Instalacao Avancada pfSense



  • Olá pessoal,

    Estava vendo o tutorial do marcelloc (http://forum.pfsense.org/index.php/topic,43736.0.html) sobre instalacao avancada para melhorar o desempenho do disco no pfSense e fiquei com algumas duvidas.

    Tenho um HP Compaq 8200 Elite, i7, Memória: 16Gb DDR3, Disco: 500Gb, 4 Placas de Rede Giga.

    Qual seria a melhor configuracao para o disco?

    Uso bastante o Squid para fazer cache, já que só tenho uma Internet de 2Mb e outra de 1Mb, ambas por satélite.
    A rede tem em torno de 600 usuarios.

    Minha dúvida está na instalacao:

    Seleciono para fazer a instalacao CUSTOM:
      <custom install="">Seleciono meu disco:
      <ad4: 476940mb="" <seagate="" st3500418as="" cc38="">at ata-2master>

    Faco o formato de disco:
      <format this="" disk="">Cylinders 969021
     Heads 16
     Sectors 63
      <use this="" geometry=""><format ad4="">Crio a particao:
      <partition disk=""><skip this="" step=""><return to="" format="" disk="">Instalo Bootlock:
     Install Bootlock(s)
     Disk Drive: ad4
     Install Bootlock: X
     Packet Mode?: X
      <accept and="" install="" bootlocks=""><skip this="" step="">Seleciono a particao para uso:
     Select Primary Partition
     <1: 465.76G>

    Faco as subparticoes:
     Select Subpartitions

    |

    | Mount Point | Capacity | Softupdates? | Frag Size | Block Size |
    | / | * |   | 2048 | 16384 |
    | swap | ?? | X | 2048 | 16384 |
    | /usr | ?? | X | 2048 | 16384 |
    | /var | ?? | X | 2048 | 16384 |

    Agora as questoes:

    • Uso somente uma particao? ou alguem recomenda criar mais de uma?
    • Para que serve o Bootlock? É recomendado instalar?
    • Qual a melhor recomendacao para os tamanhos na particao? (/, swap, usr, var)

    Obrigado uma vez mais.

    Com essas informacoes vou elaborar um mini tutorial pra postar aqui pra o pessoal.

    Valeu!!! |</skip></accept></return></skip></partition></format></use></format></ad4:></custom>



  • Eu vi também um tutorial de como adicionar um segundo disco ao pfsense tambem indicado pelo marcelloc: http://es.scribd.com/doc/75864246/Speed-Up-Internet-PFSense-Adding-Second-Harddirve-for-Cache-Directory

    Pelo que vi este segundo disco seria só para cache. Achei interessante mas um pouco complicado de implementar, já que nao tenho muito conhecimento.

    Vou tentar implementar também e fazer um tutorial.

    Tenho alguns disco de 500Gb sobrando, voces recomendam fazer isso? Usar um disco extra somente para fazer cache? Alguma outra indicacao?

    Obrigado!!!



  • Para usar o softupdates, você precisa separar o /var e /usr do /

    Use no máximo 2gb de swap e separe, por exemplo 230g para o /var e 230gb para o /usr, ja que voce tem um disco com 500gb.

    Eu prefiro usar setups fáceis de restaurar, por isso até hoje nao precisei configurar um segundo disco.



  • Outra duvida de iniciante: qual é o mais recomendado? usar o acesso HTTPS ou HTTP para o pfsense?

    e o cache do squid, continuo colocando no /var/squid/cache?



  • @vithort:

    Outra duvida de iniciante: qual é o mais recomendado? usar o acesso HTTPS ou HTTP para o pfsense?

    :o
    Básico, né?… ::) :)
    Revendo: Qual é a diferença entre HTTPS ou HTTP:
    http://www.dnt.adv.br/noticias/cibercultura/voce-sabe-a-diferenca-entre-http-e-https/



  • @vithort:

    A rede tem em torno de 600 usuarios.

    vithort, você me desculpe o que vou dizer a seguir e não me leve a mal:

    É mais do que pré-requisito ter conhecimento mínimos sobre protocolos e segurança de redes para administrar/gerenciar uma rede com 600 usuários. Principalmente quando se trata do firewall/roteador e, conhecimentos básicos, neste caso, não bastam.

    Se você tinha dúvidas entre usar HTTPS ou HTTP para um dispositivo crítico de rede como o pfSense, recomendo estudos mais profundos, principalmente protocolos TCP/IP, DNS, DHCP, UDP, HTTP, HTTPS etc, Sistemas Operacionais, Firewalls, Proxies, Engenharia social… entre outros.

    Mais uma vez, desculpe-me, mas tais conhecimentos são essênciais e obrigatórios.  :)



  • @johnnybe:

    @vithort:

    A rede tem em torno de 600 usuarios.

    vithort, você me desculpe o que vou dizer a seguir e não me leve a mal:

    É mais do que pré-requisito ter conhecimento mínimos sobre protocolos e segurança de redes para administrar/gerenciar uma rede com 600 usuários. Principalmente quando se trata do firewall/roteador e, conhecimentos básicos, neste caso, não bastam.

    Se você tinha dúvidas entre usar HTTPS ou HTTP para um dispositivo crítico de rede como o pfSense, recomendo estudos mais profundos, principalmente protocolos TCP/IP, DNS, DHCP, UDP, HTTP, HTTPS etc, Sistemas Operacionais, Firewalls, Proxies, Engenharia social… entre outros.

    Mais uma vez, desculpe-me, mas tais conhecimentos são essênciais e obrigatórios.  :)

    Amigo, quando comecei a implementar o pfsense, nao tinha nem idéia de como funcionava.

    Já havia trabalhado com proxy/firewall Appliance (Junniper, SonicWall, etc). Fui lendo os tutoriais e aprendendo, perguntando e buscando conteudo na internet, forums, etc…

    Nao sei muito ainda, só tenho 8 meses trabalhando com o pfSense, agora, depois desse tempo estudando o sistema já implementado, estou buscando uma forma de melhorar o desempenho do meu sistema, nao quero uma instalacao basica, quero uma instalacao em que eu possa personalizar de acordo com o uso de minha rede.

    sobre seu comentario: extremamente inútil. Minha pergunta foi simples, esperava uma resposta simples.

    Nao creio que seja necesario todo esse conhecimento para trabalhar com o pfSense, estou usando o pfSense gracas a indicacao de um amigo que eh engenheiro elétrico (que por sinal nao tem conhecimento em protocolos, SO, firewall, etc.)... justamente aí está o diferencial do pfSense, nao é necesario ter conhecimento profundo nos temas... é uma interface mais amigavel que ficar trabalhando em linhas de comando.

    @vithort:

    Outra duvida de iniciante: qual é o mais recomendado? usar o acesso HTTPS ou HTTP para o pfsense?

    Minha pergunta, acho que voce nao entendeu bem, entao vou reformular para que dessa vez entenda melhor: Minha duvida foi em relacao a usar o HTTP ou HTTPS em meu pfSense, se há opcao de usar ou um ou outro, deve haver alguma diferenca, nao somente o "s" no nome, e qual a indicacao…

    nao se preocupe, minha rede é segura, tenho todos os IPs fixos pelo DHCP server, ninguem pode forcar outro IP, e somente alguns IPs de minha administracao tem acesso livre ao pfSense.

    eu uso o acesso HTTP, mas queria ouvir a sugestao de voces para ver se seria melhor usar o HTTPS.

    PS: por comentarios como o seu, as pessoas deixam de participar do forum

    @johnnybe:

    @vithort:

    Outra duvida de iniciante: qual é o mais recomendado? usar o acesso HTTPS ou HTTP para o pfsense?

    :o
    Básico, né?… ::) :)
    Revendo: Qual é a diferença entre HTTPS ou HTTP:
    http://www.dnt.adv.br/noticias/cibercultura/voce-sabe-a-diferenca-entre-http-e-https/

    PS2: nao perguntei qual a diferenca entre HTTP e HTTPS, mesmo assim obrigado pela resposta

    Cordialmente,

    Vithor



  • vithort,

    O johnnybe em momento algum tentou ser ou foi ofensivo, e concordo com o que ele postou.

    Firewall é tarefa e ferramenta de administradores de rede que sabem o que estão fazendo. Conhecimento dos protocolos é sim pré requisito para quem quer ser analista de segurança. Você pergunta se existe alguma vantagem em usar o "s" para acessar o pfsense e depois dizer que sabe a diferença entre http e https é na minha opinião no mínimo confuso já que você já sabe a diferença entre os dois.

    Tentando exemplificar melhor:
    situação1 - você esta dizendo que não é preciso estudar engenharia elétrica já que consegue fazer a instalação de uma casa da mesma forma que seu amigo engenheiro elétrico. Descordo totalmente disto. Você até pode conseguir fazer, mas ele(por conhecer e ter estudado 5 anos para isso) com certeza vai fazer da forma correta.
    situação2 - você está doente e vai se consultar na farmácia no lugar de ir ao médico, já que o balconista da farmácia vai te indicar um remédio.

    Um post não desmotiva, afinal estamos em um fórum público e gratuito, mas banalizar a profissão é algo que desmotiva.
    Se não fossem os analistas de segurança compartilhando seus conhecimentos de segurança,tcp/ip, protocolos, configurações de firewalls, o pfsense(e consequentemente este forum) nem existiria.

    Você pode até ter postado errado ou se expressado mau, mas eu também ficaria assustado em ouvir de um administrador de rede com 600 máquinas qual a vantagem de usar https.

    Espero que não se irrite com este post, entenda isso como uma crítica construtiva.

    att,
    Marcello Coutinho



  • @vithort:

    sobre seu comentario: extremamente inútil. Minha pergunta foi simples, esperava uma resposta simples.

    E a resposta foi simples, vithort. Só que, em vez de indicar o HTTPS, mandei um link demonstrando o por que e quando usar o protocolo. Independente da minha opinião.

    @marcelloc:

    vithort,

    O johnnybe em momento algum tentou ser ou foi ofensivo, e concordo com o que ele postou.

    Firewall é tarefa e ferramenta de administradores de rede que sabem o que estão fazendo. Conhecimento dos protocolos é sim pré requisito para quem quer ser analista de segurança. Você pergunta se existe alguma vantagem em usar o "s" para acessar o pfsense e depois dizer que sabe a diferença entre http e https é na minha opinião no mínimo confuso já que você já sabe a diferença entre os dois.

    Acredito que o comentário do Marcelloc (acima) diz tudo sobre a "extrema inutilidade do meu comentário".

    @marcelloc:

    Espero que não se irrite com este post, entenda isso como uma crítica construtiva.

    vithort,
    Foi o que tentei fazer antes e, exatamente por isto, pedi para você não me entender mal. Porém, se deu o inverso.  :(



  • Boa tarde,

    Eu concordo com o Marcelloc e com o Johnnybe.

    Trabalho a 10 anos com TI, hoje sou gestor e tenho uma equipe de trabalho, atendo várias empresas de vários ramos e portes, o que aprendi principalmente foi a ser realista. Quando começei a trabalhar com soluções de Rede, tinha a exata noção de que eu estava apenas iniciando, mesmo após dois anos trabalhando com o Smoothwall e IPCop, descobri o PFSense, percebendo que sabia menos ainda do que pensava. Procurei aprender tudo que pude para implantar o PFSense plenamente, desde usar o Firewall corretamente até ferramentas como Snort, só então me aventurei.

    Por isso eu recomendo a todos que estão começando: Instalem o VMWare ou Virtual Box e criem uma rede virtual "subindo" o PFSense virtualizado nela e assim aprendar a utilizar as funções, ainda mais do que isso, aprenda o que cada pacote, função, parametro faz, para estar sempre no controle da situação.

    Ter trabalhado com outras soluções anteriormente não necessariamente significa que você possui bom conhecimento. E sinceramente a sua pergunta foi estranha, a interface do PFSense é algo crucial, deve ser mantida sob o máximo de segurança, assim a escolha pelo HTTPS e até a troca da porta padrão de acesso, são na minha humilde opinião, escolhas mais do que lógicas.

    Eu também troco a porta SSH.

    As opiniões do pessoal foram corretissimas, pois estar a frente de uma rede com 600 usuários é algo realmente complexo e cheio de oportunidade. É por isso que eu montei uma equipe com profissionais qualificados, com cursos pela Furukawa pra parte de cabeamento estruturado, tenho um Analista Sênior certificado CISCO CCNP, dois MCP e dois analistas com LPIC-2, além dos workshops e conferências que vamos eventualmente.

    Estou cursando o ITIL e Cobit em paralelo, tem sido um porre junto com a faculdade(Bacharelado em SI), mas tem valido a pena, além da LPIC-2 que já tenho.

    Uma rede desta dimensão possui muitas variaveis técnicas, financeiras e politicas. O nosso conselho é para que você esteja sempre em dia com os estudos e conhecimentos na área. Um erro em uma estrutura deste porte pode compremeter sua carreira na área.

    Use sim o PFSense, é uma ferramenta maravilhosa, mas em paralelo, recomendo estudar mais a parte "Hard".

    Eu comentei sobre a equipe que trabalho e os respectivos cursos/certificações somente para dar um exemplo do que é básico, na minha opinião.

    Espero que nos entenda bem, este fórum é composto por vários membros muito experientes na área que compartilham conhecimentos valiosos. ;)


Locked