DOMANDA Consiglio nuovo software UTM

  • Autore discussione Autore discussione peg87
  • Data d'inizio Data d'inizio
Pubblicità
r3dl4nce ha detto:
Puoi prendere due S+RJ10 così usi le due porte SFP+, in una ci colleghi la ethernet 2.5 lato LAN di opnsense e in una ci colleghi il PC se ha la ethernet 2.5. A quel punto con iperf3 dovresti vedere il 2.5Gbps in LAN.
Ricordati di mettere le due porte sfp+ nel bridge nello switch
Clicca per espandere...
Infatti mi sa che proverò! Intanto grazie. In ogni caso stavo guardando le regole del firewall di opnsense e sono davvero poco intuitive.
 
Non ti capisco, se vedi quindi le regole del firewall su routeros mikrotik fuggi urlando?

Le regole di firewall su opnsense sono alla fine UGUALI a quelle di ogni altro firewall, dato che ogni firewall fa le stesse funzioni:
- interfaccia
- direzione del flusso: ingresso al firewall - uscita dal firewall (eventualmente questa divisa in output o forward)
- tipo di protocollo / stato flusso (new, established, ecc)
- filtro su ip / porte sorgente
- filtro su ip / porte destinazione
- azione da effettuare: accettare / bloccare

queste sono le funzioni base di un firewall, poi si aggiungono tutte le funzioni aggiuntive, quindi il NAT (traslazione pacchetti sorgente / destinazione -> cosa e come trasformare), schedulazione oraria, gestioni avanzate sul flusso esempio assegnazione / riconoscimento mark, variazione mtu o mss, ecc ecc.

Ma ogni firewall fa le stesse cose che sono quelle descritte. Può cambiare l'interfaccia utente come vengono proposte, ma ti assicuro, ho configurato firewall Cisco ASA, Huawei, pfsense, opnsense, shorewall, mikrotik, ubiquiti, ecc ecc e sono alla fine tutti uguali nelle funzionalità base
 
Ma a me la cosa che crea confusione sono quel in-out che sono al contrario di quello che uno si aspetta. Cioè ho visto che hanno fatto anche dei video in proposito (non ho avuto tempo di guardarli e di approfondire). In ogni caso mi prenderò il tempo necessario prima di metterlo in "produzione"!
 
peg87 ha detto:
Ma a me la cosa che crea confusione sono quel in-out che sono al contrario di quello che uno si aspetta. Cioè ho visto che hanno fatto anche dei video in proposito (non ho avuto tempo di guardarli e di approfondire). In ogni caso mi prenderò il tempo necessario prima di metterlo in "produzione"!
Clicca per espandere...

eccone uno:

OPNsense - Firewall Rule Direction

Anche se teoricamente i firewall funzionano tutti allo stesso modo e sugli stessi principi come diceva giustamente r3dl4nce, io in pratica mi trovo meglio a settare le regole in Mikrotik (a meno che non si tratti di fare qualcosa di più complesso con mangle ovviamente), lo trovo più intuitivo, pure io a volte con OPNsense mi confondo, sarà probabilmente per questioni di pratica visto che lo uso raramente.
 
peg87 ha detto:
Ma a me la cosa che crea confusione sono quel in-out che sono al contrario di quello che uno si aspetta. Cioè ho visto che hanno fatto anche dei video in proposito (non ho avuto tempo di guardarli e di approfondire). In ogni caso mi prenderò il tempo necessario prima di metterlo in "produzione"!
Clicca per espandere...

1713547537981.png

IN è il traffico che ENTRA nel firewall, quindi pacchetti che arrivano sull'interfaccia su cui stai configurando la regola diretti al firewall
OUT è il traffico che dal firewall esce tramite l'interfaccia su cui si configura la regola e verso la quale si raggiunge la destinazione del pacchetto

Diciamo che la direzione nel 99% dei casi è IN, come specifica anche il tooltip
 
Ho una domanda per le regole:
Come faccio a fare una regola che permetta alle varie VLAN di andare su internet, ma non di comunicare tra loro?
Se nella destination non metto ANY su internet non vanno.
Tra l'altro mi sembra di capire che non posso mettere destinazioni multiple tipo le varie vlan, ma sola una per volta. Correggetemi se sbaglio.
 
Esempio con 2 VLAN VLAN 100 e VLAN 200

1713602067072.webp

1713602081817.webp


Esempio di configurazione interfaccia vlan 100, metti il tuo ip da assegnare all'interfaccia ecc, ricordati di abilitare l'interfaccia
1713602132464.webp



Poi fai un gruppo dove metti tutte le VLAN io l'ho chiamato ALL_VLAN

1713602190100.webp

A quel punto nelle firewall - rules di ogni vlan metti una regola di block verso il gruppo delle vlan
1713602298070.webp

non ho provato ma a occhio e croce dovrebbe funzionare
 
Ok la cosa che mi mancava era il gruppo di vlan, ancora grazie. Devo ancora decidere se tenere opnsense o sophos. Deciderò quando saranno configurati allo stesso modo. Detto questo sophos è un all in one, mentre con opnsense devo aggiungere pacchetti o fammi aiutare da altri "software" es pihole. Il vantaggio comunque è che potenzialmente potrei dare quante risorse voglio per compensare la perdita di prestazioni per l'analisi dei pacchetti, mentre con sophos non posso.
 
Su OpnSense posso aiutarti, lo conosco e lo uso. Su Sophos no, l'ho provato anni fa e non mi è piaciuto, se dove e quando possibile cerco di usare strumenti più apterti e liberi, se sorge la necessità di aggragare più strumenti non mi faccio il problema, anzi meglio, così se per un motivo si "rompe" uno, non si rompe tutto assieme (SPoF)
 
Dove
r3dl4nce ha detto:
Su OpnSense posso aiutarti, lo conosco e lo uso. Su Sophos no, l'ho provato anni fa e non mi è piaciuto, se dove e quando possibile cerco di usare strumenti più apterti e liberi, se sorge la necessità di aggragare più strumenti non mi faccio il problema, anzi meglio, così se per un motivo si "rompe" uno, non si rompe tutto assieme (SPoF)
Clicca per espandere...
Allora ho un problema con le regole del firewall
Ho creato un gruppo tra lan e vlan che possono comunicare tra loro.
Ho creato una regola che blocca gli accessi alle vlan dalla rete ospiti.
Ho fatto una regola che tutte le vlan hanno accesso a internet (tranne una).
1713621192747.webp

Tuttavia dalla vlan ospiti non navigo! Se vado nel live view mi dice che i pacchetti sono bloccati dalla regola di default (deny all).
Se l'ultima regola prima della default è "tutte le vlan possono andare ovunque", perchè non ospiti non naviga? Poi quali regole vegono eseguite prima? Quelle delle singole VLAN o le float?
 
peg87 ha detto:
Dove

Allora ho un problema con le regole del firewall
Ho creato un gruppo tra lan e vlan che possono comunicare tra loro.
Ho creato una regola che blocca gli accessi alle vlan dalla rete ospiti.
Ho fatto una regola che tutte le vlan hanno accesso a internet (tranne una).
Visualizza allegato 476764

Tuttavia dalla vlan ospiti non navigo! Se vado nel live view mi dice che i pacchetti sono bloccati dalla regola di default (deny all).
Se l'ultima regola prima della default è "tutte le vlan possono andare ovunque", perchè non ospiti non naviga? Poi quali regole vegono eseguite prima? Quelle delle singole VLAN o le float?
Clicca per espandere...
Tutti i firewall ragionano allo stesso modo: nessuna regola vuol dire "blocca tutto".
La prima regola che hai messo non serve a niente, anzi. Di default la rete ospiti non può accedere alle altre Vlan. Non mettere niente.
Con la seconda invece gli fai fare qualsiasi cosa. In source devi mettere sempre la rete di origine delle richieste, in questo caso ospiti net.
Diciamo che sono contraddittorie quelle due regole li
Poi a me sembra che manchi una regola per accedere al server DNS, sulla porta 53

Comunque le regole vengono eseguite dalla prima in alto all'ultima in basso.
 
peg87 ha detto:
Tuttavia dalla vlan ospiti non navigo! Se vado nel live view mi dice che i pacchetti sono bloccati dalla regola di default (deny all).
Se l'ultima regola prima della default è "tutte le vlan possono andare ovunque", perchè non ospiti non naviga? Poi quali regole vegono eseguite prima? Quelle delle singole VLAN o le float?
Clicca per espandere...

Hai creato questa regola per il DNS:

dns.webp
 
Pubblicità
Pubblicità
Indietro
Top