PFsense als host FW

Alles kan, maar het is verre van efficient natuurlijk.

DennusB schreef op woensdag 12 februari 2020 @ 15:22:
Alles kan, maar het is verre van efficiënt natuurlijk.

QFT. Het slaat eigenlijk nergens op.

@adk156 Heb je al eens naar de firewall van je OS gekeken? Die kun je ook zeer gedetailleerd instellen.

Ik vind het onzinnig, omdat moderne OS-en zoals Linux een eigen firewall hebben. En daarnaast, als je al een PfSense fetish hebt, kijk dan eens naar OPNsense

Ja, dat is haalbaar. Maar niet echt praktisch:
- de pfSense VM moet in netwerk bridge mode en z'n eigen intern LAN IP krijgen
- als pfSense niet je primary router wordt, dan zit je met een dubbele NAT ivm met je eigen router
- je default route gaat naar pfSense en je computer kan dus niks totdat de VM opgestart en operationeel is
- alle andere apparaten op je WiFi profiteren niet mee van die "extra" veiligheid

Er zijn genoeg Tweakers die pfSense in een VM draaien, maar dan op een thuisservertje. Kun je meteen je router vervangen. Ik heb persoonlijk pfSense draaien op een passief gekoeld mini-ITX computertje die in de meterkast hangt. Altijd aan, zuinig en voldoet prima als permanente firewall.

Wat zou pfSense meer kunnen, dan je met iptables of firewalld al kan? Daarbij, als je je firewall/router op dezelfde fysieke machine gaat draaien als het OS waarmee je het internet op gaat, maak je het ook redelijk makkelijk om buiten de firewall om dingen te doen die volgens je instellingen in pfSense niet zouden mogen.

Als je pfSense als vervanger van een router wilt gaan inzetten, zal je 't als edge device in je netwerk moeten zetten, met twee NICs er in. Eentje voor LAN, de ander voor WAN. Alles moet er dan doorheen.

Als host firewall is het dus niet ideaal. Daar is iptables beter voor geschikt, mede ook omdat dat al op kernel niveau werkt, voordat het je NIC zou bereiken.