Abbildbar mit pfSense
-
Hi
ich bin neu hier und wollte nach langem lesen einmal hinterfragen, ob pfSense das so kann wie ich mir das vorstelle.
Netze:
-
Gästenetz mit DSL Anschluss und Router
-
Glasfaser ins RZ
-
Clientnetz
-
Managmentnetz
-
Servicenetz (ähnlich einer DMZ)
Anforderung:
-
Das Gästenetz soll als FailOver genutzt werden
-
Das Glasfaser in RZ als DefaultGW
-
Der Failovercheck soll auf eine selbst definierte IP prüfen, da wir die komplette Uplink-Kette prüfen möchten
-
Im Failoverfall soll das Gästenetz genutzt werden, dennoch sollen aber bestimmte PrivateIP-Adressen über den DefaultGW gehen (Glasfaser)
-
Client-,Management- und Servicenetz sollen über definierbare Regeln kommunizieren dürfen.
-
Logging
-
Bereits integrierte Regeln gegen übliche Attacken: z.B. Smurf
-
DNS Proxy: Soll verschiedene Domains über verschiedene DNS-Server auflösen inkl. Reihenfolge
-
Realtime Monitoring von Traffic / Regeln etc.
-
TrafficShaping
-
VPN-Server mit verschiedenen Regeln / Zugrffsberechtigungen
-
DHCP-Server
-
Scriptmöglichkeit um die Daten für den DHCP (Liste IP/Mac) aus einem Drittsystem zu ziehen
-
Installation von Zabbix zum Monitoring
-
IDN Erkennung und Sperrung
-
FreeRadius Server mit Anbindung an LDAP
-
HA-Lösung für (FW/DHCP/DNS/Radius/VPN)
Einige Punkte hab ich mir schon selber durch Doku lesen geklärt, aber ich wollte mal die ganzen Anforderungen auflisten, um euch ein besseres Bild zu geben.
-
-
Ahoi :-)
ich antworte direkt mal chronologisch auf deine Anforderungen:
- Failover geht
- Glas als default geht natürlich auch
- Failover geschieht bei Link down. Dieser prüft auf das Default GW, ist aber beliebig überschreibbar
- wird per source based rules und custom gateway erschlagen, Regel bekommt dann nicht das Failover Gateway, sondern das GW des Glas Interface
- check
- logging kommt darauf an was und womit aber prinzipiell ja
- jein. Eine Firewall ist kein IDS. Einige Fälle gibt es.
- müsste genauer spezifiziert sein, aber DNS forwarder gibt es, auch mit overwrites etc
- wieder: hängt davon ab was du sehen willst
- ja
- ja
- ja
- nicht ohne weiteres. evtl mit cron und anderen Skripten denkbar
- server? nein. agent, ja. gibt es als Paket.
- erneut: IDS hat nur beschränkt was auf einer Firewall zu suchen. Meiner Meinung nach. Wenn ich sehe was unsere alten Juniper da mitunter für Unfug angestellt haben mit ihrem Pseudo IDS und super deep inspection und dann rufen Kunden an weil der Traffic nicht sauber ankommt. Nicht schön.
- ja
- CARP
prinzipiell mein Rat : versuch nicht die eierlegende Wollmilchsau zu bauen. Erstens aus Ressourcen Gründen (was für Leitungen spielen hier überhaupt mit? 1GE? 10GE?) und aus der Problemsicht. Je mehr man einen Host mit immer noch mehr Funktionen zu kleistert umso mehr Seiteneffekte können sich einschleichen.
Grüße
-
Hi
danke für das Feedback. Ich denke auch das nicht jede Funktion mit auf die Büchse drauf muss.
Sachen wie z.B. IDN ist kein Pflicht. IDN wäre hat nur interessant wenn bekannte attaken automatisch geblockt werden.
Das Risiko einer Falschmeldung macht mir aber Sorgen daher wie gesagt bleibt das erstmal weg.Aufgaben die das Netzwerk betreffen, will ich aber schon unter bekommen.
Das mit dem DNS wollte ich noch mal etwas genauer beschreiben.
Wir haben 2 DNS Server. Einen HauptDNS und einen DNS aus einer ActiveDirectory.
Wir haben aktuell eine Zyxel Firewall und dort haben wir das so hinterlegt, dass alle an
COMPANY.intern an die AD-DNS geschickt wird, und der Rest an den HauptDNS.
Der 3te ist 8.8.8.8 von google als Fallback falls alles schief läuft.Ist so etwas mit der pfSense auch möglich?
Weiß jemand ob die ganzen Service in einer Art Sandbox eingesperrt sind?
-
Nimm es mir nicht übel, aber dein letzter Post liest sich schrecklich.
Was ist "HauptDNS" und mit "DNS aus einer ActiveDirectory" ist die DNS Rolle eines Windows Server gemeint?
Das mit der Firewall ist auch nicht eindeutig!
Wie ist die Topologie, wer macht nun DNS und wer "Forwarded"?
-
Ich verstehe die Frage auch nicht ganz, sehe es aber so, dass wohl irgendwo ein DNS Server läuft (non Windows) der den Primary macht und ein Windows-AD, der als Secondary im Spiel ist. Der Primary muss dann eben company.local an den secondary weiterreichen, sonst haben die ganzen Windows-Kisten ein Problem.
Und ja, das habe ich oben schon erwähnt in der Liste, dass der DNS Forwarder von pfSense so etwas kann. Nennt sich "Domain Overrides" im DNS Forwarder.
Wenn du es ganz Hardcore möchtest, kannst du statt dem Forwarder auch einen ganzen DNS Server installieren. Rate ich aber von ab."die ganzen Services" verstehe ich leider nicht. Außer DNS und DHCP etc. habe ich noch nichts gehört von irgendwelchen Hardcore Diensten. Und die laufen natürlich lokal mit ihrem eigenen Service User ohne erweiterte Rechte wie es sich gehört. Da die Firewall von außen auch nicht erreichbar sein sollte, ist da aber eh nur theoretisch. Die Gefahr käme da eher von innen als von außen.
