Επιλογές hardware για Firewall/UTM

**fadasma** · 13-04-23, 12:29

Το adguard home μπαίνει και στο pfsense επειδή έχουν βγάλει έκδοση για FreeBSD. Θα βρεις εύκολα τις οδηγίες για να το βάλεις.
Αν χρειαστείς vpn βάλε το tailscale που περνάει μέσα από το CGNAT. Θα το βρεις στα πακέτα του pfsense.

**isurfer** · 13-04-23, 12:31

Αρχικό μήνυμα από fadasma

Το adguard home μπαίνει και στο pfsense επειδή έχουν βγάλει έκδοση για FreeBSD. Θα βρεις εύκολα τις οδηγίες για να το βάλεις.
Αν χρειαστείς vpn βάλε το tailscale που περνάει μέσα από το CGNAT. Θα το βρεις στα πακέτα του pfsense.

Ναι το ξέρω, ευχαριστώ. Ήταν και ένας λόγος που το προτίμησα από το Opnsense (αν και εκεί μπαίνει με κάποιες αλλαγές).
VPN, κάτσε να στήσω το pf πρώτα.....

**jkoukos** · 13-04-23, 15:10

Στα Fritz δεν υπάρχει επιλογή για Bridge Mode. To πλησιέστερο είναι να το ξεγελάσουμε διαγράφοντας τα credentials της κλήσης ΡΡΡ ώστε να τα περάσουμε στο δικό μας Router πίσω του για να την κάνει αυτό.
Αν δεν δουλέψει, η μόνη λύση είναι με 2πλό ΝΑΤ και χρήση του Exposed Host.

**isurfer** · 13-04-23, 17:24

Σας ευχαριστώ όλους για τις απαντήσεις και τη συζήτηση (πάντα χρήσιμη).
Άρα καταλήγουμε ότι το σχεδιάγραμμα που έκανα είναι σωστό, έτσι;

**BlueChris** · 13-04-23, 17:40

Αρχικό μήνυμα από isurfer

Σας ευχαριστώ όλους για τις απαντήσεις και τη συζήτηση (πάντα χρήσιμη).
Άρα καταλήγουμε ότι το σχεδιάγραμμα που έκανα είναι σωστό, έτσι;

Ναι μια χαρά είσαι, εγώ έτσι είμαι παντού.

**isurfer** · 13-04-23, 23:12

Αρχικό μήνυμα από BlueChris

Ναι μια χαρά είσαι, εγώ έτσι είμαι παντού.

Ευχαριστώ

Άντε τώρα να βγάλω τα μάτια μου στο διάβασμα.....

Τελευταία ερώτηση για τώρα (φαντάζομαι θα πέσω πάνω του σε κάποιο οδηγό αλλά ρωτάω):
επειδή δεν έχω και πολύ λάσκα για δοκιμές (έτσι και κοπεί το internet πάνω από 5 λεπτά θα με κρεμάσουν)
ποιό είναι το default όσον αφορά τα rules, allow ή deny/block ?
Ρωτάω γιατί είναι κρίσιμη η στιγμή που θα κουμπώσω το καλώδιο του router στη wan port (τώρα είναι στο switch μαζί με το υπόλοιπο δίκτυο).
Μπορώ να το βάλω και στην αρχή περνάνε τα πάντα (default είναι allow all) ή όχι ?

**euri** · 13-04-23, 23:35

allow all προς τα έξω
block all προς τα μέσα

**isurfer** · 13-04-23, 23:45

Αρχικό μήνυμα από euri

allow all προς τα έξω
block all προς τα μέσα

Άρα βάζω allow all και προς τα μέσα και συνδέω στη wan το router - έτσι είναι σαν να μην έχω καθόλου firewall και περνάνε όλα - όπως τώρα δηλαδή.
Και μετά πειραματίζομαι με την ησυχία μου.
Είμαι σωστός ?

**netblues** · 14-04-23, 06:06

Οχι βεβαια. Το pf ειναι statefull firewall. Ανοιγμα στη wan, μονο σε συνδοιασμο με port forwatd.
Οπως ειναι out of the box, ειναι ετοιμο και ανοιχτο οσο χρειαζετσι.
Το μονο που ισως θα ηθελες να προσθεσεις στο wan ειναι icmp, ωστα να το κανεις ping απο το fritz, οσο παλευεις με τα καλωδισ

**K1m0n** · 14-04-23, 10:42

Αρχικό μήνυμα από jkoukos

Στα Fritz δεν υπάρχει επιλογή για Bridge Mode. To πλησιέστερο είναι να το ξεγελάσουμε διαγράφοντας τα credentials της κλήσης ΡΡΡ ώστε να τα περάσουμε στο δικό μας Router πίσω του για να την κάνει αυτό.

Plz note:
Στα fritz υπήρχε προ ετών (@fritzos ~4.κάτι?) η σχετική επιλογή στο gui.
Πόσο επιθυμητή/χρήσιμη μπορεί να είναι για τον τυπικό χρήστη fritz είναι ένα ερώτημα,
δεδομένου ότι βασικά στο fritz πληρώνεις το all-in-one και τα pbx/dect που θα χαθούν με το bridge,
αλλά αν κάποιος το χρειάζεται αν μπει στην διαδικασία να σκαλίσει το config υποθέτω πρέπει(?) να γίνεται ακόμα.

Κάπου στο export θα έχει το παρακάτω:

Κώδικας:

dslinterface_metric = 2;
        ipbridge {
                enabled = no;

και

Κώδικας:

webui {
        varius options...
        lanbridges_gui_hidden = yes;
        varius options...
}

Μια ματιά που είχα ρίξει στα Γερμανικά fora,
αν κάνει κανείς το gui_hidden = no εμφανίζεται στο gui
η επιλογή για bridging wan -> x lan eth.
Το χρησιμοποιούν λέει όταν ο χρήστης έχει ένα ip block και θέλει να δρομολογήσει
με public ip @lan side.

Και πρέπει(?) να γίνεται και proper bridging wan/dsl->eth αν φτιάξει κάποιος ένα νέο bridge config node
με το σχετικό vlan.

Λεπτομέρειες δεν ξέρω, δεν το έχω χρειαστεί, δεν το έχω δοκιμάσει,
αν κάποιος θέλει να επιδιώξει τα σχετικά ας ρίξει μια ματιά στα Γερμανικά fora.

Και αν/όταν βγάλει άκρη ας γράψει 2 γραμμές για τον επόμενο, pretty plz.

**fadasma** · 14-04-23, 11:26

Αρχικό μήνυμα από isurfer

ποιό είναι το default όσον αφορά τα rules, allow ή deny/block ?

Για το pfsense:
Στο WAN interface υπάρχει ένα rule "deny all inbound"
Στο LAN interface υπάρχει ένα rule "allow all outbound" (αυτό θα σου χρειαστεί να το ξέρεις γιατί αν φτιάξεις VLANs, αρχικά θα περνάνε τα πάντα αν δεν τα κόψεις)

**isurfer** · 14-04-23, 12:18

Αρχικό μήνυμα από netblues

Οχι βεβαια. Το pf ειναι statefull firewall. Ανοιγμα στη wan, μονο σε συνδοιασμο με port forwatd.
Οπως ειναι out of the box, ειναι ετοιμο και ανοιχτο οσο χρειαζετσι.

Sorry αλλά μπερδεύτηκα (είπαμε πρώτη φορά ασχολούμαι με pf).
Αυτά τα δύο μου φαίνονται ότι αλληλοαναιρούνται.
Όπως είμαι τώρα, αμέσως μετά την εγκατάσταση χωρίς κανένα congifuration όσον αφορά rules, αν βάλω το router στο wan τι θα γίνει; περνάνε όλα ή δεν περνάει τίποτα ?

**euri** · 14-04-23, 13:20

Δες τα βίντεο του Θωμά (...Tom Lawrence), είναι πολύ κατατοπιστικά. Αυτό είναι αρκετά επεξηγηματικό: https://www.youtube.com/watch?v=fsdm5uc_LsU

**isurfer** · 14-04-23, 21:17

πολύ πράμα....

**fadasma** · 14-04-23, 21:24

Αν δεν έχεις όρεξη/χρόνο να διαβάσεις και επειδή βλέπω ότι χρησιμοποιείς virtualization και κάνεις ακόμη πιο περίπλοκη την εγκατάσταση, προτείνω είτε να αφήσεις το pfsense στις default ρυθμίσεις (θα είναι μια χαρά έτσι), ειτε να δώσεις 70€ και να πάρεις ένα router σαν το TP-LINK TL-R605 που είναι απίστευτα πιο εύχρηστο.

Θέμα: Επιλογές hardware για Firewall/UTM

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές