Question about pfSense
Правила форума
Пожалуйста, ознакомьтесь с правилами данного форума
Пожалуйста, ознакомьтесь с правилами данного форума
- Old_Tuzik
- Житель
- Сообщения: 788
- Зарегистрирован: 28 авг 2007, 16:38
- Контактная информация:
Question about pfSense
Посмотрел поиском на каморке - по крайней мере 4 человека имею опыт с pfSense и поэтому был бы интересен их мнение по следующему вопросу.
Я все чаще стал задуматься что бы поставить прозрачный файервол на pfSense перед своим роутером что бы не изменять текущую конфигурацию (по крайней мере сейчас). Это позволило бы сканировать трафик для поиска по сигнатурам, иметь возможность блокировать IP адреса и прочее. Звучит интересно но вопрос в том как много времени понадобится что бы это все реализовать.
Как первый шаг (один из вариантов) я хотел бы попробывать поставить pfSense на свободный лаптоп с one NIC + smart switch (VLAN) что бы обеспечить многопортовый LAN интерфейс.
Или как альтернатива это просто купить железо от pfSense:
https://store.pfsense.org/SG-2440/
И хотя это был бы самый простой вариант, на самом деле на амазоне можно взять
https://www.amazon.com/Intel-D2500CCE-M ... B006ICQ3FK
и поставить pfSense самому - экономия в два раза.
Но прежде всего самый главный вопрос к людям имеющим опыт с pfSense : имеет ли это смысл, на самом деле pfSense так хорошо в деле? И если да то как сложен сам процесс инсталяции,настройки и поддержки pfSense в повседневной жизни для человека кто проверяет логи на его нынешнем роутере несколько раз в неделю и прочее?
Я все чаще стал задуматься что бы поставить прозрачный файервол на pfSense перед своим роутером что бы не изменять текущую конфигурацию (по крайней мере сейчас). Это позволило бы сканировать трафик для поиска по сигнатурам, иметь возможность блокировать IP адреса и прочее. Звучит интересно но вопрос в том как много времени понадобится что бы это все реализовать.
Как первый шаг (один из вариантов) я хотел бы попробывать поставить pfSense на свободный лаптоп с one NIC + smart switch (VLAN) что бы обеспечить многопортовый LAN интерфейс.
Или как альтернатива это просто купить железо от pfSense:
https://store.pfsense.org/SG-2440/
И хотя это был бы самый простой вариант, на самом деле на амазоне можно взять
https://www.amazon.com/Intel-D2500CCE-M ... B006ICQ3FK
и поставить pfSense самому - экономия в два раза.
Но прежде всего самый главный вопрос к людям имеющим опыт с pfSense : имеет ли это смысл, на самом деле pfSense так хорошо в деле? И если да то как сложен сам процесс инсталяции,настройки и поддержки pfSense в повседневной жизни для человека кто проверяет логи на его нынешнем роутере несколько раз в неделю и прочее?
- Stanislav
- Mr. Minority Report
- Сообщения: 43378
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Question about pfSense
pfSense - это форк от m0n0wall. Не знаю, насколько глубоко они там все перекурочили, но m0n0wall требовал два железных интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...
- Old_Tuzik
- Житель
- Сообщения: 788
- Зарегистрирован: 28 авг 2007, 16:38
- Контактная информация:
Re: Question about pfSense
люди делают:Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0
- LeoV
- Графоман
- Сообщения: 14497
- Зарегистрирован: 02 июн 2012, 15:41
- Откуда: Графство O'Mан
- Контактная информация:
Re: Question about pfSense
Т.е. внутренняя сетка ФИЗИЧЕСКИ доступна из интернета?!!!Old_Tuzik писал(а):люди делают:Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0
- Stanislav
- Mr. Minority Report
- Сообщения: 43378
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Question about pfSense
Угум-с, поковыряли... m0n0wall был попроще...Old_Tuzik писал(а):люди делают:Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0
- Stanislav
- Mr. Minority Report
- Сообщения: 43378
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Question about pfSense
Нет. Они в разных VLAN.LeoV писал(а):Т.е. внутренняя сетка ФИЗИЧЕСКИ доступна из интернета?!!!Old_Tuzik писал(а):люди делают:Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0
- LeoV
- Графоман
- Сообщения: 14497
- Зарегистрирован: 02 июн 2012, 15:41
- Откуда: Графство O'Mан
- Контактная информация:
Re: Question about pfSense
Но кабелями в один свитч втыкаются? Т.е. используется один кабель, т.е. физически одна сеть.Stanislav писал(а):Нет. Они в разных VLAN.LeoV писал(а):Т.е. внутренняя сетка ФИЗИЧЕСКИ доступна из интернета?!!!Old_Tuzik писал(а):люди делают:Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0
То есть видны из интернета.
-
- Маньяк
- Сообщения: 4865
- Зарегистрирован: 18 авг 2008, 14:51
Re: Question about pfSense
А ты по ФИЗИЧЕСКОЙ сетке как из одного вилана сможешь перебраться в другой кроме как не через роутер который имеет коннекты в обе ?LeoV писал(а):Но кабелями в один свитч втыкаются? Т.е. используется один кабель, т.е. физически одна сеть.Stanislav писал(а):Нет. Они в разных VLAN.LeoV писал(а):Т.е. внутренняя сетка ФИЗИЧЕСКИ доступна из интернета?!!!Old_Tuzik писал(а):люди делают:Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0
То есть видны из интернета.
- Stanislav
- Mr. Minority Report
- Сообщения: 43378
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Question about pfSense
Ну... во первых, не видны, ибо внутренние адреса (RFC1918) не маршрутизируются.LeoV писал(а):Но кабелями в один свитч втыкаются? Т.е. используется один кабель, т.е. физически одна сеть.Stanislav писал(а):Нет. Они в разных VLAN.LeoV писал(а):Т.е. внутренняя сетка ФИЗИЧЕСКИ доступна из интернета?!!!Old_Tuzik писал(а):люди делают:Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0
То есть видны из интернета.
Во-вторых, VLAN-ы разные. Хоть оно и называется виртуал LAN, но все равно они физически разделенные сети.
- Stanislav
- Mr. Minority Report
- Сообщения: 43378
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Question about pfSense
А я могу и без раутера Это называется VLAN Routingborei писал(а): А ты по ФИЗИЧЕСКОЙ сетке как из одного вилана сможешь перебраться в другой кроме как не через роутер который имеет коннекты в обе?
-
- Маньяк
- Сообщения: 4865
- Зарегистрирован: 18 авг 2008, 14:51
Re: Question about pfSense
ну начинается.Stanislav писал(а):А я могу и без раутера Это называется VLAN Routingborei писал(а): А ты по ФИЗИЧЕСКОЙ сетке как из одного вилана сможешь перебраться в другой кроме как не через роутер который имеет коннекты в обе?
- Stanislav
- Mr. Minority Report
- Сообщения: 43378
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Question about pfSense
Все. Все. Все. Ухожу в монастырь...
- Old_Tuzik
- Житель
- Сообщения: 788
- Зарегистрирован: 28 авг 2007, 16:38
- Контактная информация:
Re: Question about pfSense
pfSense оказалось довольно крутой штукой. Я запустил ее на старом Делле с 3 сетевыми картами используюя pfSense как transparent firewall, traffic sniffer и включил между Shaw modem и одним из WAN портов моего роутера USG 50.
Причина всей этой операции заключалась в том что я постоянно наблюдаю какой то сумашедший входящий трафик из Shaw (постоянно мигает светодиод и на роутере и на модеме) в то время как на втором WAN порту (telus) активность возникает только когда есть реальная сетефая движуха. В итоге включив pfSense в разрыв я увидел тысячи ARP пакетов в секунду ( завпрос типа Who has 69.206.142.204? Tell 69.206.128.1) и практически все адреса из Shaw поддиапазона.
http://www.dslreports.com/forum/r101843 ... aw-Extreme
http://www.dslreports.com/forum/r259534 ... -Valley-NY
С одной стороны эти ARP запросы это часть DOCSIS (кабельные модемы) c с другой стороны я помню время когда у меня такой проблемы с ШО не было но это был другой модем. Судя по MAC адресу их шлет ШО роутер, таким образом они решили проблему регистрации модемов, но для меня это слабое утешение: как я думаю, в результате этого трафика (который в принципе может считаться нормальным и ШО за него вроде не чарджит) иногда теряются полезные пакеты которые используются для проверки живой ли ШО в данный момент и если нет то роутер выключает на время этот интерфейс.
Плюс в лог добавлются сообщения об ошибке что не гуд. Короче вся эта хрень нагружает мой USG50 понапрасну и я лишний раз убеждаюсь что ШО со своими кабельными технологиями уступает Телусу.
Причина всей этой операции заключалась в том что я постоянно наблюдаю какой то сумашедший входящий трафик из Shaw (постоянно мигает светодиод и на роутере и на модеме) в то время как на втором WAN порту (telus) активность возникает только когда есть реальная сетефая движуха. В итоге включив pfSense в разрыв я увидел тысячи ARP пакетов в секунду ( завпрос типа Who has 69.206.142.204? Tell 69.206.128.1) и практически все адреса из Shaw поддиапазона.
http://www.dslreports.com/forum/r101843 ... aw-Extreme
http://www.dslreports.com/forum/r259534 ... -Valley-NY
С одной стороны эти ARP запросы это часть DOCSIS (кабельные модемы) c с другой стороны я помню время когда у меня такой проблемы с ШО не было но это был другой модем. Судя по MAC адресу их шлет ШО роутер, таким образом они решили проблему регистрации модемов, но для меня это слабое утешение: как я думаю, в результате этого трафика (который в принципе может считаться нормальным и ШО за него вроде не чарджит) иногда теряются полезные пакеты которые используются для проверки живой ли ШО в данный момент и если нет то роутер выключает на время этот интерфейс.
Плюс в лог добавлются сообщения об ошибке что не гуд. Короче вся эта хрень нагружает мой USG50 понапрасну и я лишний раз убеждаюсь что ШО со своими кабельными технологиями уступает Телусу.
- Stanislav
- Mr. Minority Report
- Сообщения: 43378
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Question about pfSense
Old_Tuzik писал(а):
Причина всей этой операции заключалась в том что я постоянно наблюдаю какой то сумашедший входящий трафик из Shaw (постоянно мигает светодиод и на роутере и на модеме) в то время как на втором WAN порту (telus) активность возникает только когда есть реальная сетефая движуха. В итоге включив pfSense в разрыв я увидел тысячи ARP пакетов в секунду ( завпрос типа Who has 69.206.142.204? Tell 69.206.128.1) и практически все адреса из Shaw поддиапазона.
Убедились?Old_Tuzik писал(а):Извините, в этот раз Вы меня не убедили.Stanislav писал(а):Так и должно быть. Не убивайте их - они хорошие.Old_Tuzik писал(а):Можно ли у кого одолжить, взять в аренду это устройство? Подойдет и младший брат (SharkTap 10/100 Network Sniffer) хочу посмотреть что за постоянная активность присутсвует на одном из WAN interface (тот который, SHAW / Lightspeed) 2 портового раутера. Постоянно шныряет куча каких то пакетов и идут они точно от провайдера.
-
- Маньяк
- Сообщения: 4865
- Зарегистрирован: 18 авг 2008, 14:51
Re: Question about pfSense
Ну а собственно чего хотели-то. Подключены к хабу на несколько тыщ портов и хотите чтобы там арп не бегал.