Каморка

Посмотрел поиском на каморке - по крайней мере 4 человека имею опыт с pfSense и поэтому был бы интересен их мнение по следующему вопросу.
Я все чаще стал задуматься что бы поставить прозрачный файервол на pfSense перед своим роутером что бы не изменять текущую конфигурацию (по крайней мере сейчас). Это позволило бы сканировать трафик для поиска по сигнатурам, иметь возможность блокировать IP адреса и прочее. Звучит интересно но вопрос в том как много времени понадобится что бы это все реализовать.
Как первый шаг (один из вариантов) я хотел бы попробывать поставить pfSense на свободный лаптоп с one NIC + smart switch (VLAN) что бы обеспечить многопортовый LAN интерфейс.

Или как альтернатива это просто купить железо от pfSense:

https://store.pfsense.org/SG-2440/

И хотя это был бы самый простой вариант, на самом деле на амазоне можно взять

https://www.amazon.com/Intel-D2500CCE-M ... B006ICQ3FK

и поставить pfSense самому - экономия в два раза.

Но прежде всего самый главный вопрос к людям имеющим опыт с pfSense : имеет ли это смысл, на самом деле pfSense так хорошо в деле? И если да то как сложен сам процесс инсталяции,настройки и поддержки pfSense в повседневной жизни для человека кто проверяет логи на его нынешнем роутере несколько раз в неделю и прочее?

pfSense - это форк от m0n0wall. Не знаю, насколько глубоко они там все перекурочили, но m0n0wall требовал два железных интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...

Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...

люди делают:

Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0

Old_Tuzik писал(а):

Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...

люди делают:

Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0

Т.е. внутренняя сетка ФИЗИЧЕСКИ доступна из интернета?!!!

Old_Tuzik писал(а):

Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...

люди делают:
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0

Угум-с, поковыряли... m0n0wall был попроще...

LeoV писал(а):

Old_Tuzik писал(а):

Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...

люди делают:
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0

Т.е. внутренняя сетка ФИЗИЧЕСКИ доступна из интернета?!!!

Нет. Они в разных VLAN.

Stanislav писал(а):

LeoV писал(а):

Old_Tuzik писал(а):

Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...

люди делают:
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0

Т.е. внутренняя сетка ФИЗИЧЕСКИ доступна из интернета?!!!

Нет. Они в разных VLAN.

Но кабелями в один свитч втыкаются? Т.е. используется один кабель, т.е. физически одна сеть.
То есть видны из интернета.

LeoV писал(а):

Stanislav писал(а):

LeoV писал(а):

Old_Tuzik писал(а):

Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...

люди делают:
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0

Т.е. внутренняя сетка ФИЗИЧЕСКИ доступна из интернета?!!!

Нет. Они в разных VLAN.

Но кабелями в один свитч втыкаются? Т.е. используется один кабель, т.е. физически одна сеть.
То есть видны из интернета.

А ты по ФИЗИЧЕСКОЙ сетке как из одного вилана сможешь перебраться в другой кроме как не через роутер который имеет коннекты в обе ?

LeoV писал(а):

Stanislav писал(а):

LeoV писал(а):

Old_Tuzik писал(а):

Stanislav писал(а):интерфейса - WAN and LAN, т.е. превратить лаптоп с одним интерфейсом в pfSense ИМХО не сможете...

люди делают:
Running pfSense on laptop with 1 NIC and VLANs
https://forum.pfsense.org/index.php?topic=111887.0

Т.е. внутренняя сетка ФИЗИЧЕСКИ доступна из интернета?!!!

Нет. Они в разных VLAN.

Но кабелями в один свитч втыкаются? Т.е. используется один кабель, т.е. физически одна сеть.
То есть видны из интернета.

Ну... во первых, не видны, ибо внутренние адреса (RFC1918) не маршрутизируются.
Во-вторых, VLAN-ы разные. Хоть оно и называется виртуал LAN, но все равно они физически разделенные сети.

borei писал(а): А ты по ФИЗИЧЕСКОЙ сетке как из одного вилана сможешь перебраться в другой кроме как не через роутер который имеет коннекты в обе?

А я могу и без раутера Это называется VLAN Routing

Stanislav писал(а):

borei писал(а): А ты по ФИЗИЧЕСКОЙ сетке как из одного вилана сможешь перебраться в другой кроме как не через роутер который имеет коннекты в обе?

А я могу и без раутера Это называется VLAN Routing

ну начинается.

Все. Все. Все. Ухожу в монастырь...

pfSense оказалось довольно крутой штукой. Я запустил ее на старом Делле с 3 сетевыми картами используюя pfSense как transparent firewall, traffic sniffer и включил между Shaw modem и одним из WAN портов моего роутера USG 50.

Причина всей этой операции заключалась в том что я постоянно наблюдаю какой то сумашедший входящий трафик из Shaw (постоянно мигает светодиод и на роутере и на модеме) в то время как на втором WAN порту (telus) активность возникает только когда есть реальная сетефая движуха. В итоге включив pfSense в разрыв я увидел тысячи ARP пакетов в секунду ( завпрос типа Who has 69.206.142.204? Tell 69.206.128.1) и практически все адреса из Shaw поддиапазона.
http://www.dslreports.com/forum/r101843 ... aw-Extreme
http://www.dslreports.com/forum/r259534 ... -Valley-NY
С одной стороны эти ARP запросы это часть DOCSIS (кабельные модемы) c с другой стороны я помню время когда у меня такой проблемы с ШО не было но это был другой модем. Судя по MAC адресу их шлет ШО роутер, таким образом они решили проблему регистрации модемов, но для меня это слабое утешение: как я думаю, в результате этого трафика (который в принципе может считаться нормальным и ШО за него вроде не чарджит) иногда теряются полезные пакеты которые используются для проверки живой ли ШО в данный момент и если нет то роутер выключает на время этот интерфейс.
Плюс в лог добавлются сообщения об ошибке что не гуд. Короче вся эта хрень нагружает мой USG50 понапрасну и я лишний раз убеждаюсь что ШО со своими кабельными технологиями уступает Телусу.

Old_Tuzik писал(а):
Причина всей этой операции заключалась в том что я постоянно наблюдаю какой то сумашедший входящий трафик из Shaw (постоянно мигает светодиод и на роутере и на модеме) в то время как на втором WAN порту (telus) активность возникает только когда есть реальная сетефая движуха. В итоге включив pfSense в разрыв я увидел тысячи ARP пакетов в секунду ( завпрос типа Who has 69.206.142.204? Tell 69.206.128.1) и практически все адреса из Shaw поддиапазона.

Old_Tuzik писал(а):

Stanislav писал(а):

Old_Tuzik писал(а):Можно ли у кого одолжить, взять в аренду это устройство? Подойдет и младший брат (SharkTap 10/100 Network Sniffer) хочу посмотреть что за постоянная активность присутсвует на одном из WAN interface (тот который, SHAW / Lightspeed) 2 портового раутера. Постоянно шныряет куча каких то пакетов и идут они точно от провайдера.

Так и должно быть. Не убивайте их - они хорошие.

Извините, в этот раз Вы меня не убедили.

Убедились?

Ну а собственно чего хотели-то. Подключены к хабу на несколько тыщ портов и хотите чтобы там арп не бегал.