PfSense 2.3 - VorumServer 2 SecureLAN



  • Hola.

    Lanzo la versión beta de una implementación de pfSense 2.3 amd64, con los roles:

    * Router/Firewall capa 3 – Alias y reglas – pfSense 2.3 amd64
        * DHCP server – pfSense 2.3
        * DNS Server (con soporte de DNSSEC y uso de bit 0x20.) – DNS Resolver
        * Proxy – paquete Squid – puerto tcp3028, usuario del proxy: usuario:123456
        * ClamAV Antivirus tráfico http: paquete Squid
        * Gestor de contenido: paquete squidGuard
        * Histórico de navegación y Generador de informes del proxy: paquete LightSquid
        * Servidor WPAD (autoconfiguración proxy para la red local LAN) (Sin revertir GUI a HTTP)
        * Busquedas seguras: Bing, Yahoo: paquete squidGuard
        * Force Safe Search Google activado.
        * IDS/IPS: paquete Suricata (configurado para dejar pasar win updates y Zentyal updates)
        * OpenVPN para admin remota: En construcción
        * Notificaciones vía e-mail (paquete mailreport): Sin configurar
        * Bloqueo de proxies anónimos y Tor: paquete pfBlockerNG + SquidGuard
        * DNSBL: Bloqueo de capa 7 con Easy List DNSBL del paquete pfBlockerNG
        * Herramientas de admin de red: paquete nmap instalado.

    Lo tengo en: https://www.javcasta.com/vorumserver2/

    Seguramente tiene interes didáctico (Para ver las configuraciones para los usuarios nóveles de pfSense) y como no, si lo adaptas a tu red, en producción va estupendamente pfSense 2.3 :)

    Nota: Con el tiempo intentaré desarrollar un paquete (ha cambiado todo el procedimiento para hacer paquetes en pfSense en su ver 2.3) para que "autoconfigure WPAD" con nginx.

    Salu2

    –- add ---

    Nota: Si alguien va a testear en producción esta conf de pfSense 2.3, aconsejo que afine muy bien las reglas de Suricata y sus pass list, sino le dará mucho trabajo de "administración" de Suricata. Es un IDS/IPS y hay que configurarlo para cada escenario de red



  • Y como para qué sirve? Vi tu esquema de cómo está configurado la red en tu página web pero no entendí mucho.
    En sí, en que está orientado o para quien esta echo tu paquete?



  • Hola.

    Sirve para los roles indicados en el hilo inicial (firewall/proxy/wpad/forcesafesearchgoogle/IDS-IPS/DNSBL/Control-de-contenido/etc)

    Es una red (LAN) con topología de red stub (https://en.wikipedia.org/wiki/Stub_network).

    He creado un interfaz (ADMIN) ya que al implementarlo en una máquina virtual, vía ese interfaz, tipo Host-Only se puede administrar desde el anfitrión en caso de problemas de red. Las interfces LAN y WAN son tipo custom, mapeadas a VMnet0 y VMnet1 que son interfaces en modo bridge a interfaces físicas.

    Pero si se quiere se puede instalar en una máquina física, para ello he puesto en descargas el config.xml con y sin el widget del wpad (si se implementa con el xml con el widget y no encuentra pfSense los ficheros necesarios dara un crash o error, por eso lo mejor es usasr el xml sin el widget).

    Si deseas probarlo, lo mejor es bajarse la máquina virtual completa (fichero OVF):

    http://www.javcasta.com/?smd_process_download=1&download_id=18699

    Y la importas a VMware o VirtualBox, y configuras los interfaces según tu anfitrion y red

    Es una configuración del pfSense 2.3 amd64 casi "total", para producción (de hecho es mi cortafuegos perimetral de mi red ahora mismo, solo que con otras claves y direccionamiento de red :)  ), ya que contempla casi todas las necesidades para securizar una lan (si no estas familiarizado con el IDS/IPS Suricata, lo mejor es que lo desactives o desinstales ese paquete, ya que para cada red y sus necesidades se debe personalizar sus reglas y su pass-list)

    Salu2

    –- add ---

    Nota: Y sirve para aprender para usuarios nóveles de pfSense 2.3 . Ver configuraciones ya testeadas en producción y probarlas es un método excelente ;)



  • Hola.

    Si alguien se baja el fichero OVF de la máquina virtual.
    http://www.javcasta.com/?smd_process_download=1&download_id=18699

    He encontrado un error, en el fichero:

    "/usr/local/www/vorumserver/getMTUv2.php"

    Simplemente comentando la linea (los comentarios de linea en php se indican al comienzo de linea con doble barra //)
    tal que:

    //echo "";
    

    Y salvando, el error desaparece.

    Salu2



  • Gracias por compartir.
    Voy a descargar para probar he leído en tu blog bastante cosas interesantes y supongo que esta version la tienes implementada.
    Saludos



  • Hola.

    Es una configuración del pfSense 2.3 amd64 casi "total", para producción (de hecho es mi cortafuegos perimetral de mi red ahora mismo, solo que con otras claves y direccionamiento de red :)  ), ya que contempla casi todas las necesidades para securizar una lan (si no estas familiarizado con el IDS/IPS Suricata, lo mejor es que lo desactives o desinstales ese paquete, ya que para cada red y sus necesidades se debe personalizar sus reglas y su pass-list)

    De nada. Tan solo recalcar que Suricata hay que configurar un pass-list personalizado (y las reglas, por supuesto) para las necesidades de cada red. Por ejemplo, el otro día Suricata me bloqueaba el comando curl (desde shell), ¿Como resolverlo? O modificas la regla para que no actue (cosa que no recomiendo) o pones en la pass-list a los servidores web que se crean oportunos para poder interactuar con curl o wget, etc (así con mil detalles que van surgiendo en cada red, pero vale la pena tener Suricata bien "afinado" :) )

    Salu2



  • Pregunto, puedo cambiar las IP?
    la interface administratica Host-Only en mi caso es Virtual BOx la tengo otra ip asumo que puedo cambiarla tambien.
    Gracias



  • Hola

    Puedes cambiar todo lo que quieras.
    Pero debes reflejar los cambios en las configuraciones que afecten un cambio de IPs.

    Por ejemplo. Si cambias la IP de la interfaz lan, debes revisar el alias wpad y poner la ip correcta (tb pongo la ip del DNSBL de pfblockerng en ese alias que suele ser una correlativa a la ip lan, eso se mira en el paquete pfBlockerNG: menú firewall).

    En el fichero /usr/local/etc/nginx/nginx.conf debes de poner la ip donde va a escuchar el servidor WPAD

    #…
    server {
            #listen ip-lan:puerto80
            listen      10.168.0.254:80;
    #...

    En DNS Resolver deberas cambiar el Host Overide a wpad.localdomain.local a la nueva ip

    Si cambias el dominio (que seria lo lógico, trabajar con tu propio dominio) tb debes reflejar los cambios en DNS resolver en Domain Overrides (defini el dominio localdomain.local que resuelva a 10.168.0.1 ya que es mi AD/DC y DNS del dominio de mi red, pero cada cual que adapte como quiera su escenario)

    También deberias revisar la conf de squid para cambiar que ips no tienene restricciones ni necesitan autenticación (puse un par 10.168.0.10/32, etc ), etc

    etc, etc (Revisar el pool del DHCP server y que gw da y dns, ertc, etc…

    Lo bueno que tiene que hagas cambios y test de ensayo/error es que en unos dias aprenderás más de pfSense, tomate esa máquina virtual como una guia de configuración ya que esn producción funciona, (te posteo detras de mi vorumserver 2) :)

    En fin, es como una orquesta un sistema y debe tocar afinada y sincronizada :)

    Te aconsejo que cuando estes reconfigurando, desactives Suricata, incluso en los 1ºs momentos desinstala el paquete y cuando lo tengas todo ok, lo instalas y configuras a tu escenario de red

    Salu2



  • Copiado entendido gracias


Log in to reply