Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[kya]

Minkälaista rautaa vaatii pfSense että 1000/1000 kuituyhteys toimisi suunnilleen tuona gigaisena? Nykyinen asuksen reititin ei jaksa kuin ~300 megaa.

Suosituimmat fanless-boksit lienevät APU2, Fitlet2 ja Qotom (eri versiot). Noi kaikki kykenee gigaseen. APU2 on nuhaisin, joten sitä en suosittele jos käytät paljon plugareita ja muita pfSensen lisäosia tai VPN:ää. Itse rakentamalla melkein kaikki nykyraudat, joissa on AES-NI, pystyy tohon. Sitten voi miettiä pyrkiikö fanless-toteutukseen vai ei ja valkkaa jonkun barebone-aihion sen mukaan. Verkkokorteissa kannattaa suosia Inteliä, toimii pfSense:ssä paremmin kuin Realtek.

 

[Second]

Myös Protectlilta löytyy muutamaa mallia: Protectli: Trusted Firewall Appliances with Firmware Protection Näitä näkyy myös Amazonissa kaupattavan

 

[user9999]

Sitten löytyy Shuttle XPC slim tietokoneet, joilla onnistuu tuo 1000/1000 kuituyhteys. Ainoa puute on se, että on vain kaksi Intelin verkkokorttia.

Shuttle Global || DS10U SERIES - Products

global.shuttle.com

Shuttle Global || DS77U SERIES - Products

global.shuttle.com

Shuttle Global || DS68U - Products

global.shuttle.com

 

[escalibur]

Arpwatch 0.2.0_1 julkaistu.

Nyt myös 0.2.0_2.

 

[user9999]

Nyt myös 0.2.0_2.

Huomasin ja päivitin. Taas on sähköpostilaatikossa Ilmoituksia uusista laitteista.

 

[escalibur]

Jos joku käyttää Sophoksen palomuuria, kannattaa tarkistaa onko päivityksiä saatavilla. (Just in case)

Hackers exploit zero-day in Sophos XG Firewall, fix released

Sophos has fixed a zero-day SQL injection vulnerability in their XG Firewall after receiving reports that hackers actively exploited it in attacks.

www.bleepingcomputer.com

 

[user9999]

pkg audit -F käsky:

Fetching vuln.xml.bz2: .......... done
0 problem(s) in 0 installed package(s) found.

Tilanne (pfSense 2.4.5) nyt reilu kuukauden jälkeen..

Fetching vuln.xml.bz2: .......... done
python27-2.7.17_1 is vulnerable:
Python -- Regular Expression DoS attack against client
CVE: CVE-2020-8492
WWW: VuXML: Python -- Regular Expression DoS attack against client

python37-3.7.6 is vulnerable:
Python -- Regular Expression DoS attack against client
CVE: CVE-2020-8492
WWW: VuXML: Python -- Regular Expression DoS attack against client

openvpn-2.4.8 is vulnerable:
openvpn -- illegal client float can break VPN session for other users
CVE: CVE-2020-11810
WWW: VuXML: openvpn -- illegal client float can break VPN session for other users

mysql57-client-5.7.29 is vulnerable:
MySQL Client -- Multiple vulerabilities
CVE: CVE-2020-2933
CVE: CVE-2020-2922
CVE: CVE-2020-2875
CVE: CVE-2020-2934
CVE: CVE-2020-2752
WWW: VuXML: MySQL Client -- Multiple vulerabilities

4 problem(s) in 4 installed package(s) found.

 

[mikajh]

Tilanne (pfSense 2.4.5) nyt reilu kuukauden jälkeen..
:
4 problem(s) in 4 installed package(s) found.

OPNSensen jatkuva päivitysmalli olisi kyllä parempi, niin kuin yleensäkin

 

[user9999]

OPNSensen jatkuva päivitysmalli olisi kyllä parempi, niin kuin yleensäkin

About OPNsense - High-end Security Made Easy™

OPNsense is the best open source, easy-to-use firewall and routing platform with a strong focus on security. High-end Security Made Easy™ Free Download.

opnsense.org

OPNsense offers weekly security updates with small increments to react on new emerging threats within in a fashionable time. A fixed release cycle of 2 major releases each year offers businesses the opportunity to plan upgrades ahead. For each major release a roadmap is put in place to guide development and set out clear goals.

 

[escalibur]

OPNSensen jatkuva päivitysmalli olisi kyllä parempi, niin kuin yleensäkin

Se olisi, niin kauan kunnes nopeasta syklista johtuva lyhyt tai olematon päivitystestaus saisi koko palomuurin sekaisin.

 

[sammy73]

Onko Pfsensessä aina ollut tuo Auto Configuration Backup vai tuliko tässä uusimmassa (pfSense 2.4.5) versiossa vasta?

 

[user9999]

Laitoin OPNSensen testiin.

Löytyy tästäkin jotain

root@OPNsense:~ # pkg audit -F
vulnxml file up-to-date

py37-yaml-5.2 is vulnerable:
py-yaml -- FullLoader (still) exploitable for arbitrary command execution
CVE: CVE-2020-1747
WWW: VuXML: py-yaml -- FullLoader (still) exploitable for arbitrary command execution

openssl-1.1.1f,1 is vulnerable:
OpenSSL remote denial of service vulnerability
CVE: CVE-2020-1967
WWW: VuXML: OpenSSL remote denial of service vulnerability

2 problem(s) in 2 installed package(s) found.

Ei ole kovin vanhoja.
Täytyy testailla..

 

[user9999]

Onko Pfsensessä aina ollut tuo Auto Configuration Backup vai tuliko tässä uusimmassa (pfSense 2.4.5) versiossa vasta?

Tuli 2.4.4 versiossa.

pfSense 2.4.4-RELEASE now available

We are excited to announce the release of pfSense® software version 2.4.4, now available for new installations and upgrades! pfSense software version 2.4.4 brings security patches, numerous new features, support...

www.netgate.com

 

[Khauron]

Laitoin OPNSensen testiin.

Löytyy tästäkin jotain

root@OPNsense:~ # pkg audit -F
vulnxml file up-to-date

py37-yaml-5.2 is vulnerable:
py-yaml -- FullLoader (still) exploitable for arbitrary command execution
CVE: CVE-2020-1747
WWW: VuXML: py-yaml -- FullLoader (still) exploitable for arbitrary command execution

openssl-1.1.1f,1 is vulnerable:
OpenSSL remote denial of service vulnerability
CVE: CVE-2020-1967
WWW: VuXML: OpenSSL remote denial of service vulnerability

2 problem(s) in 2 installed package(s) found.

Ei ole kovin vanhoja.
Täytyy testailla..

Joko siihen saa pfBlockerNG:n, tai vastaavan?

 

[user9999]

Joko siihen saa pfBlockerNG:n, tai vastaavan?

En huomannut katsoa, mitä siihen saa. Asensin sen valmiiksi niin täytyy viikonloppuna tutkia.
Ei toimi pfBlockerNG:ssä enää tuo Suomen lista niin mulla on taas käytössä AdGuard Home

 

[mikajh]

Laitoin OPNSensen testiin.
:
openssl-1.1.1f,1 is vulnerable:
OpenSSL remote denial of service vulnerability
CVE: CVE-2020-1967
:
Ei ole kovin vanhoja.
Täytyy testailla..

OpenSSL-1.1.1g on viikon vanha ja f alle kuukauden. Mahdollisuuksien rajoissa siis on, että OPNsenseen noita päivitellään ripeasti.

 

[user9999]

Tuossa OPNsensen roadmap.

OPNsense Roadmap - Planned enhancements and innovations

OPNsense Roadmap. Planned enhancements and innovations for already one of the best open source firewalls. High-end security made easy™

opnsense.org

 

[mikajh]

Tuossa OPNsensen roadmap.

QEMU/KVM:ssä oli versio 19.1 jonka päivitin nyt 20.1:een. Vieläkään noita päivityksiä ei ole automatisoitu, joten sellaiseen käyttöön missä ei ole joku paikallisesti tai VPN:n yli päivittämässä etänä tusina kertaa vuodessa, tämä ei ole yhtään parempi kuin pfSense.

En nyt muista tai heti keksi syytä, ettei tällä voisi korvata nykyistä pfSenseä, vaikka yleisesti vähän karummalta ja kliinisemmältä vaikuttaakin. Ja onhan tuossa mielenkiintoisia featureita kuten VXLAN.

 

[juhaa]

Pitkästä aikaa ja toivottavasti myös lopullisesti pfSense (2.4.5) ajossa.

Ei käytännössä liikennettä tai muutakaan, mutta loadit
2.01, 1.85, 1.83

fitlet2

Intel(R) Celeron(R) CPU J3455 @ 1.50GHz
Current: 1500 MHz, Max: 1501 MHz
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (inactive)

AES-NI inactive, vika tuossa vai toisaalla?
ja kuulemma Fortnite lagaa..

edit: Hieman putosi

Näiden jälkeen, kun none olivat.

Intel(R) Celeron(R) CPU J3455 @ 1.50GHz
Current: 1500 MHz, Max: 1501 MHz
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (active)

 

[escalibur]

Pitkästä aikaa ja toivottavasti myös lopullisesti pfSense (2.4.5) ajossa.

ja kuulemma Fortnite lagaa..

Onko Bufferbloat kunnossa (testitulos A tai A+)? Speed test - how fast is your internet? | DSLReports, ISP Information

Tämä sillä oletuksella ettei pelata WLAN:in yli.

 

[juhaa]

Onko Bufferbloat kunnossa (testitulos A tai A+)? Speed test - how fast is your internet? | DSLReports, ISP Information

Tämä sillä oletuksella ettei pelata WLAN:in yli.

Ei näytä olevan. Piuhan perässä on.

Kokeilin toiseltakin koneelta:

 

[escalibur]

Bufferbloat saattaa olla yksi syy yhteyden laadun surkeuteen, riippumatta siitä mitä yhteyden (hetkelliset) maksiminopeudet ovat.

Kannattaa ottaa FQ_Codel käyttöön.





Videosta poiketen muista asettaa palomuurisäännön Pass:n sijasta -> Match

 

[mikajh]

Ettei olisi epänormaalin korkean CPU-loadin syynä tämä surullisen kuuluisa (avoin?) bugi: Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
AES-NI ei vaikuta kuin krypto-usecaseihin, kuten VPN:ään

 

[sra2010]

Bufferbloat saattaa olla yksi syy yhteyden laadun surkeuteen, riippumatta siitä mitä yhteyden (hetkelliset) maksiminopeudet ovat.

Kannattaa ottaa FQ_Codel käyttöön.





Videosta poiketen muista asettaa palomuurisäännön Pass:n sijasta -> Match

Videosta poiketen lisäksi codel tilalle tail drop. Aiheuttaa virheitä jos on codel ja fqcodel kuten tuossa videossa. Loki tietoihin alkaa tulla ilmoituksia unable to configure flowset, flowset busy.

 

[juhaa]

Ettei olisi epänormaalin korkean CPU-loadin syynä tämä surullisen kuuluisa (avoin?) bugi: Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
AES-NI ei vaikuta kuin krypto-usecaseihin, kuten VPN:ään

Pitääpä tsekata tuokin. Konfferenssi puheluissa tulee kyllä pätkäisyjä, ehkä sellaisia alle puolesta sekunnista sekuntiin ja aika tiuhaan.

edit:

last pid: 51698; load averages: 4.35, 3.05, 2.34 up 3+17:29:55 17:17:26
195 processes: 5 running, 161 sleeping, 29 waiting

Mem: 71M Active, 214M Inact, 389M Wired, 73M Buf, 7035M Free
Swap: 4096M Total, 4096M Free

edit2:
Workaround:
- disable "Block bogon networks" on all interfaces -> WAN:sta otettu pois
- and then set "Firewall Maximum Table Entries" in "System | Advanced | Firewall & NAT" to a value less then 65535 -> Muutettu 400000 -> 65534

edit3: Ei muutosta ylläolevien muutoksien kanssa tuohon bufferbloattiin, joten se vielä pitää katsoa.

MUTTA, puhelu ei enää pätki

Nyt tähän suuntaan loadit:
last pid: 74596; load averages: 0.41, 0.37, 0.85 up 3+17:50:32 17:38:03
195 processes: 5 running, 161 sleeping, 29 waiting

Mem: 154M Active, 124M Inact, 395M Wired, 73M Buf, 7035M Free
Swap: 4096M Total, 4096M Free

edit4: Käytän tätä nyt hieman muistiinpanoina, toivottavasti näistä joskus saattaa olla muillekkin apua..

0.28, 0.36, 0.34

 

[juhaa]

Vielä ei apua. Missasinkohan jotain?

WAN Down

Queue Management Algorithm kokeiltuna myös tail drop, silloin ECN:ää ei saa päälle. Ei tuettu.

WAN Down Q

WAN Up and Up Q vedetty sitten vastaavista, kuin nuo. Nopeus vedetty alakanttiin todellisesta.

 

[juhaa]

Rulesit

 

[heebo1974]

Eikös ne floating rulesit pitänyt vielä laittaa, että pingit kulkee limitterin ohi/läpi/tmjs. jotenkin priorisoidusti.

Itselläni oli hiukan eri arvoja tuolle Codelille (ainakin tuota Quantum 300:sta oli jossain suositelu):

 

[juhaa]

Eikös ne floating rulesit pitänyt vielä laittaa, että pingit kulkee limitterin ohi/läpi/tmjs. jotenkin priorisoidusti.

Siinähän se asiasana tulikin
"floating", mulla oli WAN:n alla tuo rule...

 

[juhaa]

Videosta poiketen muista asettaa palomuurisäännön Pass:n sijasta -> Match

Käyn viestejä uudelleen läpi, kun varmaan jotain muutakin missasin
Kokeilin vaihtaa Pass -> Match ja dslreportsin BufferBloat tulos putosi A -> B
Tämä kokeiltu silloin kun Queue Management Algorithm on Tail Drop

edit: Sama kun vaihtoi Tail Drop -> Codel

 

[escalibur]

Käyn viestejä uudelleen läpi, kun varmaan jotain muutakin missasin
Kokeilin vaihtaa Pass -> Match ja dslreportsin BufferBloat tulos putosi A -> B
Tämä kokeiltu silloin kun Queue Management Algorithm on Tail Drop

edit: Sama kun vaihtoi Tail Drop -> Codel

Tässä on hyvä listaus mitä kaikkea kannattaa säätää: Playing with fq_codel in 2.4

 

[heebo1974]

Käyttääkö joku tuota gateway pingerhommelia muuhun kuin oman palvelutarjoajan seuraamiseen ? Mietin, että lisäisinkö jonkin googlen esim. 8.8.8.8 tuohon lisäksi. Ihan kivaa infoahan se olisi. Onko muita parempia ehdotuksia. Esim. nyt kun telia oli alhaalla sen puoli päivää, niin kyllä tuo pingaili palveluntarjoajaa ihan ok, vaikkei mihinkään päässytkään.

EDIT: äääh.. ei se mennytkään niinkuin luulin. Eli siihen pystyi vain vaihtamaan tarkkailtavan IP:n ei lisäämään.

 

[user9999]

Käyttääkö joku tuota gateway pingerhommelia muuhun kuin oman palvelutarjoajan seuraamiseen ? Mietin, että lisäisikö jonkin googlen esim. 8.8.8.8 tuohon lisäksi. Ihan kivaa infoahan se olisi. Onko muita parempia ehdotuksia. Esim. nyt kun telia oli alhaalla sen puoli päivää, niin kyllä tuo pingaili palveluntarjoajaa ihan ok, vaikke mihinkään päässytkään.

Joskus oli käytössä kun oli dual wan. Nyt ei ole kuin yksi liittymä niin ei ole käytössä.
Onkohan Googlella nuo public dns palvelimet suomessa?

 

[juhaa]

Ettei olisi epänormaalin korkean CPU-loadin syynä tämä surullisen kuuluisa (avoin?) bugi: Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)
AES-NI ei vaikuta kuin krypto-usecaseihin, kuten VPN:ään

Seems like the fix for this will land in 2.4.5-p1 which is coming soon. But, this person was desperate. So as a test, I put the following in their /boot/loader.conf.local:

kern.smp.disabled=1

2.4.5.a.20200110.1421 and earlier: High CPU usage from pfctl

Seems like the fix for this will land in 2.4.5-p1 which is coming soon. But, this person was desperate. So as a test, I put the following in their /boot/load...

forum.netgate.com

 

[mikajh]

kern.smp.disabled=1

Tuon workaroundin (VM-keskusteluissa oli jo aiemmin mainittu corejen tiputus yhteen) käyttö kyllä heikentänee perffiä, joten jos pfSense ei jumaa yhtenään muilla workaroundeilla, tätä ei kannata käyttää.

 

[user9999]

Tuli iso kasa päivityksiä eilen. PfBlockerNG päivittyi pariin kertaan.

arpwatch 0.2.0_3
freeradius3 0.15.7_15
pfBlockerNG-devel 2.2.5_32

 

[mikajh]

OpenSSL-1.1.1g on viikon vanha ja f alle kuukauden. Mahdollisuuksien rajoissa siis on, että OPNsenseen noita päivitellään ripeasti.

OPNsense 20.1.6

***GOT REQUEST TO AUDIT SECURITY***
Fetching vuln.xml.bz2: .......... done
0 problem(s) in 0 installed package(s) found.
***DONE***

openssl    1.1.1g.1
py37-yaml    5.3.1

 

[heebo1974]

Tuli iso kasa päivityksiä eilen. PfBlockerNG päivittyi pariin kertaan.
pfBlockerNG-devel 2.2.5_32

Minulla ei suostu päivittämään pfBlockerNG-develiä.

Löytyykö tuo asennuslogi jostain ? Tuosta asennusikkunasta ei voi kopioida sitä, kun se jotenkin refressaa niin nopeasti.
Se kyllä näyttäisi login mukaan onnistuvan, mutta menee niin nopeasti läpi ettei se mitään oikeasti taida tehdä.
Ja aina se näyttää että samaa versiota olisi tarjolla päivitettäväksi.

Säilyykö asetukset jos poistaa ja asentaa uudelleen ? Vai pitääkö ne palauttaa backupista tai tehdä käsin ?

EDIT: Rebootti auttoi, sen jälkeen päivitys meni läpi.

 

[sammy73]

Moro, onks jollain tietoa että blokkaako Pfsensen pfblockerng Viaplayn kun millään laitteella ei toimi, lg oled c9, ps3, xbos ja shield? Xboxilla lähti leffa pyörimään muttei esim. ufc, millään muulla ei tapahdu mitään. Reilu puol tuntia aspan kanssa juttelin ja tuli mieleen että tästä varmaa johtuu Muuten netti toimii ok (youtubet ym.) ja asetukset pistetty niinkuin Lawrence videollaan neuvoo.
Edit. Olen joutunut ylen, s-pankin ja bikester.fi lisäämään whitelistalle että sivut toimii mutta en näe mikä voisi olla Viaplayn ip osoitteet.

 

[sra2010]

Moro, onks jollain tietoa että blokkaako Pfsensen pfblockerng Viaplayn kun millään laitteella ei toimi, lg oled c9, ps3, xbos ja shield? Xboxilla lähti leffa pyörimään muttei esim. ufc, millään muulla ei tapahdu mitään. Reilu puol tuntia aspan kanssa juttelin ja tuli mieleen että tästä varmaa johtuu Muuten netti toimii ok (youtubet ym.) ja asetukset pistetty niinkuin Lawrence videollaan neuvoo.
Edit. Olen joutunut ylen, s-pankin ja bikester.fi lisäämään whitelistalle että sivut toimii mutta en näe mikä voisi olla Viaplayn ip osoitteet.

Ei ole tietoa, mutta helppo testata, kun laitat tilapäisesti kokonaan pois käytöstä. Toinen vaihtoehto on katsoa reports välilehdeltä, että mitä on estetty ja tuleeko uusia merkintöjä, kun yrität käynnistää viaplayn.

 

[sammy73]

Ei ole tietoa, mutta helppo testata, kun laitat tilapäisesti kokonaan pois käytöstä. Toinen vaihtoehto on katsoa reports välilehdeltä, että mitä on estetty ja tuleeko uusia merkintöjä, kun yrität käynnistää viaplayn.

Joo tuota reports olen koittanutkin eikä siellä imo näkynyt mitään sellaista, nyt pistin kaikki geoip välilehdellä disable tilaan mutta yhäkään ei shieldin kautta toimi mikään ja aikaisemmin xbox kyllä toisti leffat mutta ei Ufc 249 mitä varten viaplayn hankkisin, 'varmuuskopiokin' jo ilmestyi kostoksi kaikille mutta nyt lg töllön kautta toimii, saikohan tekniikan pojat jotain aikaiseksi kun aspa jo eilen ilmoitti että lg töllöillä jotain ongelmia heidän sovelluksensa kanssa, vihdoinkin pääsee katsomaan
Pitää testata vielä lisää tuota myöhemmin.

 

[mikajh]

OPNsense 20.1.7:
"Also included is a patch for the packet filter kernel code which could crash with shared forwarding when interfaces disappeared due to use after free in the default network stack path.
- src: fix pf shared forwarding on non-existing interfaces"

Tuo haiskahtaa vähän samalta fiksiltä, jota ei ole vielä rellattu pfSense 2.4.5:een, mutta lähellä kai on sekin: 2.4.5-p1 - All Open Issues - pfSense - pfSense bugtracker

 

[user9999]

Täytyy ottaa OPNsense testiin. "Työkiireiden" takia jäänyt tekemättä. Kone on jo pystyssä

 

[mikajh]

pfSense 2.4.5 ja pfBlockerNG-devel 2.2.5_32: xmllintillä kova iltapuhde:
313:22h 100.00% /usr/local/bin/xmllint --xpath string(//pfsense/installedpackages/pfblockerngipsettings/config/ip_placeholder) /cf/conf/config.

 

[mikajh]

Proxmox 6.2-4 sisässä ja ihmettelemässä miten sitä kannattaisi konffata esim. OPNsense:lle. i3-7130U @ 2.70 GHz (dual core, HT), 16 GB DDR4 @ 2133, 480 GB sata3 ssd.
AMI bios, valinnainen watchdog asetettavissa max 120 sekuntiin (vaatii OS-tuen)
EDIT: OPNsense 20.1 asennettu ja päivitetty 20.1.7:ään
EDIT2: pihole v5.0 CentOS 8 containerissa 512 MB->1024 MB RAM, 1 GB disk
EDIT3: dnscrypt 2.0.42 containerissa, piholen käytössä

 

[user9999]

Proxmox 6.2-4 sisässä ja ihmettelemässä miten sitä kannattaisi konffata esim. OPNsense:lle. i3-7130U @ 2.70 GHz (dual core, HT), 16 GB DDR4 @ 2133, 480 GB sata3 ssd.

Mikä on tuon purkin merkki ja malli?

 

[mikajh]

Jotain kiinapaskaa, jota tilasin heikkona hetkenä muutama kuukausi sitten odottamaan käyttöä: Pfsense box,firewall,6 Lan,Core i3-7100U

 

[Rensu]

Jotain kiinapaskaa, jota tilasin heikkona hetkenä muutama kuukausi sitten odottamaan käyttöä: Pfsense box,firewall,6 Lan,Core i3-7100U

Itellä on nyt kaksi tuommosta ollut ajossa ilman ongelmia. Vanhempi ilman AES tukea useamman vuoden ja uudempi mikä on AES tuetulla prossulla. Molempiin tosin olen laittanut uudet powerit heti alkuunsa.

 

[maninthemoon]

Ei välttämättä osu ihan tämän ketjun aihepiiriin, mutta kysytään kuitenkin. Tässä lämpimikseni yritän esim. saada pfsenseesn tuon ddns toimimaan, mutta onnistuuko se vain ja ainoastaan noilla ddns palveluilla vai onnistuuko se esim webhotelli ratkaisulla mistä ostin .fi domainin testejä varten? Eli sinne DNS tietueisiin laittaa jotain (koti IP osoitteen?) vai eikö nuo palvelut taivu tällaiseen?

 

[tohtori-no]

Ei välttämättä osu ihan tämän ketjun aihepiiriin, mutta kysytään kuitenkin. Tässä lämpimikseni yritän esim. saada pfsenseesn tuon ddns toimimaan, mutta onnistuuko se vain ja ainoastaan noilla ddns palveluilla vai onnistuuko se esim webhotelli ratkaisulla mistä ostin .fi domainin testejä varten? Eli sinne DNS tietueisiin laittaa jotain (koti IP osoitteen?) vai eikö nuo palvelut taivu tällaiseen?

kyllä juuri sinne domainin dns A recordiin ip osoite mihin haluat liikenteen ohjautuvan, mikäli ei ole kiinteä ip niin kannattaa katsoa joku skripti joka päivittää tuon dns recordin jos ip muuttuu.