Netgate SG-1000 microFirewall

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - sisko212

Pages: [1] 2 3 4 5 ... 7
1
Italiano / Re: APRIRE UNA SPECIFICA PORTA VERSO IP PUBBLICO
« on: February 08, 2018, 04:03:54 pm »
secondo me c'è qualcosa dall'altra parte che blocca.
Se sei sicuro che il tuo server dietro il pfsense, è stato concesso di uscire verso internet da tutte le porte, dall'altra parte dovrebbe essere raggiungibile.
Infatti, se raggiungi tutte le porte meno che la 1991 non c'è motivo che anche quella non lo sia.

2
Italiano / Re: Problemi di connessione tra una rete e un'altra.
« on: February 08, 2018, 04:00:16 pm »
Cari ragazzi,
quì se non mettete una qualche sorta di schema, indicando quali sono i router, e quali lan e relativa classe di indirizzi asservono, mi sa che sarà difficile capire come fatta la vostra rete e cosa volete fare.
E in ogni caso, quando ci sono in ballo diversi router che devono raggiungere reti diverse, bisogna andare giù di percorsi statici configurati frà i vari router, salvo che non abbiano già protocolli di routing a bordo (dal banale RIP, fino ai più comlessi IGP e BGP), ma dubito se sono router di piccola taglia... tutt'al più forse il Rip che è il più semplice.

3
Italiano / Re: Info su quale macchina comprare per PfSense
« on: February 07, 2018, 08:51:48 am »
Dipende da come configura la cosa.
Se fà quello che dice in:

uno digita: www.miosito1.com   che al momento i DNS puntano diciamo a: 185.45.67.30 (webserver VPS #1)
un altro digita www.miosito2.com    DNS > 185.45.67.128 (webserver VPS #4)

Allora hai ragione tu, dato che i 5mbps sono per ogni ip pubblico,
Ma se invece fà quello che scrive in:

se installo PfSense su un VPS con ip pubblico 185.45.68.142 allora la situasione sara:
www.miosito1.com  DNS > pfsense VPS 185.45.68.142
www.miosito2.com  DNS > pfsense VPS 185.45.68.142

Temo invece che sarà come dico io nel precedente post.

4
Italiano / Re: 2 pfsense stessa lan
« on: February 05, 2018, 10:10:29 am »
Non vorrei peccare di presunzione, ma quì mancano le basi... ti suggerisco di documentarti un pò su lan e routing di base, prima.
Su questi argomenti si trova della discreta documentazione su internet, ad esempio:
http://geek-university.com/ccna/computer-network-explained/
http://geek-university.com/ccna/what-is-a-router/
Poi ovviamente ce ne sono altri.

5
Italiano / Re: Info su quale macchina comprare per PfSense
« on: February 02, 2018, 05:49:14 am »
2) secondo me si, passando tutto per unico ip e la stessa vps pfsense, credo il limite 5mbps sia su tutte le vps sottostanti, perchè di fatto tutte le tue vps dietro, si presentano comunque al mondo dallo stesso ip

per fare il redirect sulle vps dietro al pfsense usa haproxy.

6
Italiano / Re: Probemi di connessione con SNORT
« on: January 09, 2018, 12:45:28 pm »
Per il tempo di sblocco:
Pfsense non c'entra nulla. Forse e come snort che devi eliminatlo dalla block list temporanea.

Per l'Ip-Mac
Guarda l' Arp table.

7
Italiano / Re: Probemi di connessione con SNORT
« on: January 09, 2018, 11:13:52 am »
Non conosco Suricata, so solo che è un alternativa a Snort.
Personalmente, per ragioni storiche ho usato solo Snort, anche se all'inizio è un pò una "rogna", poi come tutto, si impara a gestirlo (almeno per quello che serve nel mio caso).
Per le regole, Snort offre di due versioni, una free ed una a pagamento.
Per poter usare quelle free, bisogna iscriversi e farsi rilasciare uno Snort Oinkmaster Code, da inserire poi nel pfsense.
Maggiori informazioni le trovi nella documentazione di pfsense:
https://doc.pfsense.org/index.php/Setup_Snort_Package
Però mi sembra strano che Suricata non abbia un meccanismo simile con la lista delle rules.
Come sarebbe altrimenti possibile tenerlo aggiornato con le vulnerabilità nuove che si vengono ad indentificare ?
 

8
Italiano / Re: Probemi di connessione con SNORT
« on: January 08, 2018, 05:16:55 am »
Snort è complesso.
Se lo configuri attivando tutto, c'è il richio che ti banna anche la lan.
Ti conviene configurarlo senza attivare il ban (solo log), e magari con le opzioni predefinite, tipo "connectivity" o "balancing".
Così hai modo di vedere i log che ti crea e solo successivamente decidere se attivare o meno il ban e su quali regole.

9
Italiano / Re: USB Realtek
« on: January 08, 2018, 05:13:32 am »
Pfsense non è basata su linux ma su FreeBSD.
La lista di compatibilità hardware usd è questa:
https://www.freebsd.org/releases/11.1R/hardware.html#usb
se non c'è al limite puoi comunque provare.
Al massimo non funziona e quindi non pfsense non la vede.
Ad ogni modo anche se alcune funzionanto, personalmente suggerisco di evitare l'uso di schede di rete usb, a meno che non sia per sole prove o studio.
Sono foriere di problemi, uso di cpu (anche se ok, al giorno d'oggi le cpu hanno cicli da vendere), e comunque ci sono sempre problemi di affidibilità, disconnessioni/riconnessioni random etc.etc.

10
Italiano / Re: Limitare utilizzo di internet
« on: January 08, 2018, 05:07:55 am »
Un altra possibilità, potrebbe essere quella di usare il Traffic Shaper, e limitare la banda o metterlo con la priortà più bassa possibile.
Ovviamente puoi farlo se e all'interno di una lan o vlan specifica.

11
Italiano / Re: Server FTP su router pfsense
« on: December 09, 2017, 04:52:19 am »
Mmmm... se non c'è frà i pacchetti installabili di pfsense non saprei.
Certo, pfsense, essendo freebsd, potresti tentare di installarti un servizio ftp dai suoi repository (vedi comandi pkg) però poi la configurazione e gestione te la devi fare a shell.
In seguito non so se durante le fasi di aggiornamento però te lo ritrovi ancora installato, oppure venga rimosso.
Eventulamente prova a formulare la domanda a qualcuno nel forum internazionale

12
Italiano / Re: blocco aggiornamenti microsoft
« on: December 09, 2017, 04:45:30 am »
Una roba semplice che puoi fare, se usi pfsense come dns per la tua rete locale (oppure lo fai sul dns anche se diverso), è inserire un override sul dns resolver  un host dove fai 127.0.0.1 -> update.microsoft.com
Non so per quale motivo lo vuoi fare, ma se è per l'occupazione di banda che ti crea quando tutti i client tentano di scaricarsi gli update, e non vuoi complicarti la vita ad installarti un WSUS locale, proverei ad installare lo squid proxy, ed assegnarli dello spazio su disco e modificando i parametri per conservare anche i files molto grossi (diciamo 100-200gb), così quando il primo client ha scaricato l'update, dovrebbe essere in proxy, e tutti gli altri di fatto lo trovano in locale e non ti saturano la banda del provider.

13
Italiano / Re: Problema accesso ftp
« on: December 09, 2017, 04:35:56 am »
FTP purtroppo è una brutta bestia che richiede 2 porte per funzionare.... retaggio di anni in cui gli host avevano tutti ip pubblici e non dietro nat e firewall.
La 21 che è nota, e poi la secondo viene negoziata frà client e server o viceversa se modalità attiva o passiva.
quì un documento che spiega un pò la cosa:
http://www.pfsenseitaly.com/2015/04/configurare-pfsense-per-garantire.html
Sulle vecchie versioni di pfsense (fino alla 2.2 mi pare), se non ricordo male c'èra, a livello di firewall o kernel (non ricordo bene), una roba simile a quello che in linux iptables è il moduleo ip_conntrack_ftp, che, con una sorta di man in the middle, tiene traccia delle porte che si scambiano client e server e le apre sul firewall.
Sulle ultime versioni di pfsense questa cosa è stata tolta, ecco perchè forse non ti funziona.
Posso suggerirti un paio di soluzioni da provare:
1) installi su pfsense, il pacchetto ftp_proxy, che trovi sulla lista dei package disponibili (dovrebbe esserci ancora)
2) Configuri il tuo server remoto in W2012 anche come ftp passivo. Per farlo però, se non ricordo male, su IIS lo puoi fare solo se lo configuri anche con ftp-ssl e quindi devi generarti un certificato (anche selfsigned va ben lo stesso, avviso a parte quando fai la connessione) e devi anche porgli nella configurazione, con quale ip pubblico si presenta al mondo. Da quello che vedo nel tuo post, il server si fa presenta con l'ip 10.0.0.189, che credo però sia l'ip privato della vm

14
Italiano / Re: USB Realtek
« on: November 05, 2017, 03:56:14 pm »
Pfsense è basato su FreeBSD, per cui devi controllare se la tua chiavetta compare frà l'hardware supportato da tale sistema operativo.
Nel caso dell'ultima versione di pfsense, la 2.4, che è basata su freebsd 11, devi controllare qui:
https://www.freebsd.org/releases/11.1R/hardware.html

15
Italiano / Re: architettura server virtuali su aruba con pfsense
« on: November 03, 2017, 06:47:30 am »
Premetto che non conosco l'infrastruttura Aruba, e come essa permetta di configurare le vm... ma in linea di massima, non dovrebbe essere molto diverso dal punto di vista logico di farlo con macchine fisiche:
1) sulla vm con pfsense è possibile creare due virtual nic ? se si, allora una la assegni all'ip pubblico e l'altra la colleghi allo vswitch.
2) sulla vnic collegata allo vswitch gli assegni un ip statico, diciamo 192.168.1.1, che a quel punto diventa la tua lan.
3) gli altri virtual server collegati sullo stesso vswitch gli darai altri ip della stessa classe 192.168.1.2-254, e come default gw setterai l'ip di pfsense 192.168.1.1
4) sul pfsense procedi a creare tutte le varie regole e nat per far accedere i servizi pubblici ai virtual server dietro pfsense.

Pages: [1] 2 3 4 5 ... 7