PfSense Deneyimleriniz.



  • Merhaba arkadaslar.

    Forumda olmasi gerektigini dusundugum bu baslikta kurdugunuz ve hali hazirda calisan sistemleriniz ile ilgili deneyimlerinizi burada paylasmak.
    Amac pfSense ile yapilabilineceklerin forumu takip edenler icin faydali olmasi.

    Sizlerle paylasmak istedigim proje hakkindaki bilgi asagidaki gibidir;

    Ogrenci apartinda pfSense destekli internet kullanimi.

    pfSense kurulu pc ozellikleri:

    Core i3 islemcili PC (2 Gb. Ram, 160 Gb. HDD)

    IP Adresi : 172.16.0.1/22

    Internet altyapisi :

    8 Mbit DSL

    Kullanici Sayisi :

    Ortalam 150 kisi

    Ayrica apart ofisinde kullanilan 2 adet PC ve Guvenlik kameralarinin dis ortamdan izlenebilmesi.

    Yapilan Islemler :

    Ogrenci apartinda kullanici sayisinin fazla olmasi (Interneti kullanacak kullanici sayisina ilaveten tablet, akilli telefon ve disaridan gelen misafir ogrenci vs.) nedeniyle B sinifi bir subnet secilmistir.

    172.16.0.0/22 - 255.255.252.0

    Baslangic : 172.16.0.1
    Bitis : 172.16.3.254

    boylelikle toplamda 1024 adet IP adresinin kullanimi saglanmistir.

    Ofiste bulunan bilgisayarlar ve kayit cihazinin ogrenciler tarafindan erisilememesi icin 6 kisilik bir subnet secilmis ve iki bilgisayar ve DVR kayit cihazinin IP adresleri manuel olarak belirlenmistir.
    172.16.0.0/29 - 255.255.255.248
    Not : pfSense, bilgisayarlar ve DVR kayit cihazinin IP araliklari bu grubun icersindedir
    1. Pc : 172.16.0.4
    2. Pc : 172.16.0.5
    DVR  : 172.16.0.6

    Boylelikle DVR cihazi ve ofisteki bilgisayarlar ogrenciler tarafindan erisilemeyecegi icin ileride cikabilecek sorunlarin onune gecilmeye calisilmistir.
    Subnet hesaplamasi icin : http://www.subnet-calculator.com/

    Internet hizinda yapilan ayarlamalar.

    Ogrencilerin kullanabilecegi bant genisligi IP adresi basina 1024/128 olarak ayarlanmistir.
    (http://forum.pfsense.org/index.php/topic,52618.0.html)
    ofiste kullanilan bilgisayarlar icin 2048/128 olarak tanimlanmistir.
    DVR cihazi icin herhangibi download veya upload sinirlamasi konulmamistir.

    Ayrica Layer7 filtreleme yapilarak;
    exe, mp3, rar, cab gibi dosyalarin indirme limitleri 256Kbps,
    video ve flash icinse 512 Kbps bantgenisligi tanimlamasi yapilmistir.

    Ayrice pfSense uzerinde snort kurularak p2p programlari kullanan bilgisayarlarin snort tarafindan suresiz olarak internet cikislari bloklanmistir.
    Buradaki amac ise bu tur programlarin kullanilmasi yasak olarak belirtilmesine ragmen kullanima devam edilmesidir. Boylelikle internet baglantisi olmadigini
    belirtmek icin gelen ogrencilere durumu anlatarak dolayli yoldan zorla programlarin silinmesi saglanilmaktadir.

    pfSense uzerinde ayrica "bandwithd" kurularak kullanicilarin hangi araliklarda ne kadar bantgenisligi kullanimi istatistigi tutulmaktadir.

    Squid kurularak sadece loglama yapilmaktadir.

    Wireless altyapisi :

    Sistemde 20 Adet TP-LINK 741ND AP kullanilmistir.
    Bu cihazlar uzerinde AP izolasyonu yapilarak broadcast trafiginin onune gecilmeye calisilmistir (http://beyaz.net/tr/ipucu/entry/62/)
    Ayrica AP ler uzerinde wireless kanal manuel tanimlanarak kanal cakismalarinin onune gecilmeye calisilmtir
    Kanal Secimi : 1 - 6 - 11
    (Kaynak : http://www.pclabs.com.tr/2009/07/22/daha-basarili-kablosuz-ag-baglantisi-icin-ipuclari/ )

    Sistemin calismasindan sonra kullanilan TP-LINK lerde kilitlenme sorunlari gorulmustur.

    • Cihaza LAN arabiriminden erisilebilmesine ragman SSID gorulmemesi,
    • SSID gorulmesine ragman baglanamama,
    • Performans dusuklugu,

    Bunun uzerine cihaz uzerindeki yazilim DD-WRT ile degistirilmistir
    ( http://dd-wrt.com/site/support/router-database )
    Not : bu islem cihazin garanti kapsami disinda kalmasina neden olacaktir.
    Bu yazilimin yuklenmesinin ardindan cihazlar gun icersinde bir kere resetlenmesi icin arabiriminden konfigure edilmistir.
    Cihazin kapanip tekrar acilmasi ortalama 30 sn. surdugu icin internet kullaniminin en az oldugu zaman secilmistir.

    Sistem ile ilgili aklima gelenler simdilik bu kadar yapilan degisiklik veya ilavelerde guncellenecektir.

    Saygilarimla…

    Ekleme :

    • Kullanilmis olan DSL modem bridge moda alinarak modem performans sorunlarinin onune gecilmesi ve NAT islemlerinin kolayligi saglanmistir.
    • Sistemde 2 Adet 10/100 Realtek 8139 kullanılmistir.


  • merhaba;

    güzel bir sistem olmuş.

    benim sormak istediğim snort kullanarak p2p erişimi yapan pclerin internet bağlantısını nasıl engellediniz. Okulda kullandığımız için bize de gerekli.

    teşekkürler. iyi çalışmalar



  • Merhaba,
    Tp-link yerine biraz daha profesyonel bir cihazlar kullansaydınız daha iyi olur gibi gözüküyordu..
    Arkadasın dedigi gibi snort kurulumu ve ayarları konusunda biraz döküman paylaşırsanız diger arkadaslarda faydalanırdı.
    son olarak
    snort'ta p2p kullananları engellemek yerine sadece p2p programlarını bloklasaydınız daha iyi olmazmıydı ?



  • @StrGt:

    Merhaba,
    Tp-link yerine biraz daha profesyonel bir cihazlar kullansaydınız daha iyi olur gibi gözüküyordu..
    Arkadasın dedigi gibi snort kurulumu ve ayarları konusunda biraz döküman paylaşırsanız diger arkadaslarda faydalanırdı.
    son olarak
    snort'ta p2p kullananları engellemek yerine sadece p2p programlarını bloklasaydınız daha iyi olmazmıydı ?

    Tp-Link cihazlar maalesef maliyetten dolayi kullanildi. Ayrica Layer7 de p2p engellemesi yapilmasina ragmen calistigi goruldu. Snort ile ilgili vaktim oldugunda dokuman hazirlayip yayinlayabilirim.



  • @Qbilay:

    Tp-Link cihazlar maalesef maliyetten dolayi kullanildi. Ayrica Layer7 de p2p engellemesi yapilmasina ragmen calistigi goruldu. Snort ile ilgili vaktim oldugunda dokuman hazirlayip yayinlayabilirim.

    layer7 ile bende engellemeye çalıştım. yaptığım denemelerde torrente bağlanıldığını gördüm ondan snort ile engelleme ilgili çekti. şimdiden teşekkürler



  • @Qbilay:

    @StrGt:

    Merhaba,
    Tp-link yerine biraz daha profesyonel bir cihazlar kullansaydınız daha iyi olur gibi gözüküyordu..
    Arkadasın dedigi gibi snort kurulumu ve ayarları konusunda biraz döküman paylaşırsanız diger arkadaslarda faydalanırdı.
    son olarak
    snort'ta p2p kullananları engellemek yerine sadece p2p programlarını bloklasaydınız daha iyi olmazmıydı ?

    Tp-Link cihazlar maalesef maliyetten dolayi kullanildi. Ayrica Layer7 de p2p engellemesi yapilmasina ragmen calistigi goruldu. Snort ile ilgili vaktim oldugunda dokuman hazirlayip yayinlayabilirim.

    Tp-linkleri maliyetten dolayı kullanmışsınız ama 3-4 adet tp-link'in yaptıgı işi 1 adet ubnt ürünü yapabilir diye bilirim. Pfsense Layer 7 p2p bloklamıyor onu bende test ettim..Snortta p2p bloklanıyormu onuda bilmedigim için size sorma geregi duydum.



  • Yeniden Merhaba;

    Sizlerle karsilastigim sorun ve cozumumu ile ilgili deneyimimi aktarmak istiyorum.

    Oncelikle yapidan ve istenilenlerden bahsetmek gerekirse;

    Pfsense 2.0.2
    Iki adet DSL hatti
    iki ayri network

    Iki ayri network birbirinden bagimsiz bir sekilde internete cikacak,
    Network arasi iletisim olmayacak,
    Loglama islemi bir yerde yapilacak.

    LAN1 Network <-> WAN1
    LAN2 Network <-> WAN2

    Sistem :

    Corei3 Cpu
    2 Gb. Ram
    160 Gb. HDD
    2 x 10/100 Realtek ethernet ( rl0(wan1) , rl1(wan2) )
    1 x 10/100/1000 Intel Pro1000 Ethernet ( Dual Port ) - em0 , em1
    2 x 24 port switch

    Yapilan Islemler :

    DSL hatlar icin modemler bridge mode alinarak rl0 ve rl1 arabirimlerine atandi,
    LAN tarafinda ise em0(lan1) ( 172.16.0.1/21 ) ve em1(lan2) ( 172.16.8.1/21 ) tanimlamasi yapildi.
    LAN1 ve LAN2 birbirinden bagimsiz olarak 24 port switch lere baglanti yapildi.
    LAN1 ve LAN2 arabirimi icin DHCP Server tanimlari yapildi.
    Not : PfSense default gateway rl0(wan1) olarak tanimli.

    Iki ayri network tanimindan sonra squid de LAN1 ve LAN2 icin erisimler izin verildi.
    Firewall kuralindan LAN1 den LAN2 ye ve LAN2 den LAN1 e paket gecisleri engellenerek iki ayri network birbirinden izole edildi.

    Kontroller ve yasanan sorun:
    Yapilan trafik izlemesinde iki wan arabiriminin ve lan arabiriminin sorunsuz calistigi gorulmesine ragmen her iki networkun Web trafiginin surekli WAN1 uzerinden ciktigi tespit edildi.

    LAN1 Network <-> WAN1

    LAN2 Network < –- Web (Port 80 ) --- > WAN1
                          |
                          |----- (Diger Portlar --> WAN2

    Sorunun aciklamasi :
    PfSense kensine gelen web isteklerini localhost a yonlendirmesi ve  bu isteklerin default gateway uzerinden cikmasi nedeniyle LAN1 ve LAN2 den web isteklerinin varsayilan gateway (WAN1) uzerinden gectigi goruldu.

    Problem cozumu;

    Squid tarafindan LAN1 ve LAN2 tanimlamalari yeniden yapilarak yonlendirmeler manuel olarak yapildi.

    Squid Custom Options :

    acl yerelag1 src 172.16.0.0/255.255.248.0; acl yerelag2 src 172.16.8.0/255.255.248.0; http_access allow yerelag1; http_access allow yerelag2; tcp_outgoing_address 1.1.1.1 yerelag1; tcp_outgoing_address 2.2.2.2 yerelag2

    Onemli Not :
    tcp_outgoing_address 1.1.1.1 yerelag1 ve tcp_outgoing_address 2.2.2.2 yerelag2 tanimlamasindaki 1.1.1.1(WAN1) ve 2.2.2.2 (WAN2) ip adresleridir.
    eger DSL modeminizi NAT modunda kullaniyorsaniz Modeminizi IP adresi, Bridge modunda kullaniyorsaniz ISP tarafindan atanan IP adresini girmelisiniz. Bu durumda IP adresinizin statik olmasi gerekmektedir. Aksi taktirde WAN Ip adresinizin degismesi durumunda konfigurasyonu yeniden yapmaniz gerekir.

    Saygilar.


Locked