Toon posts:

Gemakkelijke firewall die kan blokkeren op landen?

Pagina: 1
Acties:

donderdag 1 oktober 2015 12:34

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
Hoi,

Onlangs een thuisserver (Intel NUC) opgezet met ESXi. Werkt allemaal erg leuk.
Ben nu bezig om wat taken van m'n NAS te verplaatsen naar VM's op de NUC.

Waar ik echter tegenaan loop is dat bepaalde zaken (domoticapakket Domoticz bijv.) toegankelijk moeten zijn vanaf internet. Nu is dat geen probleem, maar op de Synology zit een prachtige firewall die een 'GeoIP' functie heeft. Dit werkt voor mij ideaal, ik weet immers dat ik vanuit NL erbij wil, of landen waar ik op vakantie ben (die ik dan zo kan whitelisten in de firewall).

Nu ben ik echter op zoek naar zoiets voor op m'n ESXi server. Eerst was ik aan het zoeken hoe je dit met 'iptables' in Ubuntu e.d. doet, maar omdat ik vaker tegen dit probleem aan ga lopen ben ik nu eigenlijk op zoek naar een virtuele appliance die dit kan. Dan laat ik het verkeer van/naar de VM's door die appliance routeren.

Heeft iemand ervaring met zoiets? Ik zie wel pfSense en m0n0wall, maar heb daar nooit eerder mee gewerkt. Het liefste wil ik gewoon een duidelijke webinterface zoals bij OpenWRT / Synology waarin ik de regels kan opstellen en dan kan kan klikken: NL mag er wel bij, rest niet.

Ik heb overigens een router met OpenWRT waarin ik de portforwards geregeld heb, maar ik denk dat die het te zwaar krijgt als ik daarop de geo-filtering ga doen.

Iemand die een goede virtuele appliance weet die kan filteren op land van herkomst?

donderdag 1 oktober 2015 12:38

Acties:
  • 0 Henk 'm!
  • Orion84
  • Registratie: April 2002
  • Laatst online: 13-09 18:51

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Waarom niet gewoon een OpenVPN server draaien op je router (of op je NAS / NUC)? Dan kan je alle overige poorten netjes dicht laten vanaf buiten en heb je een versleutelde en met username/password beveiligde ingang.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

donderdag 1 oktober 2015 12:42

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
Dat heb ik al, er staat al amper wat open en als ik op afstand bij een apparaat moet slinger ik de VPN aan idd.
Maar ik heb voor m'n domotica bijv. een app op smartphone die via geofencing ziet dat de telefoon 'thuis' is en dat dan over internet laat weten aan het systeem. Daar moet dus een poort voor open staan die inkomend verkeer ontvangt, maar dus niet vanuit de hele wereld toegankelijk is maar alleen NL e.d.

In de huidige situatie staat er op de OpenWRT router een portforward naar de NAS. Het komt dus door de router heen en op de NAS wordt het vervolgens doorgelaten of afgeketst, op basis van het land waaruit het verkeer afkomstig is. Dat werkt perfect. Maar nu ik met VM's bezig ben heb ik die bescherming niet.

Ik zit te denken aan zoiets: https://www.sophos.com/en...m-essential-firewall.aspx maar omdat ik er geen ervaring mee heb ben ik benieuwd hoe anderen dit doen. Een firewall is niet heel spannend, maar het gaat mij juist om dat stukje geo-filtering. Dat maakt het voor mij als beginner een stuk makkelijker om het aanvalsoppervlak gelijk enorm te verkleinen.

Ik ga vanavond ook pfSense eens proberen. In combinatie met pfBlocker lijkt dat ook wel te doen wat ik wil.

[ Voor 26% gewijzigd door ThinkPad op 01-10-2015 12:54 ]

donderdag 1 oktober 2015 13:04

Acties:
  • 0 Henk 'm!
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 14:23

Rolfie

Pfsense heeft hiervoor een mogelijkheid, deze zou je virtueel kunnen draaien.

Pfblocker

donderdag 1 oktober 2015 13:10

Acties:
  • 0 Henk 'm!
  • Crahsystor
  • Registratie: Februari 2009
  • Laatst online: 11:45

Crahsystor

IPFire heeft ook een GeoIP blocker. pfSense is technisch een uitstekende firewall (of UTM) maar mist eenvoud in de interface. IPFire is daar veel sterker in maar mist wat geavanceerdere functies t.o.v. pfSense. Dus mocht je er niet uit komen met pfSense, probeer dan IPFire eens.

Addicted to silent computing

donderdag 1 oktober 2015 15:50

Acties:
  • +1 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 11-09 21:28

CAPSLOCK2000

zie teletekst pagina 888

Er is een geo-ip-module voor iptables die precies doet wat je wil:

code:
1
2

iptables -I INPUT -m geoip --src-cc NL -j ACCEPT
iptables -I INPUT -m geoip --src-cc CN -j DROP


Die module is nog geen onderdeel van de standaard iptables maar moet apart worden geinstalleerd. Onder Debian zit dat in het pakket "xtables-addons-dkms", onder Ubuntu waarschijnlijk ook.


Je vroeg om een kant en klare appliance maar die ken ik niet; ik heb het niet zo op appliances.

Wat betreft de systeembelasting zou ik me niet te veel zorgen maken. Firewallen is helemaal niet zo zwaar. Als je de performance hebt om zo'n webgui te draaien dan zal de firewall geen probleem hebben om je (consumenten)verbinding te filteren.

[ Voor 51% gewijzigd door CAPSLOCK2000 op 01-10-2015 15:54 ]

This post is warranted for the full amount you paid me for it.

donderdag 1 oktober 2015 16:27

Acties:
  • 0 Henk 'm!
  • Thc_Nbl
  • Registratie: Juli 2001
  • Laatst online: 21-05 22:24

Thc_Nbl

Wat CAPSLOCK aanraad, is zeker een goede. Ik gebruik GEOIP i.c.m. ufw en fail2ban, werk erg goed.
en Ja voor ubuntu ook beschikbaar.

Ik heb zelf dit voorbeeld gebruikt.

http://blog.jeshurun.ca/t...tu-iptables-xtables-geoip
en om geoip in UFW te laten werken bij startup.

in UFW
/etc/ufw/before.rules

Zet onder *filter ...
...
# End required lines

## Deze doet alleen SSH toestaan vanuit nederland.
-A ufw-before-input -m state --state NEW -m geoip ! --src-cc NL -m tcp -p tcp --dport 22 -m comment --comment 'SSH%20Geoip' -j DROP

ehhh.. noppes

donderdag 1 oktober 2015 16:29

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
Maar bij jullie voorbeelden moet ik het per machine in stellen. Vandaar dat ik liever een appliance heb die het gelijk voor meerdere VM's kan regelen. Ik vermoed namelijk dat ik vaker tegen dit probleem aan zal lopen :)

donderdag 1 oktober 2015 16:29

Acties:
  • 0 Henk 'm!
  • Thc_Nbl
  • Registratie: Juli 2001
  • Laatst online: 21-05 22:24

Thc_Nbl

puppet ?

ehhh.. noppes

donderdag 1 oktober 2015 16:34

Acties:
  • 0 Henk 'm!
  • iNSaNe-oNe
  • Registratie: Augustus 2000
  • Laatst online: 14:49

iNSaNe-oNe

Ja, ik ben pluizig en blauw!

pfSense met pfBlockerNG. Draait hier al jaaaaren zonder trubbels. In een VM onder ESXi 5.5, met twee interfaces: eentje naar je modem/router (zorg dat je WAN IP aankomt op de interface van ESX), en liever een tweede fysieke interface voor je LAN. Ik zou niet anders meer willen.

pfSense heeft naast dit nog vele andere features/add-ons wat het een zwitsers zakmes maakt voor je netwerk. Heerlijk! :Y)

[edit]
Had ik al gezegd dat het gratis is, en dat de securityupdates met FreeBSD goed geregeld zijn?

[ Voor 11% gewijzigd door iNSaNe-oNe op 01-10-2015 16:36 ]

... en oranje! :P

donderdag 1 oktober 2015 16:39

Acties:
  • +1 Henk 'm!
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Ik stem voor de door jou reeds gevonden Sophos UTM :)
Inmiddels erg veel ervaring mee en is echt prima bruikbaar op een virtueel platform.
Makkelijk in te stellen, 10 gratis endpoint antivirus, VPN optie, mail en webscan (lees adblocker) en ook country blocking.
Ik heb nu 3 familieleden zie zelfs een atom bordje draaien met UTM om deze redenen.

Mocht domotics via een webinterface benaderd worden dan kun je deze nog verder dichtschroeven met webserver-protection. Deze kan zelfs een 2fa voor de webpage zetten als extra barriere of reverse authentication met eigen form

[edit]
Had ik al gezegd dat het gratis is, en dat de securityupdates met Sophos UTM goed geregeld zijn? O-)

Afbeeldingslocatie: https://drashna.net/blog/wp-content/uploads/2014/03/Screenshot-2014-03-04-20.24.16.png

[ Voor 45% gewijzigd door arjants op 01-10-2015 16:46 ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

vrijdag 2 oktober 2015 09:14

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
iNSaNe-oNe schreef op donderdag 01 oktober 2015 @ 16:34:
pfSense met pfBlockerNG. Draait hier al jaaaaren zonder trubbels. In een VM onder ESXi 5.5, met twee interfaces: eentje naar je modem/router (zorg dat je WAN IP aankomt op de interface van ESX), en liever een tweede fysieke interface voor je LAN. Ik zou niet anders meer willen.

pfSense heeft naast dit nog vele andere features/add-ons wat het een zwitsers zakmes maakt voor je netwerk. Heerlijk! :Y)

[edit]
Had ik al gezegd dat het gratis is, en dat de securityupdates met FreeBSD goed geregeld zijn?
Gisteravond even mee bezig geweest en volgens mij kan het idd wat ik wil (had die pfBlockerNG idd geinstalleerd) maar het is nog vrij ingewikkeld vind ik. Als je alle dagen bezig bent met routers/firewalls instellen dan zal het zo gepiept zijn, maar ik vond het nog vrij lastig.

Komt nog bij dat de meeste tutorials er vanuit gaan dat je pfSense als router gaat inzetten, dus idd WAN erin en LAN eruit. Daarbij liep ik al tegen het probleem aan dat ik eerst de firewall uit moest zetten (pfctl -d) omdat ik anders niet eens vanuit m'n eigen netwerk bij de webinterface van de virtuele machine met pfSense kon komen (omdat ik WAN aan m'n netwerk heb hangen en de LAN naar een virtuele switch onder ESXi).
arjants schreef op donderdag 01 oktober 2015 @ 16:39:
Ik stem voor de door jou reeds gevonden Sophos UTM :)
Inmiddels erg veel ervaring mee en is echt prima bruikbaar op een virtueel platform.
Makkelijk in te stellen, 10 gratis endpoint antivirus, VPN optie, mail en webscan (lees adblocker) en ook country blocking.
Ik heb nu 3 familieleden zie zelfs een atom bordje draaien met UTM om deze redenen.

Mocht domotics via een webinterface benaderd worden dan kun je deze nog verder dichtschroeven met webserver-protection. Deze kan zelfs een 2fa voor de webpage zetten als extra barriere of reverse authentication met eigen form

[edit]
Had ik al gezegd dat het gratis is, en dat de securityupdates met Sophos UTM goed geregeld zijn? O-)

[afbeelding]
Dat ziet er goed uit! Wat mij wel gelijk opvalt is de "block incoming and outgoing traffic completely". Uitgaand verkeer vind ik niet boeiend, het gaat mij er puur om dat ik inlogpogingen uit China e.d. kan blokkeren. Maar dat maakt niet uit, want verkeer van mij naar China zal er toch niet zijn. Al zou ik met bijv. GitHub dan wel tegen een probleem aan kunnen lopen, als ik iets wil binnenhalen dan zal dat waarschijnlijk niet werken als ik de VS blokkeer.

Die webserver protection klinkt ook leuk, maar dat gaat niet werken omdat de apps die inloggen daar niet mee overweg kunnen.

Zal Sophos dit weekend eens proberen.

[ Voor 4% gewijzigd door ThinkPad op 02-10-2015 09:17 ]

vrijdag 2 oktober 2015 11:07

Acties:
  • 0 Henk 'm!
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

ThinkPadd schreef op vrijdag 02 oktober 2015 @ 09:14:
[...]


[...]

Dat ziet er goed uit! Wat mij wel gelijk opvalt is de "block incoming and outgoing traffic completely". Uitgaand verkeer vind ik niet boeiend, het gaat mij er puur om dat ik inlogpogingen uit China e.d. kan blokkeren. Maar dat maakt niet uit, want verkeer van mij naar China zal er toch niet zijn. Al zou ik met bijv. GitHub dan wel tegen een probleem aan kunnen lopen, als ik iets wil binnenhalen dan zal dat waarschijnlijk niet werken als ik de VS blokkeer.

[...]
Net even gekeken voor je en het valt mee, je kunt per land de volgende keuzes maken:
Afbeeldingslocatie: http://www.tersteege.net/tweakers/Sophos_country.png

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

vrijdag 2 oktober 2015 11:12

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
arjants schreef op vrijdag 02 oktober 2015 @ 11:07:
[...]


Net even gekeken voor je en het valt mee, je kunt per land de volgende keuzes maken:
[afbeelding]
Super, dan is m'n vraag wel beantwoord denk ik.

Hoe heb jij die appliance in gebruik? Meestal wordt er bij dat soort setups uitgegaan van een host met 2 netwerkkaarten, WAN erin, LAN eruit.

Ik wil echter voor m'n thuisnetwerk gewoon de router blijven gebruiken en met die Sophos appliance alleen de VM's beschermen. De WAN komt dan aan de virtuele switch in ESXi te hangen waar de fysieke netwerkkaart van de host ook aan hangt. Dan een nieuwe virtuele switch maken waar de LAN kant aan komt te hangen en al m'n andere VM's.
Heb jij het ook op een dergelijke manier? Of heb je twee fysieke netwerkkaarten erin?

vrijdag 2 oktober 2015 11:31

Acties:
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Nu online

Paul

Je gebruikt OpenWRT, daar kun je een static route maken naar je Sophos (of pfSense) VM.

Ik weet niet wat je IP-plan thuis is, dus met fictieve adressen:

LAN: 10.0.0.0/24 (10.0.0.1 t/m 10.0.0.254 bruikbaar, subnetmasker 255.255.255.0, gateway 10.0.0.254)
VM's: 10.1.0.0/24 (10.1.0.1 t/m 10.1.0.254 bruikbaar, subnetmasker 255.255.255.0, gatewat 10.1.0.254)

OpenWRT:
LAN: 10.0.0.254
WAN: Mag je provider bepalen :+

Firewall-VM:
LAN: 10.0.0.253
VMs: 10.1.0.254

Static route op OpenWRT:
10.1.0.0/24 -> 10.0.0.253

Op je firewall-VM stel je in dat deze moet routeren (doet hij waarschijnlijk standaard al) en dat hij NIET moet NATten (onder pfSense doe je dit door bij NAT de boel op advanced te zetten en alle regels weg te halen. Vergeet ook niet om bij de interface-properties van pfSense "block private networks" uit te zetten. De makkelijkste manier om bij de webinterface te kunnen via WAN is gewoon tegen de firewall te zeggen dat dit mag: https://doc.pfsense.org/i...s_the_webGUI_from_the_WAN Hiervoor moet je wel (eenmalig) via LAN verbinden, bijvoorbeeld met de VMware console van een van je VM's. Andere optie is om WAN aan de VMs-kant te hangen ipv aan LAN :P ).

Je hoeft geen twee vSwitches aan te maken, je kunt het ook met VLAN's oplossen, maar ik denk dat 2 vSwitches voor nu wel het simpelste is. Maar één vSwitch heeft een fysieke netwerkkaart, dat is de LAN-kant, en je VM's (op de firewall na natuurlijk) zitten alleen op de vSwitch zonder fysieke netwerkkaart. Ik zou ook VMkernel op LAN zetten, dan kun je er nog bij als je firewall-VM uit staat.

In je OpenWRT maak je port forwards per applicatie naar het adres in het 10.1.0.0-subnet.

[ Voor 19% gewijzigd door Paul op 02-10-2015 11:36 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 2 oktober 2015 12:09

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
Klinkt logisch (wel een beetje complex, maar ik snap de opzet), maar wie/wat deelt die 10.1.x.x adressen uit dan? Welke DHCP-server gaat dat doen?

vrijdag 2 oktober 2015 12:20

Acties:
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Nu online

Paul

Dat hangt helemaal van je opzet af :) In het VM-netwerk lijkt me dat jij dat zelf handmatig doet zodat je port-forwards blijven werken en (via DNS bijvoorbeeld) bij je applicaties kunt. Je kunt het ook door een DHCP-server laten doen, waarbij je door middel van reserveringen zorgt dat je altijd hetzelfde adres krijgt?

Op de vraag welke DHCP-server: maakt niet uit :) pfSense heeft er een als je zou willen, Sophos waarschijnlijk ook, maar je kunt ook de IP-helper instellen zodat je OpenWRT-router dat doet. Ik ken OpenWRT niet zo goed, maar het is het Zwitserse Zakmes onder de routers geloof ik, dus het lijkt me dat je daar wel meer dan één DHCP-scope op aan kunt maken :)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 2 oktober 2015 12:28

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
Kan ik niet gewoon alles door de huidige router laten blijven doen? Het is prima dat m'n VM's in dezelde IP-range komen als andere apparaten in m'n thuisnetwerk. Jouw opzet is een beetje overkill voor een thuissituatie denk ik.

Eigenlijk zou ik de firewall dan inzetten als transparante firewall, hij hoeft zich niet te bemoeien met routes/IP-adressen uitgeven, maar alleen kijken of het verkeer door mag ja/nee.

We gaan nu overigens wel offtopic, ik ga dit weekend die Sophos eens proberen :)

vrijdag 2 oktober 2015 13:13

Acties:
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Nu online

Paul

Als je dat wil dan is je firewall een transparant / filtering bridge. Kan ook, het is alleen wat minder gebruikelijk en er valt minder over te vinden :) Wel heb je dan inderdaad maar één subnet en weet de firewall niks van eventuele routering etz. Wel zul je nog steeds twee vSwitches moeten maken en zo.

Ook in mijn originele setup doet je huidige router (bijna) alles, alleen als je DHCP wilt hebben in het subnet van de (te beschermen) VM's moet je daar een extra instelling voor doen, verder blijft het de hoofd-router, je DNS-server etc.

Overkill voor thuis, ligt er maar net aan wat je wilt doen :) Overkill is in mijn ogen meer doen dan nodig is, iets wat volgens mij hier niet opgaat :) Tevens is het imho ook niet offtopic, want het legt je uit hoe je die firewall in moet stellen zodat hij zijn werk kan doen :P Een filtering bridge kan het echter ook. Misschien omdat ik dagelijks met subnetten en zo werk, maar ik vind juist een filtering bridge een oplossing waar ik veel minder grip op heb :P

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 2 oktober 2015 13:36

Acties:
  • 0 Henk 'm!
  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 13-09 12:18

TheVMaster

Moderator WOS
ThinkPadd schreef op donderdag 01 oktober 2015 @ 12:42:
Dat heb ik al, er staat al amper wat open en als ik op afstand bij een apparaat moet slinger ik de VPN aan idd.
Maar ik heb voor m'n domotica bijv. een app op smartphone die via geofencing ziet dat de telefoon 'thuis' is en dat dan over internet laat weten aan het systeem. Daar moet dus een poort voor open staan die inkomend verkeer ontvangt, maar dus niet vanuit de hele wereld toegankelijk is maar alleen NL e.d.

In de huidige situatie staat er op de OpenWRT router een portforward naar de NAS. Het komt dus door de router heen en op de NAS wordt het vervolgens doorgelaten of afgeketst, op basis van het land waaruit het verkeer afkomstig is. Dat werkt perfect. Maar nu ik met VM's bezig ben heb ik die bescherming niet.

Ik zit te denken aan zoiets: https://www.sophos.com/en...m-essential-firewall.aspx maar omdat ik er geen ervaring mee heb ben ik benieuwd hoe anderen dit doen. Een firewall is niet heel spannend, maar het gaat mij juist om dat stukje geo-filtering. Dat maakt het voor mij als beginner een stuk makkelijker om het aanvalsoppervlak gelijk enorm te verkleinen.

Ik ga vanavond ook pfSense eens proberen. In combinatie met pfBlocker lijkt dat ook wel te doen wat ik wil.
Sophos UTM rules....heb hem jaren gedraait.....werkt eenvoudiger dan pfSense....en Sophos heeft ook goede support voor Hyper-V (aangezien ik geen VMware heb draaien was sophos een betere keuze). Echt een super firewall! Enige beperking van de 'home' versie (die gratis is) is dat je aan de LAN kant max. 50 IP's/clients toegang kan geven tot internet...

vrijdag 2 oktober 2015 23:07

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
Ik heb de Sophos UTM draaien, heb het ingesteld zoals hier: http://fastvue.co/sophos/...ng-full-transparent-mode/ (3 interfaces, eentje aan m'n fysieke LAN, eentje voor VM-LAN en eentje management). De bridge heb ik een IP-adres in dezelfde range als m'n thuisnetwerk gegeven en tevens als gateway het IP van m'n router ingevoerd.

M'n VM's krijgen wel een IP-adres via DHCP van de router, maar ik kan niet pingen en een DNS-lookup (ping nu.nl) werkt ook niet. Ook een webserver op de Domoticz VM is niet te bereiken.
Dit terwijl ik wel netjes een any/any regel heb aangemaakt zoals in die tutorial genoemd wordt.

Ik kan wel vanaf m'n laptop bij de Sophos VM (en ook met een andere VM die aan de management switch hangt net zoals de Sophos).

Heb de netwerken als volgt aangemaakt:
Afbeeldingslocatie: http://tweakers.net/ext/f/ngqXTqd8QEcC4E4Xc694jAT8/full.png

Het idee is dat 'VM Network' in dit geval het WAN is en 'Beveiligd' het LAN voor de VM's is. Maar dan zonder dat de Sophos UTM zich als een router gaat gedragen en NAT e.d. gaat doen. Gewoon verkeer doorschuiven, tenzij het niet voldoet aan de in Sophos ingestelde firewall regels.

Kom er niet helemaal meer uit, heb het idee dat het iets kleins is

[ Voor 17% gewijzigd door ThinkPad op 02-10-2015 23:22 ]

zaterdag 3 oktober 2015 14:57

Acties:
  • 0 Henk 'm!
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Network Protection -> Firewall -> ICMP dacht ik

Wat is de gateway op je Domocticz?

[ Voor 28% gewijzigd door arjants op 03-10-2015 14:58 ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

zaterdag 3 oktober 2015 15:05

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
Die had ik al aangepast/uitgezet.

Gateway op domoticz is 192.168.4.1 wat het IP-adres van m'n router is.

zaterdag 3 oktober 2015 19:22

Acties:
  • 0 Henk 'm!
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Staat de firewall in transparant mode?
Gebruik je 1 nic of 3?

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

zaterdag 3 oktober 2015 19:59

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
3 nics, transparante modus (al weet ik niet meer of je dat nou heel duidelijk kon kiezen).

zaterdag 3 oktober 2015 20:10

Acties:
  • 0 Henk 'm!
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Dan zou ik denk ik met 1 nic gaan werken in bridge mode, hier wat makkelijk leesvoer om een goede keuze te maken:
https://www.sophos.com/en...knowledgebase/119360.aspx
http://fastvue.co/sophos/...ng-full-transparent-mode/
http://fastvue.co/sophos/...rent-vs-full-transparent/
Staan wel plaatjes bij ter verduidelijking

[ Voor 30% gewijzigd door arjants op 03-10-2015 20:11 ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

zondag 4 oktober 2015 15:57

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
Die tutorials had ik al geprobeerd, maar daarmee lukt het dus niet helaas.
Was deze trouwens: http://fastvue.co/sophos/...ng-full-transparent-mode/ (geupdate voor UTM9.3).

Een plaatje om even toe te lichten wat ik wil:
Afbeeldingslocatie: http://tweakers.net/ext/f/SNdFBFhyxYvm7p2TB0aS5W4h/full.png

rood = internet zonder enige filtering (nouja alleen de port forwards in de router)
groen = port forwards van router maar dan gefilterd op land, alleen toegestane landen komen erdoor

De VM's moeten gewoon een IP via DHCP krijgen van m'n router. De andere apparaten in m'n netwerk wil ik NIET door de firewall VM laten afhandelen, dat kan prima zoals het nu is door m'n router blijven gebeuren.

Met de aangemaakte brug ("VM Network" + "Beveiligd" gebrugd) dan krijgen de VM's wel een IP via DHCP van de router, maar een ping naar nu.nl of 8.8.8.8 werkt niet.... een wget op nu.nl ook niet (blijft hangen op "Resolving nu.nl").

[ Voor 43% gewijzigd door ThinkPad op 04-10-2015 16:26 ]

zondag 4 oktober 2015 16:32

Acties:
  • 0 Henk 'm!
  • renedis
  • Registratie: Juli 2003
  • Laatst online: 22-07 10:05

renedis

Je hebt dit ook doorgelezen?

http://fastvue.co/sophos/...rent-vs-full-transparent/


Volgens mij heb ik het zo goed uitgetekend:

Afbeeldingslocatie: http://tweakers.net/ext/f/tRMXc6gkV1KKunMuCCr0tiHk/full.png

Zo ver ik weet zou dan de derde NIC volgens Sophos enkel voor het management zijn.

zondag 4 oktober 2015 16:46

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 14:27

ThinkPad

Topicstarter
Vanmiddag nog even met pfSense aan de gang geweest, dat is gelukt
Heb deze post gevolgd. Ik krijg dan een IP via DHCP toegewezen, maar kon verder niks (router pingen lukt niet, internetpagina openen lukt niet).

Zette ik echter onder System > Advanced > Firewall / NAT het vinkje bij "Disable Firewall" aan, dan werkt alles wel ineens in de VM.

Uiteindelijk moest ik nog een regel aanmaken in de firewall, onder 'LAN' zodat de VM's met de rest van het netwerk (en internet) konden praten, outbound dus.

code:
1
2
3
4
5

Interface: LAN
TCP/IP Version: IPv4
Protocol: any
Source: any
Destination: any


Als naslagwerk voor later de stappen nog even:
code:
1
2
3
4
5
6
7
8
9
10

1. Disable NAT (but not the firewall). See http://doc.pfsense.org/index.php/How_can_I_completely_disable_NAT%3F#Disable_NAT
2. VERY IMPORTANT: As mentioned at http://forum.pfsense.org/index.php?topic=30653.0, go to the 'System -> Advanced -> System Tunables'  and set net.link.bridge.pfil_bridge from 'default' to '1'
3. Bridge WAN and LAN by going to 'Interfaces → Assign → Bridges'
4. Create OPT iface and assign the bridge to it by 'Interfaces → Assign → Network Port'
5. Add an IP address to the bridge interface; this IP is the one you will use to access the firewall long term
6. Add allow all rules to ALL firewall interfaces to avoid being locked out. Ifaces OPT, WAN, and LAN
7. Set WAN and LAN interface type to 'none'. (Under 'Interfaces' in GUI)
8. Disable DHCP server
9. The firewall should now be able to be accessed from all ifaces via the IP on the bridge from step 5
10. Carefully modify your firewall rules to be more restrictive. DNS, DHCP, etc.


Wat in dat verhaaltje nog wel mist is dat je bij stap 7. je WAN interface wel ongemoeid moet laten (anders kan de appliance zelf niet op internet en kun je geen packages downloaden).

Ook moest ik in ESXi bij de vSwitch op het tabje 'Security' de "Promiscuous mode" op 'Accept' zetten. Kwam ik ook ergens tijdens het Googlen. Als ik het terugzet op de standaardinstelling (Reject) dan werkt het internet op de VM niet meer.

De pfSense hangt met 'WAN' in het standaard vSwitch netwerk en met z'n LAN in een door mij aangemaakt vSwitch, waar ook de andere (te beschermen) VM's in hangen.

Nu eens kijken of dat blokkeren op landen wil lukken met "pfBlockerNG".

[ Voor 228% gewijzigd door ThinkPad op 04-10-2015 20:38 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq