Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[Khauron]

My bad, meni lukeminen ja ajattelu sekaisin.
Eli tuo QOS shaper on todella kevyt. En osaa sanoa, missä kohtaa tuo Netgear kyykähtää, mutta arvaisin sen jaksavan QOS shaperia symmetrisellä 100Mbit/s. Ei varmaan auta kuin testata.

 

[Grazer]

Tilasinpa itsekin tuollaisen APU2D4:n Ebaystä saksalaiselta myyjältä realsofteeshop, 258EUR posteineen oli hinta. Omaan käyttöön ehkä vähän ylimitoitettu, mutta eipä tuo ihan heti vanhene. Pääasiallinen tarkoitus on saada VPN-yhteys kuntoon. Tähän asti kikkaillut SSH:lla ja port forwardingilla.

 

[laavu]

Tilasinpa itsekin tuollaisen APU2D4:n Ebaystä saksalaiselta myyjältä realsofteeshop, 258EUR posteineen oli hinta. Omaan käyttöön ehkä vähän ylimitoitettu, mutta eipä tuo ihan heti vanhene. Pääasiallinen tarkoitus on saada VPN-yhteys kuntoon. Tähän asti kikkaillut SSH:lla ja port forwardingilla.

Hmm, en tiedä, mitä tilauksesi sisältää, mutta aikanaan omani hankin Saksasta (shop.meconet.de) hintaan 196e sisältäen: toimitus UPS:llä, apu2d4, kotelo, 16GB mSATA SSD, virtalähde, SATA-kaapeli. Minusta nuo hinnat on edelleen pysyneet samalla tasolla.

 

[Gobi]

PC Engines APU2D2-Bundle - Board, Netzteil, Speicher, Gehäuse | VanDepot

Tuolta Apu2D2 181,09€ DHLn rahdilla Suomeen.

PC Engines APU2D2-Bundle - Board, Netzteil, Speicher, Gehäus... | eBay

184,46€ DHLn rahdilla Suomeen.

Onko tuo nyt sama kuin @Grazer in tilaama? Tämä ei ole sitten kettuilua, aloin tutkimaan kans hintoja kun @laavu siitä mainitsi.

edit: Ei ole sama, noissa näyttäisi olevan 2Gb RAM.

 

[Grazer]

No perhana, maksoinko liikaa...

Oma laite siis APU2D4 koteloituna, valmiiksi Pfsense asennettuna ja poweri mukana (ja muutama verkkokaapeli).

 

[andyks]

Itse tilasin alkuvuodesta varia-store.comista APU2D4, siis 4Gb RAMilla ja 30Gb SSD:llä, kotelolla sekä virtalähteellä postikuluineen 210e.

Olen kyllä ollut tuohon enemmän kuin tyytyväinen. PfSense on helppo käyttää ja taipuu melkein mihin vain ja laitteesta ei potku lopu heti kesken, mutta silti watit aivan olemattomat.

Thingiversestä löytyy tuolle peltiselle kotelolle muutamakin hyvä seinäteline.

 

[user9999]

Mulla on ollu Wifissä käytössä Radius EAP-TTLS (pfSense FreeRadius). NAS/Client laitteena Asus ROG Rapture GT-AC5300.
Muutin tuon EAP-TLS kun se kait turvallisempi.
802.1X Overview and EAP Types

Aikamoista säätämistä noitten sertien kanssa

Nyt on käytössä MacBook Pro 2017 ja iPhone XS laitteissa. Logia Macbookista noin tunnin välein

Spoileri: LOGI

Logia pfSensessä:
May 6 18:06:40 radiusd 7160 (6) Login OK: [XXXXXX] (from client GTAC5300 port 95 cli XXXXXXXXXXXX)

Jotain ohjetta:
User Management — Using EAP and PEAP with FreeRADIUS | pfSense Documentation

Täytyy ajaa noilla parilla laitteella kovaa testiä ja jos toimii vakaasti niin ottaa sitten kunnolla käyttöön

Sekosi pfSense kokonaan. Poistin Freeradiuksen oletus sertit kun olin tehnyt omat ja ne oli käytössä. Pistin koneen boottiin niin ei noussu ylös. Koneeseen näyttö ja näppis kiinni niin iso määrä erroreita eikä ottanut mitään käskyjä vastaan.
Ei auttanut kuin asentaa uusiksi ja tiputtaa config. Freeradiuksen ja OpenVPN joutui määrittämään uudestaan.
Eli jotain vikaa mulla on tuossa ollu kun ei meinannu onnistua esim. pakettien asennus aikaisemmin.

No nyt on taas kunnossa. Radius EAP-TLS (WIFI) todettu vakaaksi eli toimii macOS, iOS ja tvOS laitteilla. Pitäis vielä virittää se Windows 10 koneeseen.

 

[user9999]

Sekosi pfSense kokonaan. Poistin Freeradiuksen oletus sertit kun olin tehnyt omat ja ne oli käytössä. Pistin koneen boottiin niin ei noussu ylös. Koneeseen näyttö ja näppis kiinni niin iso määrä erroreita eikä ottanut mitään käskyjä vastaan.
Ei auttanut kuin asentaa uusiksi ja tiputtaa config. Freeradiuksen ja OpenVPN joutui määrittämään uudestaan.
Eli jotain vikaa mulla on tuossa ollu kun ei meinannu onnistua esim. pakettien asennus aikaisemmin.

No nyt on taas kunnossa. Radius EAP-TLS (WIFI) todettu vakaaksi eli toimii macOS, iOS ja tvOS laitteilla. Pitäis vielä virittää se Windows 10 koneeseen.

Windows 10 ja EAP-TLS. Vähän hankalampi ottaa käyttöön kuin Applen laitteilla. Tämä projekti valmis

 

[Gobi]

Menee vähän OTksi, mutta kysyn silti:

Laitoin APU4C4n tilaukseen, yksi LAN-portti enemmän kuin APU2D4ssa + 2x SIM-korttipaikka. PCIe-paikat on myös konfattu erilailla. Kysymys load balancingista, miten onnistuu pfSensellä useamman WAN-yhteyden (4G) niputtaminen? Riittääkö APUn teho siihen? Tarkoitus yhdistää ainakin 2, mutta onnistuuko 3 WAN-yhteyttä softan puolesta?

Tarve suurelle kaistalle, 4 läppäriä, 5-6 tablettia, pöytätietokone ja muutama kännykkä. Näillä ajetaan Youtubea pitkin päivää, web-selausta ja parilla tietokoneella pelataan useampi tunti päivässä. Pöytätietokoneelle pitäisi myös priorisoida kaistaa/vasteaikaa. WAN-yhteydet tulee omilla modeemeilla (Huawei 525 ja 5186).

 

[user9999]

Menee vähän OTksi, mutta kysyn silti:

Laitoin APU4C4n tilaukseen, yksi LAN-portti enemmän kuin APU2D4ssa + 2x SIM-korttipaikka. PCIe-paikat on myös konfattu erilailla. Kysymys load balancingista, miten onnistuu pfSensellä useamman WAN-yhteyden (4G) niputtaminen? Riittääkö APUn teho siihen? Tarkoitus yhdistää ainakin 2, mutta onnistuuko 3 WAN-yhteyttä softan puolesta?

Tarve suurelle kaistalle, 4 läppäriä, 5-6 tablettia, pöytätietokone ja muutama kännykkä. Näillä ajetaan Youtubea pitkin päivää, web-selausta ja parilla tietokoneella pelataan useampi tunti päivässä. Pöytätietokoneelle pitäisi myös priorisoida kaistaa/vasteaikaa. WAN-yhteydet tulee omilla modeemeilla (Huawei 525 ja 5186).

Multiple WAN Connections

How to configure pfSense as multi wan (DUAL WAN) load balance failover router - nixCraft

 

[Gobi]

Multiple WAN Connections

How to configure pfSense as multi wan (DUAL WAN) load balance failover router - nixCraft

Samat linkit katselin läpi, eli onnistuu. Tehot ilmeisesti riittää myös tuossa APU4C4ssä, DHL rahdilla 199€ Suomeen (laite, kotelo, virtalähde) + AElta pari 64Gb mSATA SSDtä 15€ kpl.

 

[user9999]

Samat linkit katselin läpi, eli onnistuu. Tehot ilmeisesti riittää myös tuossa APU4C4ssä, DHL rahdilla 199€ Suomeen (laite, kotelo, virtalähde) + AElta pari 64Gb mSATA SSDtä 15€ kpl.

APU2 1Gbit throughput on pfSense (configuration instructions)
Hyvin tuollainen näyttää kulkevan niin eiköhän jaksa hoitaa multi-wan juttuja.

 

[Gobi]

https://www.apu-board.de/

Tuolta tilasin omani, hinnat on halvimmat mitä niitä nyt selailin netissä. Tilaus ei onnistu suoraan netistä, maililla laitoin tilauksen sisään ja tilisiirtona maksu. Käyhän se noinkin.

 

[Obi-Lan]

Oliko missään opensource muurissa kunnollista toteusta QoS:lle? esim. pakettien DSCP liputus portin/ip/yms perusteella sisään tulevassa interfacessa ja jonotus ulos menevässä? Vanha Juniper mölyää ja uudet ovat hinnoissaan sekä vähän nihkeemmällä lisensoinnilla

 

[user9999]

Ensi viikolla julkaistaan pfSense 2.4.4-p3
Recent Intel MDS flaw announcement

 

[escalibur]

Oliko missään opensource muurissa kunnollista toteusta QoS:lle? esim. pakettien DSCP liputus portin/ip/yms perusteella sisään tulevassa interfacessa ja jonotus ulos menevässä? Vanha Juniper mölyää ja uudet ovat hinnoissaan sekä vähän nihkeemmällä lisensoinnilla

Nämät eivät käy?

Limiters: 8:20
CODEL: 14:06
FAIRQ: 17:50
PRIQ: 20:36
CBQ: 23:58
Service Curves: 27:31
HFSC: 38:29

 

[user9999]

Kokeilin juuri pfSense 2.4.4:ssä "ASIX Elec. Corp. AX88179" USB3-Eth -sovitinta, jota on satunnaisesti käytetty Windows 10:ssä, Rasperry Pi 3B+:ssa ja ensimmäisessä hostissa myös sillattuna VirtualBoxin Ubuntuun. Hyvin tunnistui pfSenseen, tosin koska käytössä on myös LTE USB/Wifi-mokkula niin jotain extroja usb-drivereita voi olla apuna.

D-Link DUB-1312 USB3-verkkokortti kanssa tunnistuu.

ugen0.3: <D-Link Elec. Corp. D-Link DUB-1312> at usbus0
axge0: <NetworkInterface> on usbus0
ue0: <USB Ethernet> on axge0

 

[Lagittaja]

Nämät eivät käy?

Limiters: 8:20
CODEL: 14:06
FAIRQ: 17:50
PRIQ: 20:36
CBQ: 23:58
Service Curves: 27:31
HFSC: 38:29

Mainittakoon että näiden lisäksi nykyään löytyy se minunkin suosima fq_codel. Ilmeisesti myös pie löytyy mutta cake statuksesta en ole täysin varma.
Ikäviä siitä nämä ohjevideot kun vanhenevat äkkiä :/

 

[Obi-Lan]

Lähinnä kiinnosti minkä tutkimiseen aikaa kannattaa käyttää. Pitänee demota VM:ssä Pfsenseä, Netgaten oma SG-1100 purkki taitaa loppupeleissä olla edullisimmasta päästä jos ei SER raudasta meinaa rakentaa?

 

[heebo1974]

Mistäs tuon SG-1100:n saisi edukkaimmin ? Alkoi kiinnostamaan, vaikka olekin tykästynyt openwrt:hen.

 

[Khauron]

Lähinnä kiinnosti minkä tutkimiseen aikaa kannattaa käyttää. Pitänee demota VM:ssä Pfsenseä, Netgaten oma SG-1100 purkki taitaa loppupeleissä olla edullisimmasta päästä jos ei SER raudasta meinaa rakentaa?

Open-Source APU2 taitaa olla hieman halvempi, joksikin ei saa "virallista" pfSenseä. Itse ostin omani Teklagerilta.

Mistäs tuon SG-1100:n saisi edukkaimmin ? Alkoi kiinnostamaan, vaikka olekin tykästynyt openwrt:hen.

Asiakkaalle tilasin vuoden vaihteella tuolta: SG-1100 pfSense® Security Gateway Appliance | Layer8.se

 

[heebo1974]

Open-Source APU2 taitaa olla hieman halvempi, joksikin ei saa "virallista" pfSenseä. Itse ostin omani Teklagerilta.

Lopetin jahkaamisen ja tilasin Teklagerilta APU2 vehkeen. Valitsin vielä pfsensen openwrt:n sijaan. En ottanut WiFiä, vaikka houkutteli. Taidan valjastaa tuon vanhan openwrt reitittimen wifi AP:ksi.

 

[escalibur]

Lähinnä kiinnosti minkä tutkimiseen aikaa kannattaa käyttää. Pitänee demota VM:ssä Pfsenseä, Netgaten oma SG-1100 purkki taitaa loppupeleissä olla edullisimmasta päästä jos ei SER raudasta meinaa rakentaa?

SG-1100 (Rauta perustuu ESPRESSObin:iin Marvell ESPRESSObin | An SBC Unlike Any Other)
APU2-lauta Teklagerilta (kuten jo ehdotettiin)
Qotom-purkki Aliexpressistä tai eBaystä
Shuttle DS-sarjalaiset
fitlet2 <- kenties hienoin toteutus jos budjetti on venytettävissä

Parhaat pfSense-videot löytyvät Lawrence Systemsin YT-kanavalta: Lawrence Systems / PC Pickup

Kenties paras video liittyen alkukonfiguraatioihin:



Poikkeuksellisesti DNS:n osalta asettaisin CloudFlaren DNS:n käyttöön ja estäisin sisäverkon clienttien DNS-requestit muualta kuin pfSensestä.

 

[Khauron]

Siinä yläpuolella rautaista asiaa!
Tuolta Lawrenceltä löytyy myös tuosta CloudFaresta juttua (1.1.1.1 ja 1.0.0.1), oliko nyt "DNS over TLS" -videossa. Ja pfBlockerNG -videossa tuosta muiden DNS:ien blokkaamisesta.

 

[Obi-Lan]

SG-1100 Suoraan Netgaten sivuilta 159$ + arvio rahdista suomeen 35$ = 194$ = 173.40e + ALV 21,50e = 194.90e, aika samoissa menee APU2 kanssa.

Halvemmalla oikeastaan pääsee vaan jos tilaa jonkun Celeron pohjaisen purkin Aliexpressistä: https://bit.ly/2EeBaax

Mutta toisaalta ei jaksais välttämättä Intel rautaa. Mutta testaan nyt softaa eka.

 

[user9999]

SG-1100 (Rauta perustuu ESPRESSObin:iin Marvell ESPRESSObin | An SBC Unlike Any Other)
APU2-lauta Teklagerilta (kuten jo ehdotettiin)
Qotom-purkki Aliexpressistä tai eBaystä
Shuttle DS-sarjalaiset
fitlet2 <- kenties hienoin toteutus jos budjetti on venytettävissä

Parhaat pfSense-videot löytyvät Lawrence Systemsin YT-kanavalta: Lawrence Systems / PC Pickup

Kenties paras video liittyen alkukonfiguraatioihin:



Poikkeuksellisesti DNS:n osalta asettaisin CloudFlaren DNS:n käyttöön ja estäisin sisäverkon clienttien DNS-requestit muualta kuin pfSensestä.

Hyvä video. Jostain syystä en ole ottanut PowerD käyttöön
Mulla on prossu pyöriny maksimi kelloilla. No nyt tuli laitettua päälle.

 

[heebo1974]

Kenties paras video liittyen alkukonfiguraatioihin:

Ihan loistava video.. ja muutkin tuollla olevat. Ai ai kun oottelen saavani sen APU2 purkin ja pfsensen.
Openwrt on jo jätetty unholaan.

Avoinkuituliittymäkin alkaa olla kohta huulilla. Pihatyöt on tehty ja tänään asensivat päätelaitteen. Kuitu vielä puuttuu. Puhallusta odotellessa.

 

[IsoKalle]

Upgrade rojekti olisi edessä, kuidun pää tuli jo kellariin, ja nyt ajattelin päivittää muurin virkaa 15v kellarissa pörränneen ipchains -viritelmän.
Pfsense kuulostaisi kelvolliselta, mutta minkälaista rautaa kannattaisi katsella?
Nykyisen härvelin räkkikoteloon ajattelin päivittää sisuskalut.
Tarvetta on saada kuidun läpäisy+liikenne parin VLAN:in välillä kulkemaan. VPN tarpeita ei ole ainakaan tällä hetkellä.

 

[Khauron]

Tuossa yläpuolella on listattu asiallisia rautoja, jotka ovat jotain parin röökiaskin kokoisia, ja vevät sähköä joku 15W. Hylkää tuo räkki, ja otat mukaan mounting bracketit. APU2:n puolesta itse liputan just tuolta TekLagerilta. Toki Sg1100 on hyvä myös, kun saa virallisen pfSensen.

Tai sitten on vielä nihilistinen ratkaisu, että vaihdat tuon ipfiren tuosta räkkiraudasta pfSenseen.

 

[user9999]

pfSense 2.4.4-RELEASE-p3 now available

 

[kha]

Onko kenelläkään APU2/pfSense purkissa wle200nx WLAN korttia käytössä? Tilasin Teklagerin wle200nx wireless WiFi kitin toimitus vasta kesäkuun alussa ja odotellessa kiinnostaisi kuulla kokemuksia toimivuudesta.

 

[heebo1974]

Onko kenelläkään APU2/pfSense purkissa wle200nx WLAN korttia käytössä? Tilasin Teklagerin wle200nx wireless WiFi kitin toimitus vasta kesäkuun alussa ja odotellessa kiinnostaisi kuulla kokemuksia toimivuudesta.

Itse mietin myös noita Wifi mahdollisuuksia, mutta päädyin jättämään pois. Lähinnä sen takia, että niitä periaatteessa tarvitsisi kaksi kappaletta jos haluaa 2.4GHz ja 5GHz verkot yhtäaikaa käyttöön.

 

[mikajh]

pfSense 2.4.4-RELEASE-p3 now available

Päivitetty. Kunhan v2.5:stä tulee ensimmäinen release valmiiksi, niin sen päivitystä varten täytyy tehdä nykyisen "tuotantopurkin" rinnalle jotakin muuta redundanssia, kuten toinen setup, virtualisoitu ympäristö tai vähintään toinen SSD.

 

[kha]

Itse mietin myös noita Wifi mahdollisuuksia, mutta päädyin jättämään pois. Lähinnä sen takia, että niitä periaatteessa tarvitsisi kaksi kappaletta jos haluaa 2.4GHz ja 5GHz verkot yhtäaikaa käyttöön.

Mulla ei ole mitään pakottavaa tarvetta 5Ghz verkolle mutta voihan sitäkin testata kun kortti saapuu. Tavanomaiseen surffailu käyttöön riittää 2.4Ghz 802.11ng verkko ihan hyvin.

 

[escalibur]

Onko kenelläkään APU2/pfSense purkissa wle200nx WLAN korttia käytössä? Tilasin Teklagerin wle200nx wireless WiFi kitin toimitus vasta kesäkuun alussa ja odotellessa kiinnostaisi kuulla kokemuksia toimivuudesta.

Once you go pfSense + Ubiquiti nanoHD....

 

[kha]

Once you go pfSense + Ubiquiti nanoHD....

On mulla tällä hetkellä pfSense + buffalo WHR-1166D Wifi tukiasema ja toimiihan tämäkin yhdistelmä ihan ok. Tarkoitus on kuitenkin minimoida erillisten purnukoiden olemassaolo ja siksi tilasin pfSenseen ton wifi kortin.

 

[heebo1974]

Päivitetty. Kunhan v2.5:stä tulee ensimmäinen release valmiiksi, niin sen päivitystä varten täytyy tehdä nykyisen "tuotantopurkin" rinnalle jotakin muuta redundanssia, kuten toinen setup, virtualisoitu ympäristö tai vähintään toinen SSD.

Onko siis tiedossa jotain mikä rikkoo päivityksessä jotain, vai vaan isohko pelko siitä ?

 

[mikajh]

Onko siis tiedossa jotain mikä rikkoo päivityksessä jotain, vai vaan isohko pelko siitä ?

Ei. pfSense, erityisesti v2.4.4:n kolmannen patchin luulisi olevan kohtalaisen stabiilia kamaa. Terveellä epäluulollahan kannattaa suhtautua kaikkiin mahdollisiin päivityksiin, jotkan on tulossa sellaiseen purkkiin joka ei vaan saa mennä rikki, ainakaan rikkinäisen päivityksen takia.

Jos tämä olisi ollut v2.4.4. ensimmäinen release, niin olisin ehkä pidempään kuulostellut miten on maailmalla toiminut, ennen kuin v.2.4.3 pX:stä päivittänyt

 

[escalibur]

Onko siis tiedossa jotain mikä rikkoo päivityksessä jotain, vai vaan isohko pelko siitä ?

Eipä pfSensen päivityksiä muutenkaan kannata pelätä, kunhan config.xml on varmistettu ajoittain. Etenkin ennen päivityksen suorittamista. Tärkeintä on huolehtia ettei sotke pfSensea tarpeettomilla lisäreillä ja että config on varmistettu hyvään paikkaan. Sen jälkeen vaikka koko palomuuri "pyyhittäisiin kartalta", uutta asennusta kehiin ja conffis takaisin -> win.

 

[mikajh]

Katastrofin jälkeistä backupin restorea en ole muistaakseni tehnyt. Joidenkin kokeilujen peruutuksia kyllä. Viimeksi sitä tuli käytetyksi pfSense-setupin kopioinnissa täysin uuteen rautakokoonpanoon. Eihän se tietenkään suoralla restorella onnistu, mutta pienet muokkaukset interfacejen nimiin jne. ovat vähäinen homma verrattuna kaiken manuaaliseen setupiin.

 

[escalibur]

pfSensen CVE-tilastot eivät ole hassumpia ilmaissoftaksi: Pfsense : Products and vulnerabilities

Verokkiksi esim. maksulliset IOS ja JunOS:
Ciscon IOS Cisco IOS : CVE security vulnerabilities, versions and detailed reports
JunOS Juniper Junos : CVE security vulnerabilities, versions and detailed reports

Noita varmasti koputellaan enemmän mutta kuitenkin.

 

[mikajh]

OPNsense kiinnostaisi myös, ehkä tutustumismielessä itselle yhdeksi palomuuriksi lisää, mutta varsinkin epäteknisten käyttäjien tarpeeseen. pfSensen päivitykset eivät mene täysin luotettavasti (etänä). Hieman hirvittää OPNsensen parin viikon päivityssykli (joka on sinänsä ehkä ihan jees). Mutta osaako se tehdä päivitykset automaattisesti ja kuinka suurella luotettavuudella?

 

[escalibur]

Fyi: PSA: using pfSense with pfblockerng and DHCP Registration enabled on your DNS Resolver settings may cause intermittent "delays" on DNS resolution when new DHCP clients are issued a new lease. : pfBlockerNG

 

[heebo1974]

MItes yleisesti... Monet saitit huomaavat, jos käyttää selaimessa adblockkereita, mutta huomaavatko ne näitä reitittimelllä (pfBlockerNG) tehtäviä blokkeja ?

p.s. APU2 purkki on nyt lyöty tulille.

 

[escalibur]

MItes yleisesti... Monet saitit huomaavat, jos käyttää selaimessa adblockkereita, mutta huomaavatko ne näitä reitittimelllä (pfBlockerNG) tehtäviä blokkeja ?

p.s. APU2 purkki on nyt lyöty tulille.

Eiköhän se riipu ihan sivuston lähdekoodista, tunnistaako se lisärin vai pollaako se ladataanko objekti "X" vai ei.

pfBlockerNG:ta on muutenkin syytä käyttää mm. kyseenalaisten IP:iden torjumiseen "estä ainoastaan lähtevä liikenne bannattuihin IP-osoitteisiin"-säännöllä.

 

[heebo1974]

Nyt on ns. kaikki APU2 pfsense asetukset laiteltu.
- VPN
- dns resolveria tuunaitu
- statistiikka-asetuksia
- fq_codel

Blockeria en vielä jaksanut ihmetellä.
Joko fq_codel conffaus ei osunut täysin kodilleen tai sitten se vaan ei toimi yhtä hyvin kuin openwrt:n cake.
Openwrt:llä ei missään tilanteessa bufferbloat mennyt alle A+:n, mutta tällä en vielä ole saanut sitä 100% varmaksi.
Eli vaihtelevasti tulee A tai A+. En oikein tiedä mitä asetuksia pitäisi twiikkailla. Queue lenghtin olen jättänyt tyhjäksi.
Upload ja download rajoituksia olen pudottanut "selvästi" alemmaksi kuin openwrt:llä ja silti ei vielä vakuuta.
Onko se sitten caken paremmuutta vai mistä lie johtuu ?

Yleisvaikutelma pfSensesta on kyllä todella hyvä. Kaikki asetukset ovat vaan niin "helppoja" verrattuna no esim. openwrt:hen.
Toki tuo traffic shaper hommeli on openwrt:ssä paremmissa kantimissa.

EDIT: Pikku testiä ja 4000 queue lenghtiksi... A+ pukkaa.
Nyt vain odotellaan kuidun saapumista. Vielä mennään VDSL2:lla.

 

[heebo1974]

pfBlockerNG:ta on muutenkin syytä käyttää mm. kyseenalaisten IP:iden torjumiseen "estä ainoastaan lähtevä liikenne bannattuihin IP-osoitteisiin"-säännöllä.

Tuo vaikuttaisi kyllä järkevältä. Onko vinkkejä mitä listaa kannattaisi käyttää ?

 

[escalibur]

Tuo vaikuttaisi kyllä järkevältä. Onko vinkkejä mitä listaa kannattaisi käyttää ?

On. Laitan listat perusteluineen tänään/huomenna.

 

[escalibur]

Tässä ovat mun käyttämät listat:

Spoileri

Listat ovat valitu harkitusti ja käyttötarpeen mukaan. Jätin kaikki bundle-listat tarkoituksella pois, helpomman vianselvityksen ja paremman ajantasaisuuden varmistamiseksi. Tässäkin asiassa määrä ei siis korvaa laatua.

- Kaikki listat ovat valittu laadun perusteella. Laadulla tarkoitan mahdollisimmna vähän false positiveja ja taustalla pyörivän tahon uskottavuus yms.
- IP-listat ovat tarkoituksella "estä ainoastan lähtevän liikenteen". Palomuuri oletuksena estää kaikki IP:t, pois lukien avatut portit (esim. VPN). Porttiavauksia voidaan kuitenkin erikseen rajata vaikkapa GeoIP:n mukaan. Pelkän lähtevän liikenteen suodatus vähentää mahdollisia false positiveja. Tämä on myös pfBlockerNG:n kehittäjän kertoma best practise.
- Päivitysajat ovat speksattu listojen tekijöiden ilmoittamien päivitysaikojen mukaan. Ei siis ole järkeä päivittää tiettyä listaa tunnin välein, jos ylläpitäjä päivittää sen kerran päivässä.
- Listat päivittyvät joka yö. Oletuksena pfBlockerNG skippaa päivitämättömät listat automaatisesti.

IPv4:

- PR1:

1. Abuse.ch on tunnettu laadukkaista listoista. He pyörittävät mm. honeynettiä. Heillä on jopa statistiikkaa abuse.ch | Fighting malware and botnets mitä kaikkea ovat tunnistaneet.
2. CINS Army on yhteisö joka selvittelee mitä mikäkin koputteleva IP on yrittämässä. Myös heidän listat ovat perus laadukkaita. Active Threat Intelligence - CINS Army
3. Emerging Threats - Internet-uhkiin erikoistunut yritys. He tekevät useita maksullisia IPS-listoja mm. Snortille. Emerging Threat Intelligence - Cyber Threat Solutions | Proofpoint
4. SANS.edu. (entinen DShield)- Tietoturvaan erikoistunut yliopisto joka ylläpitää omia (Internet Storm Center) listoja. Tarkempaa kuvausta: About Us - SANS Internet Storm Center
5. Talos on Ciscon ostama Internet-uhkiin erikoistunut yritys. Mm. Ciscon enterprise-tason verkkolaitteet käyttävät Talosin estolistoja. https://www.talosintelligence.com/reputation_center

- PR2:

1. Alienvault - AT&T Cybersecurity - Wikipedia (By July 2017, AlienVault Open Threat Exchange platform had 65,000 participants who contributed more than 14 million threat indicators daily)

- PR3:

1. BlockList.de - Varsin suosittu estolista. Tarkempaa infoa: www.blocklist.de -- Fail2Ban-Reporting Service (we sent Reports from Attacks on Postfix, SSH, Apache-Attacks, Spambots, irc-Bots, Reg-Bots, DDos and more) from Fail2Ban via X-ARF.
2. MalwareDomainList.com:n IPv4 estolista. Malware Domain List

- PR4

1. BinaryDefense - Listan ylläpitää tietoturvaan erikoistunut yritys. "Real People Detecting Real Threats in Real Time"
2. Malc0de - MalwareDomainList.com:n kaltainen malware-estolista. Malc0de Database

DNSL/mainosesto:

- Suurin osa on lainattu PiHolen vakiolistoista. Luultavasti tällä hetkellä PiHole kuitenkin käyttää eri listoja.

ADs:
- Cameleon - Erittäin toimiva ja suht koht ongelmaton mainostenestolista
- Disconnect.Me - Estolistoihin erikoistunut yritys.
- Disconnect.Me Privacy - Sama perustelu kuten yllä. "Disconnect is founded on the belief that privacy is a fundamental human right: that people should have the freedom to move about the internet - and their lives - without anyone looking over their shoulder."
- EasyList_Finnish - Suomalaisille tarkoitettu EasyListin "lisälista".
- hpHosts_ATS - Kenties tehokkain mainostenestolista.

Malicious:
- Disconnect.Me:n malwertising-lista. Se pyrkii estämään malwarea sisältävät mainokset. (ei niin tarpeellinen lista)
- MalwareDomainList.com:n estolista. Kenties paras yksittäinen lista tunnistettujen domainien estämiseen. Tämäkin on lähinnä "nice to have".

Cryptojackers:
- CoinBlockerlist - Toinen kahdesta cryptolouhintaestolistoista. Näitä on turhaa selitellä sen enempää. Suosittelen vähintään yhden listan käyttöä, cryptolouhintamainosten ollessa vielä jotenkuten elossa.
- NoCoin - Toinen kahdesta cryptolouhintaestolistoista.

Whitelista:
- Käyttämäni pankit, suomalaiset virastot yms sivustot

Sekä tämä (pfBlockerNG kehittäjän suositus):

Statistiikkaa:

Huom! Nollaa näyttävät lisata tarkoittavat sitä ettei listoissa esiintyviin IP:hin ole yritetty ottaa yhteyttä. Eli noin se pitäisikin olla.

Kyseiset listat estävät myös oman puhelimen kautta kulkevaa liikennettä (OpenVPN:n kautta). Näin puhelimen mainostenesto on juuri sitä mitä sen pitäisikin olla.

Noilla listoilla omassa sisäverkossa olevien koneiden tartuttaminen vaatii jo yrittämistä. Tämän ansiosta esim. Windows Defender on riittävä virustorjunta, kun suurin osa pöpöistä luultavasti jää jo palomuuriin. Näin se pitäisikin olla.


Saa kommenttoida, moittia kehua tai muuten antaa palautetta.

 

[kuukie]

Emerging threatsin tiputtaisin pois. Suuret määrät false positive blokkeja kun malware c2 palvelimien hostaamisen takia esim OVHn ipt listalla jatkuvasti