Köszi! Hát láttam már ilyet, tudom mi a DHCP, IP, DNS, állítottam már be szolgáltatói routert régen, de az kb. csak felhasználói név és jelszó megadásából állt. Az alhálózati maszkoknál, meg ilyesmiknél kezdek elveszni. Volt már FreeBSD a gépemen pár hónapig. Nem tudom miért tartok ettől az egésztől, talán mert údonság, és nem akarok sok időt tölteni vele. Kösz a tippeket!

Szerintem nagyon jó leírások vannak a neten, én ilyeneket használva telepítettem és konfiguráltam OPNSense-t. HA meg elakadtam, akkor itt piszkáltam az uri közönséget.
Szóval nem egy idegsebészet, ha már túl vagy egy pár router konfigon, akkor menni fog.

Nálam opnsense van, az is hasonló. Online nézd át a doksit, keress róla telepítős videót.
Alap dolgokat bekapcsolgatod, a finomítás ráér. Pl. nem biztos, h első nap szuttyognék AGH-val és szűrésekkel, csak net legyen. Utána majd belemerülsz...

Jah, linux/BSD ismeret nem kell, minden a webUI-n történik, csak akkor kell a parancssor, ha kizárod magad...

[ Szerkesztve ]

Köszi! Még pár nap, és itt lesz a kütyüt, akkor nekikezdek, aztán majd biztos írok még ide.

[ Szerkesztve ]

Ezt a honlapot tudom ajánlani
Részletes, informatív.

Köszi! Egyelőre nem merülnék ekkora mélységekbe. Mármint az OPNSense egy fokkal azért bonyolultabb, mint a Pfsense. Azért végignézem ezt is, ártani biztosan nem árt.

OPNSense egy fokkal azért bonyolultabb, mint a Pfsense
Egyáltalán nem. Csak kicsit más.

Annyira egyformák, h opnsense-nek nincs is topik, mert minek?
Kinézet és a menük más, de amúgy nagyon közeli a kapcsolat. Azt is telepítheted, szerintem többen használjuk (itt), mint a pfsense-t.
Ami még buktató lehet (pl. nálam ), h ne akarj mindent elsőre... én is bekapcsoltam mindent IS, végül csak belekeveredtem. A pluginokat előbb olvasd át, nézz videókat, utána rakd fel, ha kell.

Nagyon rárepültem pl. a geo blokkolásra. De nálam semmi értelme (sok videó nézés és tutorial olvasás után)... az annak kell, aki weboldalt üzemeltet, vagy mások kapcsolódhatnak a szerverhez. Alapból a tűzfal befelé blokkol mindent, amit nem bentről kértek, ennyi itthonra elég. Zenarmor is aranyos, de azok a statok... ehh. AdGuard Home ebben jó, egy klikkre lehet tiltani/engedni.

Első körben legyen meg a LAN/WAN port, LAN-ra DHCP, tűzfal be. Az anti lockout szabályt ne töröld... később lehet tiltani a WAN oldalra az SSH-t is, alapból az is engedélyezett, úgy tudom.
Ha saját DNS resolvert is szeretnél, akkor Unbound bekapcsol, tűzfalnál kell egy "terelés", hogy a DNS kéréseket Unbound kapja. Itt is lehet már fekete/fehér listákat kreálni vagy letölteni a netről automatikusan (túlzásba esni nem szabad, vannak jól karbantartott összefoglaló listák). Ehhez nálam jön az AGH, külön konténerben, nem pluginként (ott macerásabb a portokkal variálni, meg így nem egyben pusztul be, van külön mentésem).
A tűzfal az AGH konténerbe tereli a DNS kéréseket, itt csak szűrés van, majd az opnsense/unbound az upstream server, kész.
Utána lehet VPN, tailscale, behúzni az infókat okosotthonba, stb... ha megtetszik, akkor egy (jó hosszú) ideig el lehet vele szórakozni.

Ha lehet kérdésem. Mondjuk egy digis szolgáltatói router miben jobb, mint egy nulla plugines OPNsense vagy Pfsense? Olvastam kicsit visszább, hogy IPS/IDS-re is van lehetőség, ami azért messze több, mint amit bármelyik szolgáltatói router csinál. De ha felteszem, és nincs időm kísérletezni, akkor nyújtja ugyanazt a szintet alapból, mint egy szolgáltatói eszköz, ha rendszeresen frissítem?

[ Szerkesztve ]

Ja azt hittem, hogy parancssorozni kell benne. Ha van GUI-ja, akkor az is jöhet. Gondolom szinte mindegy, az OpenBSD meg állítólag biztonságosabb, mint a FreeBSD. Bár a megfelelő helyen mindenre van zero day törés...

Nekem duplán natolt a dolog, mert nincs bridge mód a routeren. Bekapcsolt tűzfal a routeren és opnsense-ben mégis vannak letiltott befelé jövő kérések... szal. van olyan biztonságos.
IPS-nek olvass utána, fél éve bugos volt én kikapcsoltam, de lehet már javítva lett.

Mondjuk egy digis szolgáltatói router miben jobb, mint egy nulla plugines OPNsense vagy Pfsense?
Miért lenne jobb
Ha semmi mást nem nézünk, csak azt, hogy saját routerrel Te magad tartod kézben a hálózatodat, már jobban jártál.
Már csak hab a tortán:
- okosabb tűzfal (automata szabályok, lebegő szabályok)
- alias használat (plusz ezt használó biztonsági megoldások)
- VLAN kezelés
- DNS szűrés (Unbound beépített!)
- 2FA
- rugalmasan paraméterezhető IPv6
- config a fájlrendszeren tárolva (hordozható)
- VPN
... meg egyebek

Az már más kérdés, hogy neked ebből mi fontos, mit tudsz használni.

Csak a tűzfalra gondoltam, hogy nem e jobb egy szolgáltatói. De akkor ezek szerint mindkettő rendben van. Pontosan ezért akarok saját routert, hogy ne függjek a szolgáltatótól, mert előfordult már, hogy megtörték az internet szolgáltató eszközeit.

A routerben a beépített tűzfal szerintem nem frissül, igazán nem is értem, h mi az, mitől véd meg. A szolgáltatói (pl. Yettel előfizetéses) tűzfalakat nem ismerem, de 1. fizetős, 2. mennyire lehet testreszabni?
Az Unbound nagyszerű, de mint írtam, szűrésre AdGuard Home-t használok. Látni jobban, h ki mit keres, mit blokkol, stb. Szűrők brutálisan testreszabhatók, pár klikkel. Listákat hozzáadni is egyszerű (ezeket Unbound is tudja, csak nehezebben átláthatóan).
Listákból a két legjobb a Steven Black és a ShadowWhisperer lista.

Jah, és még abban is jobb a saját router/tűzfal/DNS szerver, hogy az Unbound nem fog mindent elküldeni a guglinak. A gyakoriakat tárolja, gyorsabban oldja fel, nem netezik örökké (beállítások kérdése). És azt is meg lehet pakolni mindenféle biztonságot növelő bánattal, ahogy a kedved/időd engedi.
AGH-ban az átírás is menő (van opnsense-ben is, de itt átláthatóbb ez is), megadod az IP címet és oda irányítja, instant DNS. Ez persze nem minden oldalnál jó, de a leggyakoribbakat már kiszórtam ezzel.
Shaper... el lehet osztani a sávszélességet, nem lesz az, h a 80 szálon torrent mellett egy e-mail-t nem lehet megnyitni... Valamint a gyermekem is jobban tanul, amióta pár napra átraktam az 1 MBit-es csőbe...

A legtöbbje szerintem véd port scanning ellen. Nem tudom még mik vannak, ha valakinek nincs fent szervere, akkor nincs túl sok dolog, ami ellen védeni kellhet. Én majd egy VPN-t felteszek később.

[ Szerkesztve ]

A kifele menő forgalmat is érdemes figyelni, szűrni. Ezt a szolgáltatói routerek nem teszik meg.
Nekem védelmi eszközként CrowdSec, Zenarmor és NextDNS van hadrendbe állítva.

Köszi mindkettőtöknek!

Hmmm... a Mobilnet modem/router után jön az opnsense nálam. A Mobilnetes cucc is router, egyrészt mert nincs rajta bridge mód, másrészt mert ennek van külső antenna amivel a napelem kap wifit.
A modem logban az van, h az opnsense őt UDP port scan attack-olja
Ki lehet ezt kapcsolni? Beállítás szerint opnsense nem nézegeti, h van-e net, alfogadja, h van. Private és bogon blokkolva a WAN oldalon. Mi generálja ezt az udp scan-t és miért nem láttam korábban?
Köszönöm!

Sziasztok,
Érdeklődnék a Pfsense iránt szeretném megtanulni. Az lenne az első kérdésem, hogy egy Dell 7040 SFF gép(g4400 proci +4gb ddr4 + 500gb hdd) +1 hálókártya elég lenne-e otthoni tűzfalazásra és tanulásra ?

Relative jó egyszálas teljesítmény (ez freeBSD esetén jól jön), AES-NI, tehát a CPU jó lesz. Hosszú távra, kicsit nagy az étvágya, ha ez számít. Érdemes SSD-t használni, HDD helyett. Alapfeladatokra a 4GB RAM elég lesz. Később bővítheted.

[ Szerkesztve ]