 194.247.0.99 abbia associato un nome host ma non è quello che ti serve.

    Diversamente se avessi avuto una DMZ con i tuoi server allora potevi tramite Outbound NAT avere una separazione fisica delle reti innanzitutto e potevi fare in modo che DMZ e LAN potessero essere raggiungibili a vicenda.

    Comunque stasera faccio le mie prove e ti faccio sapere domani con precisione. Ciao.



  • Un altra cosa di cui proprio non capisco il perché senza agire sulle limitazioni di banda mi ritrovo dopo uno speed test la banda alla metâ di quella che io ho sul rooter? anziché  i 50 mb arrivo appena a 25, come mai secondo voi?! Sarà tutte ste porte che ho aperto per il desktop remoto pervari pc della lan? E a pensare che ho tolto lo zywall 5 perché mi strozzava la fibra :(
    E poi é possibile che con lo zywall che era vecchiotto di 5 anni riuscivo a vedere sti ip pubblici dalla LAN e con pfsense che ha mille funzioni in più ancora non ci riesco ;)

    Non voglio ritornar allo zywall!!! :)
    Ma la cosa mi sta facendo impazzire
    Buona serata

    Giuseppe



  • @girub:

    Un altra cosa di cui proprio non capisco il perché senza agire sulle limitazioni di banda mi ritrovo dopo uno speed test la banda alla metâ di quella che io ho sul rooter? anziché  i 50 mb arrivo appena a 25, come mai secondo voi?! Sarà tutte ste porte che ho aperto per il desktop remoto pervari pc della lan? E a pensare che ho tolto lo zywall 5 perché mi strozzava la fibra :(

    Stai tranquillo che Pfsense non è la causa di questo calo di banda semmai le cause di questi problemi potrebbero essere un mix di diversi fattori quali rapporto segnale/rumore della linea, livello di attenuazione della linea,
    valore nominale di aggancio della portante DSL più bassa, traffic shaper fatto dal tuo provider, filtro DSL guasto, valore della portante DSL corretta ma strozzata per grandi carichi sul lotto, redirect del traffico lungo circuiti ATM più lontani (a volte in caso di lotti saturi o manutenzione) ecc.. ecc.. di motivi buoni per un valore così scarso te ne potrei tirare fuori un'altra dozzina.

    E poi é possibile che con lo zywall che era vecchiotto di 5 anni riuscivo a vedere sti ip pubblici dalla LAN e con pfsense che ha mille funzioni in più ancora non ci riesco ;)

    Non voglio ritornar allo zywall!!! :)
    Ma la cosa mi sta facendo impazzire
    Buona serata

    Giuseppe

    Purtroppo PF che è il sistema di firewall di PFsense ha anche lui i propri limiti, nel tuo caso purtroppo hai solo una LAN e i tuoi port forward li fai proprio verso la LAN. Se avessi avuto una DMZ invece non avresti avuto alcun problema con un Outbound NAT. Inoltre facendo dei NAT1:1 riusciresti a fare quello che chiedi senza problemi ma avendo anche i port forward per alcuni servizi, i due sistemi vanno in conflitto ovvero il port forward fa un override delle regole del NAT1:1 e quindi torniamo punto e daccapo. Nel week end cerco di fare delle prove da remoto perchè mi piacerebbe trovare una pezza al problema, trovare una soluzione da quanto leggo in forum non credo sarà possibile.

    Comunque ti esorto comunque a lanciare lo Zywall dalla finestra, il tuo problema è davvero poca cosa rispetto alla flessibilità che offre Pfsense. Una volta che farai pratica ti assicuro che sarai d'accordo con me nel dire che è davvero un'ottimo sistema.
    Ciao.



  • va bene…. zywall lanciato :)
    In effetti sembra che la fibra dei 50 mega sia un po ballerina... rifacenco il testil giorno dopo mi sono accorto che arriva a 50M oggi ancora a 25 e per questo che pensavo fosse pfsense.
    Comunque...  chiamero il provider....

    Per gli IP pubblici visibili dall'interno spero in una soluzione.. o illuminazione.. se no cosa mi consigli... pongo il problema nel forum internazionale? forse qualcunbo a kathmandu potrebbe aver avuto la mia stessa esigenza :)

    Poi chiedevo.. ho installato bandwidthd, ma non è che mi faccia impazzire...
    c'è qualcosa di più completo magari un package che fa vedere anche i siti che ogni utente visita... (sempre facendo il paragone con il vecchio zywall mi ricordo che era possibile...)
    O comunque qualche altro package che consigliate per la buona gestione di un piccola rete con una 20-25 pc?
    grazie ancora
    Giuseppe



  • @girub:

    Per gli IP pubblici visibili dall'interno spero in una soluzione.. o illuminazione.. se no cosa mi consigli… pongo il problema nel forum internazionale? forse qualcunbo a kathmandu potrebbe aver avuto la mia stessa esigenza :)

    Un consiglio che potrei darti è quello di aggiungere una scheda di rete che faccia da segmento DMZ, spostare su quel segmento i tuoi server e rimappare i NAT.
    In questo modo puoi accedere dalla LAN richiamando l'IP pubblico, nel forum internazionale ho letto che si pu òfare fcendo un Outbound NAT. Preferisco le DMZ anche pe runa questione di pulizia dei log e di una migliore policy sul traffico in entrata e uscita.

    Poi chiedevo.. ho installato bandwidthd, ma non è che mi faccia impazzire…
    c'è qualcosa di più completo magari un package che fa vedere anche i siti che ogni utente visita... (sempre facendo il paragone con il vecchio zywall mi ricordo che era possibile...)
    O comunque qualche altro package che consigliate per la buona gestione di un piccola rete con una 20-25 pc?
    grazie ancora
    Giuseppe

    Se Bandwitdhd non ti piace prova subito Ntop, prova Zabbix se vuoi tenere monitorata la tua rete.
    Se casomai vuoi usare un proxy, anche reverse, ti consiglio di installare Lightquid che fa proprio al caso tuo con log molto ordinati e dettagliati.
    Un ottimo package è Varnish che è un web accelerator, per il tuo web server penso sia molto utile.


Locked