» »

pfsense

pfsense

«
1
2

greatdrakon ::

razmišljam o gradnji še enega sistema za firewall/ids/router na podlagi pfsense.

gledam sem mini-itx plato j1900 z dvema NIC-oma, ker so plate z integriranimi večimi NIC bistveno dražje.

Rabim pa če prav razumem 3 NIC-e, če hočem snort laufat poleg (WAN/LAN/pasivni)? Zato sem mislil dat tretji NIC kot PCI kartico.

Katero ohišje kupit, da bo zadeva čimanjša in da bo imela možnost PCI kartice?

pegasus ::

Dobiš cel kup malih škatlic z 3+ giga mrežnimi. Še pfsense.org/products jih nekaj prodaja.

Imam viška dve taki piksni s 4x giga onboard + 4x na kartici. ZS, če te zanima.

SeMiNeSanja ::

Alternativno lahko vzameš tudi kakšen stari WatchGuard na Ebay. Uporabni so tam od 100€ naprej (X500 in višje), z 6 ali 7 giga priključki. Če malo pogooglaš, boš našel pfsense projekte z vsemi navodili, kako zlorabiti te škatle, ki so same po sebi odličen HW :)

Če si zagret za licitiranje, se lahko zagrebeš tudi za tega, že predelanega...

tiran2000 ::

tole bi bilo za pfsense? kje kaj bolj ugodnega?

SeMiNeSanja ::

http://www.ebay.de/itm/WatchGuard-Fireb... sicer je predelava na pfSense praktično greh, ampak bog pomagaj...

tiran2000 ::

sam kolk ma pa to porabe?

SeMiNeSanja ::

tiran2000 je izjavil:

sam kolk ma pa to porabe?

max. 85W - predvidoma pa zadevo ne boš nikoli kuril na 100%....

harmony ::

Se kaksna konkretna ideja za pfsense?

Tole sem najdel:
https://www.amazon.de/PC-Engines-APU2C4...

Vsa ostala jajca so z 1 ethernet prikljuckom. Najrajs bi pa zadevo na kateri bi lavfal pfsense, opnsense in sophos utm...rad bi vse tri produkte pretestiral.

krho ::

Cena na amazonu je skoraj x2, glede na ceno objavljeno direktno na pcengines.ch
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

harmony ::

krho je izjavil:

Cena na amazonu je skoraj x2, glede na ceno objavljeno direktno na pcengines.ch

Ne posiljajo direkt. Poleg tega, gre za celoten komplet (plosca, ohisje, msata 16gb...)

ssitcm ::

Jaz uporabljam VMware ESXi 6.5. Poguglaj za navodila za instalacijo. Pfsense virtualka mi teče že več kot 5 let ! Uporabljam eno ASUS mini ITX plato in i3-4350T CPU.

harmony ::

Kaj pa tole?
https://www.amazon.de/Barebone-Qotom-Q1...

RAM imam, mSATA 32gb kosta 25-30€...in imam zadevo dejansko za slabih 150€...
Ni pa to i3 varianta...
Kaj pravte?

harmony ::

Okej prehitro napisal...ne bo slo...ne podpira AES...

greatdrakon ::

kolk pa misliš šibat prometa preko? . Bojda pravjo fantje, ki imajo tole škatlico, da niti ne zašvica na consumer linijah (tudi pri uporabi aes vpn) ... vsi trije so mi jo ful priporočal za pfsense...

harmony ::

Zaenkrat imam linijo 30mbit, katero pa mislim povecat na 80.

harmony ::

Po pregledu forumov sem se odlocil, da probam z Zotac ZBOX CI323. Sicer je NIC realtekov, ampak ocitno le deluje brez nekih vecjih tezav.

Pa ni mi potrebo kupovati mSATA, ker gre notri SSD, doma mi pa lezita 2 kosa...tako da jih bom v to izkoristil. Imam sicer tudi nek star prenosnik, katerega bi eventuelno lahko ponucal, ampak sem zadnje case postal malo gikast na razne gadgete. Pa zotac res fajn zgleda.

greatdrakon ::

osebno ti močno odsvetujem zotaca, sem ga imel, ampak mi je skoz metalo linijo dol (kombinacija snort in veliko prometa)! so sicer nekaj popravljal driverje (mogoče so popravili) - sam sem ga prodal prej...

tele j1900 300/50 linijo shendlajo tudi vpn, da niti ne trzne... (ni moja izkušnja, ampak po povedanem)

harmony ::

greatdrakon je izjavil:

osebno ti močno odsvetujem zotaca, sem ga imel, ampak mi je skoz metalo linijo dol (kombinacija snort in veliko prometa)! so sicer nekaj popravljal driverje (mogoče so popravili) - sam sem ga prodal prej...

tele j1900 300/50 linijo shendlajo tudi vpn, da niti ne trzne... (ni moja izkušnja, ampak po povedanem)

Pise, da je popravljeno. Tako, da jaz bom probal pa kar bo bo...ce bo stekalo, ga bom enostavno vrnil. To je prednost amazona, kjer lahko izdelek vrnes v 14dneh...

krho ::

@harmony: Pa saj imaš model QOTOM-Q310G4 za nekaj malega več €.. Intel pravi, da tisti celeron U3 podpira AES-NI
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

harmony ::

No na koncu sem vzel APU2C4. Najdel za 170 evricev.

Ima vse kar rabim. Podpira AES-NI, 3x Ethernet Intel...to je to, se mi ne da jajcat in neke drajverje kompajlat in drzat fige, a bo delal al ne. Glede na to, da bo to mrezna naprava so ravno mrezne komponente bistvene.
Zdej pa cakat na posiljko, medtem pa veselo brat dokumentacijo. Ne vem pa kaj bom naredil z ruterjem, saj mi ga je sedaj kar malo skoda...bo pac samo za wifi...

SeMiNeSanja ::

Upam da se zavedate, da je tale pfSense bolj 'prejšnje generacije' varianta zaščite omrežja?

Luštno za učenje, še kar solidno za doma....ampak za podjetje pa prosim nikar oglaševat brezplačno varianto pfSense. Tudi če na njemu omogočiš Snort, so brezplačne signature z 30-dnevnim zamikom od aktualnih plačljivih. Bolj malo kdo pa sam na roke dodaja nujno potrebne signature za aktualne grožnje.

Tudi default antivirus na pfSense, ClamAV ni nek presežek v svetu antivirusov, itd.

Čim greš na pfSense dodajat kakovostne (plačljive) Snort signature ($399/sensor/leto!), pa je že vprašanje, če ni kakšna druga rešitev na dolgi rok bolj ugodna.
Za domačo rabo so na voljo 'Personal' licence za signature, ki pridejo $29,99/leto - investicija, o kateri se splača razmisliti, če pfSense+Snort uporabljaš za doma.

V svetu je ogromno ljubiteljev pfSense-a, ampak občutek imam, kot da si zatiskajo oči pred dejstvom, da je zadeva po današnjih kriterijih na tem področju zastarela.

Ne glede na to, je pfSense še vedno dosti boljša zaščita, kot ti jo lahko nudi tipični 'home grade' router - če pfSense znaš pravilno skonfigurirati. Res pa odsvetujem uporabo pfSense tam, kjer se potrebuje nivo varnosti, ki se je sposoben upirati tudi današnjim naprednejšim grožnjam.

ssitcm ::

Kaj pa SophosUTM namesto pfsens-a ?

SeMiNeSanja ::

Baje naj bi bil ok - samo ne vem, kako je kaj z kakšnimi omejitvami pri signaturah, ki jih nudijo brezplačno za domačo rabo. Nikjer se nič kaj dosti o tem ne razpisujejo.

Sophos ima drugače na prvi pogled zelo všečen uporabniški vmesnik (spletnik), ki pa se meni ob resnejšem pogledu ne zdi pretirano funkcionalen. Očitno je šminka prevagala nad uporabnostjo (ali pa sem jaz tako razvajen?).

Komercialna varianta se je na zadnjem NSS Labs testu precej solidno odrezala, vendar je to dokaj specifičen test, ki ni nujno najbolj v skladu z real life pogoji in konfiguracijami. V real life se običajno zatakne pri kakšnih 'posebnih zahtevah' nekega okolja, katerim se ne da vedno ustreči, oz. precej hitro naletiš na določene omejitve. Tu je pa potem precej odvisno od tega, kakšen admin si - eni sploh ne bodo nikoli odkrili teh omejitev, drugi pa jih bodo preklinjali...

Ampak kot pravijo: podarjenemu konju se ne gleda na zobe. Za brezplačno uporabo doma, odlična varianta napredne požarne pregrade.

Je pa to VM varianta, za katero moraš najprej imeti ba voljo virtualizacijsko okolje in urediti networking v tem okolju. Zadeva vsekakor deluje, so pa performanse lahko odvisne od tega, koliko resursov si dal virtualki na razpolago.

Poleg tega Sophos ponuja 'staro' UTM (SG) in novejšo XG varianto. Mogoče se splača najprej pogledat njihove demo appliance, ki so dostopni na spletu, da bi ugotovil, katera varanta ti je bolj všeč.

harmony ::

To kar jaz zelim je samo in zgolj za domaco uporabo.

Cilj je tudi sprobati Sophos UTM in dejansko me on se najbolj mika, saj ga tudi v podjetju uporabljamo.

Je pa mozno Sophos UTM direktno instalirati, sicer je malo bolj tricky ampak gre. Probal sem na enmu starmu laptopu in je slo, kaj vec pa nisem probaval.

@seminesanja
Ali lahko razlozis, kaj tocno mislis pod tem, da je pfsense bolj zastarela oz. prejsnja generacija zascite omrezja. Kaj pa OPNsense, si to ze probal? Slo naj bi se za novejsi projekt oz. nadaljevanje oz. izboljsava pfsensa.

Zgodovina sprememb…

  • spremenil: harmony ()

SeMiNeSanja ::

harmony je izjavil:

To kar jaz zelim je samo in zgolj za domaco uporabo.

Cilj je tudi sprobati Sophos UTM in dejansko me on se najbolj mika, saj ga tudi v podjetju uporabljamo.

Je pa mozno Sophos UTM direktno instalirati, sicer je malo bolj tricky ampak gre. Probal sem na enmu starmu laptopu in je slo, kaj vec pa nisem probaval.

V principu večina adminov veliko premalo preizkuša različne variante, tako da niti ne vedo, kje so prednosti in slabosti rešitev, ki jih uporabljajo. Dejansko kupujejo rešitev, ki ima najboljši marketing in še nekako paše v njihov proračun.
Tako da kar veselo na preizkušanje, da ne bom edini tukaj, ki je 'povohal' več kot eno ali dve rešitve.

harmony ::

Okej, zmenjeno. Ko dobim hardware, se bom potrudil in instaliral Sophos UTM, ter ga na tem forumu predstavil.

krho ::

SeMiNeSanja zagotovo priporoča GUI verzijo IOS-a.. aka mikrotik. fu*k me kako moraš imeti leta 2017 tako zagnojen UI
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

Saul Goodman ::

o opnsensu so baje sami horror storyi o errorjih pri konfiguraciji, zaenkrat bi se ga izogibal za deployanje kjerkoli, tudi doma. also configi niso kompatibilni s pfsense, kr neki svojga furajo. bojda nedorasel projekt, zato niti nisem začel testirat.

SeMiNeSanja ::

Niti malo nisem pomislil na Mikrotik.

Beri tako kot sem napisal: WebUI je izredno všečen - na prvi pogled. Ko pa ga hočeš malo bolj resno uporabljati, pa se izkaže, da ni vse v lepoti.

Že samo tabela pravil požarne pregrade, kjer se eno pravilo razteza preko več vrstic je izredno nepraktično in nepregledno. Mogoče se sčasoma navadiš - meni osebno se vsekakor zdi kot izredno nerodno rešeno.

Da o pregledu logov nebi izgubljal besed - različne zadeve moraš iskati na različnih koncih. Pravega realtime vpogleda nimaš, še manj, da bi videl celotno dogajanje na enem mestu.

Kot sem rekel - mogoče sem preveč razvajen.
Če ti je Firewall zgolj nek blackbox, ki ti je zanimiv toliko kot switch, te take zadeve najbrž niti ne motijo. Enkrat nastaviš, pa je.
Popolnoma druga zgodba pa je, če imaš stranke, ki jim moraš zadeve vzdrževati. Ki te pokličejo 'nekaj mi ne dela', potem pa gruntaj, kaj vraga jim ne dela.
Tu se potem pokaže, ali boš problem diagnosticiral (in odpravil?) v 5 minutah ali boš za to zabil uro ali dve. Po možnosti je pravila postavljal še čisto nekdo drug, tako da se moraš prebiti in naštudirati če vso kolobocijo od pravil - kar pa je precej oteženo, če ta niso pregledna ampak zgolj 'lepa'.

harmony ::

Vceraj zvecer mi je prekipelo in sem se odlocil, da bom najprej sprobal pfSense. Nikakor mi ni uspelo instalirati UTM-a na APU2C4. Moral bi najprej nekje eksterno v drugi masini na mSATA instalirati zadevo z dodatnimi paketi za podporo serial konzoli, potem jo dati na factory nastavitve ter potem naprej na APU2C4 dalje konfigurirati.

Se mi je to vse takoj zamerilo, da sem se odlocil, da naprej instaliram pfSense, potem pa ko nabavim vecji mSATA se sprobat UTM.

Tudi z pfSense ni bilo cisto trivialno v izi, ampak dovolj enostavno, da sem ga v pol ure le uspel instalirati.

ssitcm ::

Če se ti ustavi instalacija pri 66%, je problem v tem, da verjetno nimaš VGA porta za video. Pomaga, da pritisneš alt F2 (prideš v konzolo) in napišeš:
mount /dev/sdb1 /install
cd /usr/lib
bootstrap -- install
To velja za sophos UTM 9.4 .

mzakelj ::

Si kaj gledal mogoče tudi v tej smeri. Sam ga imam že kako leto in tudi vem ne da obstaja na mreži.

https://www.pcplus.si/racunalnistvo/mre...

Dami ::

Jaz imam egderouterlite in dela vredu vendar imam dokaj osnovne nastavitve. Ker pa bom sestavil en HA VM setup, razmišljam da bi tja prestavil tudi vso routanje in vse kar pride zraven. Kaj se pol priporoča. pfsense za routing, sophos za fw?
Don't worry about me. The bleeding is just the begining of a healing process.

SeMiNeSanja ::

Če nimaš nekega ekstra kompliciranega routinga, ne rabiš podvajat stvari (pfSense+...) ampak to vse narediš na firewallu.

Nisem se poglabljal v routing sposobnosti Sophos-a, vsekakor pa na WatchGuard FireboxV/XTMv (virtualni varianti njihove požarne pregrade) to ne predstavlja nobenega problema. Žal WatchGuard nima neke zastonjske variante za domačo rabo. Če pa rabiš zadevo za komercialno okolje, se pa vsekakor splača naložiti in testirati njihovo demo varianto, ki deluje 30 dni brez omejitev. Predvidevam, da tudi Sophos pokriva osnovne potrebe glede routinga, ostalo pa je 'stvar okusa'. Enim ustreza 'čim manj za štelat' (Sophos), drugi pa si želijo imeti odprte možnosti, da lahko bolj granularno nadzirajo, kaj in kako bo komuniciralo z omrežjem, kjer pa je vsekakor Watchguard v prednosti.
Komercialcem ponuja tudi Fortinet svojo virtualno opcijo, vendar sem na več koncih bral nepreverjene govorice, da naj nebi blestela po svojih performansah.

Brezplačen pa bi bil še za omeniti Untangle, ki svojo osnovno (oskubljeno) varianto nudi brezplačno - ki pa za marsikaterega domačega uporabnika tudi povsem zadošča. Za poslovno rabo (čeprav mislim, da je dovoljena) pa odsvetujem free verzijo. Takoj ko gledaš plačljivo varianto, pa si cenovno tam nekje kot pri ostalih razpoložljivih variantah. Vendar je v svetu kar nekaj Untangle navdušencev, ki jim ta rešitev ustreza.

mzakelj je izjavil:

Si kaj gledal mogoče tudi v tej smeri. Sam ga imam že kako leto in tudi vem ne da obstaja na mreži.

https://www.pcplus.si/racunalnistvo/mre...

To je usmerjevalnik - router, ne pa nek napreden firewall. Saj dela, ampak ni bil narejen, da bi nudil neko napredno varnostnst omrežju. Skratka druga kategorija rešitev.

Zgodovina sprememb…

Dami ::

To imam za domačo uporabo. Imam fix ip in rabim navadno rutanje, od "extra" pa VPN, ipv6 ter možnost da lahko dodajam host sezname za blokado (addblock, microsoft, cele države ipd..). Plan je bil pač pfsense + addons. Zej če lahk za vse to obstaja kaj drugega bolšega (in free ofc)...
Don't worry about me. The bleeding is just the begining of a healing process.

SeMiNeSanja ::

Kot rečeno, za free si poglej Sophos in Untangle. Sploh če nisi ekspert, ti obe varianti olajšata zadeve v primerjavi z pfSense+dodatki, ker se zadeve postavijo v 'paketu' in nimaš opravka z več rešitvami, ki enkrat bolje, drugič slabše sodelujejo med seboj. Osnovni routing pa mora danes vsak firewall obvladat. Tako Sophos kot Untangle imata demo sisteme na internet obešene, kjer si lahko pogledaš stvari in odločiš za varianto, ki ti bolje ustreza. Če bi jaz moral izbirati med tema dvema, bi se najbrž odločil za Sophos...

harmony ::

U mater Untangle mi izgleda se bolj "lepsi" kot Sophos. Se res splaca sprobat...

Dami ::

Sam untangle je 50$/leto.
Don't worry about me. The bleeding is just the begining of a healing process.

SeMiNeSanja ::

Dami je izjavil:

Sam untangle je 50$/leto.

Od kje ti to?
https://www.untangle.com/get-untangle/

Tu lepo piše: Get NG Firewall up and running in no time with these four simple steps. Our base platform is completely free to use, for as long as you need.

Seveda lahko dokupiš plačljive variante storitev, kar sem rekel, da je za poslovno/resnejšo rabo skrajno priporočljivo. Brezplačne so 'malo oskubljene', ampak še vedno bolje, kot če poganjaš nekaj kar sploh nima nobenih varnostnih servisov.

Dami ::

Ah my bad ja, complete package je plačljiv in sem mislil da je za home to pač.
Don't worry about me. The bleeding is just the begining of a healing process.

SeMiNeSanja ::

Dami je izjavil:

Ah my bad ja, complete package je plačljiv in sem mislil da je za home to pač.

Saj je za Home, to si že prav videl. Samo imaš na voljo dve stopnji servisov - brezplačne šibkejše in plačljive bolj zmogljive.

harmony ::

Ne me popljuvat za tole vprasanje.
Pocasi konfiguriram pfSense in osnovni del je pripravljen.
Trenutna konfiguracija:
Modem - WLAN Router (DHCP On) - klienti
Bodoca konfiguracija:
Modem - pfSense (DHCP ON) - WLAN Router - klienti

Glede na tale link:
https://doc.pfsense.org/index.php/Use_a...
bojo klienti dobili IP od pfSense. Malo sem se tu zmedel, saj mi ni jasno kako bo pfSense dodeljeval IP, ce bodo klienti povezani na WLAN router?

Dami ::

Na wlan routerju moreš izklopit routing ter dhcp, tako da ti bo služil kot access point.
edit: no sej v linku isto piše :)
AP si predstavljal kot navadn dumb switch, samo da gre po luftu ne po kablih.
Don't worry about me. The bleeding is just the begining of a healing process.

Zgodovina sprememb…

  • spremenil: Dami ()

harmony ::

Jaz se zmeraj mislim, da bi bilo najbolje DHCP vklpiti na ruterju. Se zmeraj mi ni jasno, kako bodo klienti dobili IP naslove od pfSensa.

SeMiNeSanja ::

harmony je izjavil:

Jaz se zmeraj mislim, da bi bilo najbolje DHCP vklpiti na ruterju. Se zmeraj mi ni jasno, kako bodo klienti dobili IP naslove od pfSensa.

Kje imaš router? Pred ali za pfSense?

Če je pred njim, potem mora router deliti IP naslove.
Če je za njim, potem pfSense dodeljuje naslove.

harmony ::

SeMiNeSanja je izjavil:

harmony je izjavil:

Jaz se zmeraj mislim, da bi bilo najbolje DHCP vklpiti na ruterju. Se zmeraj mi ni jasno, kako bodo klienti dobili IP naslove od pfSensa.

Kje imaš router? Pred ali za pfSense?

Če je pred njim, potem mora router deliti IP naslove.
Če je za njim, potem pfSense dodeljuje naslove.

Zaenkrat se nimam nic konkretno, tako da niti ne vem kaksne so prednosti slabosti obeh variant.

Sicer sem mislil imeti router za pfSense.

SaXsIm ::

Zakaj bi sploh dajal vmes pfSense, če ga ne misliš uporabljati za routing?
SaXsIm

harmony ::

En velik wtf se mi je zgodil. Danes sem vklopil pfSense. Na modemu sem izklopil firewall. Prizgal ruter, klienti so se povezali. Potem pa bum...vsi dostopi modem, ruter, pfSense niso bili vec mogoci. Geslo ni vec prijelo.
Za hitrejso instalacijo sem imel povsod nastavljeno geslo...
Valjda ni mozno, da ko sem izklopil fw na modemu, da sem bil pohekan. OMG

SeMiNeSanja ::

Kje imaš ponastavljeno geslo? Na modemu? Routerju? pfSense?

Če je router na notranji strani od pfSense, do njega načeloma sploh nebi mogel nihče - razen če nisi naredil neumnost in to eksplicitno dovolil.

Enako velja za pfSense - z interneta nebi smel biti dostopen za administracijo. S tem tudi nebi nihče mogel kar tako spremeniti gesla na njemu.

Modem pa takointako nebi smel biti 'viden' komurkoli na internetu.

Prej se bojim, da si nekaj zamočil pri postavitvi network parametov, zganjaš paniko, ker si se prestrašil, ko je vse skupaj 'zaštekalo'.

Če bi se šlo za ponastavitev gesla, bi prišel do pfSense-a, videl password prompt in ti tvojega gesla nebi sprejel. Če pa ne prideš do njega in se ne prikaže noben prompt, niti ga ne moreš pingat, potem si pa skoraj zagotovo nekaj zamočil pri nastavitvah parametrov za mrežo.

harmony ::

Jaz sem se res presral. Mislim, v podzavesti vem, da je resnicno skoraj nemogoce, da bi kar nekdo heknu 4 network komponente, ampak ko se poskusis loginat na te naprave in ti ne prime isti pwd, potem se pa res vprasas kaj je narobe. Do prompta sem vsakic prisel.

Se zmeraj ne vem kaj tocno se je zgodilo, sem vse ugasnil in ponovno vklopil in sedaj vse deluje.

Kaj posebnega nisem nastavljam. Enostavno default pfSense instalacija.
Dobro, da sem vzel knjigo od pfSense ker sem res n00b.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Firewalla

Oddelek: Omrežja in internet
427287 (2478) somebody16
»

Moja domaca mreza

Oddelek: Omrežja in internet
467347 (5195) mahoni
»

IPS / IDS performance

Oddelek: Omrežja in internet
131898 (1618) harmony
»

pfSense VPN

Oddelek: Omrežja in internet
132836 (2239) He-Man
»

SOHO HW UTM/firewall

Oddelek: Informacijska varnost
91112 (1028) SeMiNeSanja

Več podobnih tem