This is version 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 . It is not the current version, and thus it cannot be edited.
[Back to current version]   [Restore this version]

PFSENSE#

ftp://ftp.it.freebsd.org/pub/linux/plutoWWW/files/journal/pj0704/pfsense.html
'Come si può evincere dal nome, pfSense usa l'ottima implementazione firewall pf (importata da OpenBSD[3]). Tra le sue principali caratteristiche, ha la possibilità di agire da captive portal, ossia da un sistema di monitoraggio degli accessi Wi-Fi in luoghi pubblici o come server DHCP, DNS e PPPoE, di effettuare limitazione di banda e di essere di supporto a numerosi tipi di VPN, come PPTP, IPSEC e per ultima, ma non meno importante, a OpenVPN. Tra le caratteristiche più importanti che si possono evidenziare, ci sono il supporto a CARP e pfSync, che consentono di creare cluster di firewall e inoltre che pfSense supporta più di una connessione ad internet, con la possibilità quindi di bilanciare il carico. '

Installazione#

Da ISO

FreeBSD console#

Note#

1. OpenVpn: problema con TSL-AUTH. scaricare la patch su http://pfsense.trendchiller.com/patches/
   dopo aver configurato il server aprire la porta UDP 1194 su firewall
2. ipsec: funziona con PSK
3. non è possibile settare il source address nel port forward da GUI
4. Aliases Firewall->Aliases
   Possibilità di assegnare un nome a un indirizzo IP o a una classe di indirizzi richiamabili nelle Rules e nel NAT
   Possibilità di assegnare un nome a un insieme di porte utilizzabile come port range nelle Rules e nel NAT
   
5. FTP Considerations
   impostare ftp modalità passiva
   vsftpd /etc/vsftpd.conf
   pasv_enable=YES
   pasv_address=IP Server NAT -- passa al client l'indirizzo IP del Server NAT che reindirizza al server FTP
   pasv_min_port=min port porte utilizzate per il trasferimento dati in modalità passiva
   pasv_max_port=max port
   rules:
   aprire porta 21 e porta per il portforward (porta 22 per sftp)
   nat: abilitare il port forward dalla porta 21 (22) alla 21(22) del server ftp
   abilitare il port forward dalla porta "min port" alla porta "max port"
   In Interface-> WAN e Interface->LAN togliere la spunta da "Disable the userland FTP-Proxy application"
   
6. Trafic Shaper
   Firewall-> Trafic Shaper
   Gestione del traffico di rete, priorità abbattimento del traffico indesiderato,ottimizzazione della banda e delle code.
   Gestione e abbattimento dei singoli traffici p2p, voip, Network Games, messaggistica....

PACKAGES

1. Bandwithd:
   Genera grafici e statistiche del flusso dati passante dal firewall suddividendo il tipo di traffico (FTP HTTP P2P TCP UDP ICMP )
   Configurazione:
   Skip intervals: intervallo di tempo in minuti prima di iniziare a disegnare il grafico (default: 2.5 min)
   Graph cutoff: minimo traffico rappresentato di ogni IP espresso in Kb
   promiscuous: se abilitato metto l'interfaccia ethernet in modo promiscuo (non adatta al routing) che andrebbe collegata ad un hub per monitorare il traffico passante
   filter: filtra certi indirizzi ip (EX "ip 64.215.40.1") Meta Refresh: intervallo di aggiornamento dati
   
2. Snort: IDS Intrusion Detection System
   Previa registrazione al sito snort.org da cui è possibile scaricare direttamente rules aggiornate per bloccare traffico malevolo (pacchetti modificati che vanno a far scattare bug)
   Registrarsi a snort.org. ottenere Oinkmaster code, inserirlo in Service->Snort->Settings e fare l'update_rules (Scarica le roules per l'IDS da snort.org)
   Abilitare re rules interessate da Categories