PFsense paravirtualizado no XCP

[Wemerson Couto Guimarães]

Pessoal, boa tarde.

Alguem sabe se existe algum esquema pra rodar o PFsense em pvm o xcp ou xenserver?

--
Wemerson Guimarães
Rio Verde - Go - Brasil

[Keffer]

Nao rola pvm no freebsd ainda

Enviado via iPhone

--
Você recebeu esta mensagem porque está inscrito em Grupo "xen-br" do Grupos Google.
Para enviar mensagens para este grupo, envie um email para xen...@googlegroups.com
Para anular a inscrição neste grupo, envie um email para xen-br-un...@googlegroups.com
Para mais opções, visite este grupo em http://groups.google.com/group/xen-br?hl=pt-BR
Site do GU Xen-BR: http://www.xen-br.org
Antes de enviar sua primeira mensagem leia atentamente as regras para participação no site http://groups.google.com/group/xen-br/web/regras?hl=pt-BR

[Wemerson Couto Guimarães]

Ok.. .entendido... mas e hvm... alguem já rodou o pf numa boa? ficou legal?

[Keffer]

Nao sei até que ponto seria interessante ter um pfsense virtualizado, sendo que ele é voltado para ser usado na borda de links.

Enviado via iPhone

[Wemerson Couto Guimarães]

Isso já foi amplamente discutido aqui na lista... é interessante sim...

[Keffer]

Sim mas a lista não é sobre pfsense

Enviado via iPhone

[Keffer]

Mas com certeza ele vai rodar com as limitaçoes de uma hvm mas irá.

Enviado via iPhone

[Wemerson Couto Guimarães]

Nossa!!! Desculpe!

Sei que é sobre virtualização... por isso perguntei sobre questões do pfs, mas voltadas para a virtualização com xen, que é sobre isso que esse grupo fala correto?

[Keffer]

Me desculpe não quis sr grosseiro 

Mas voltando a dizer as limitaçoes que o hvm tem nao seo se compensa depende do seu uso

Eu particulamente uso muito Freebsd inclusive alguns em hvm mas nada de grande porte

Enviado via iPhone

[Wemerson Couto Guimarães]

Tranquilo, é conversando que a gente se entende!

No meu caso não é grande coisa... é um servidor meia-boca... rs... mais pra laboratório mesmo, mas se ficar bom coloco em produção.

No caso são só x vms... firewall, arquivos/dominio, web, email/zimbra e uma vm windows 2003.

São poucos usuários também, menos de 30... então acho que um modelo com o que estou buscando pode ser interessante. Primeriamente eu tinha testado com o BrazilFirewall, mas ele não rodou legal... ficou muito pesado... a navegação praticamente morreu... com o ubuntu/iptables/shorewall foi show de bola... 

Estou pesquisando pra ver se vira com o pfsense pelo mesmo ser bem light na exigência de recursos...

[Léo Damasceno]

Amigos, tive uma experiência com a execução do pfSense no XenServer. Meu TCC teve o tema: Um modelo de virtualização com software livre, desta forma além de fazer o TCC mostrando as funções do XenSource e XenServer tive a curiosidade de virtualizar um firewall (pfSense), porém quais eram os desafios?

Só existia um, como uma máquina virtual iria ficar na frente da máquina real? Pois qualquer requisição teria que passar antes pela máquina virtual pfSense antes de ir para qualquer outra máquina e virtual e a máquina real respectivamente. "Encontrei" duas soluções:

• Criar uma VLAN entre a máquina virtual na interface especificada e o Switch ou Roteador de borda.
• Definir a máquina virtual como gateway e colocar todas as outras máquinas virtuais e máquinas reais através da interface utilizada para os clientes como LAN. Desta forma, seria executado antes do pfSense um iptables com Guardian + Snort na máquina real. Seria uma redundância de firewall, porém não deixa de ser uma solução.

Espero ter ajudado.

2012/3/3 Wemerson Couto Guimarães <wemer...@gmail.com>

[Wemerson Couto Guimarães]

Eu já fiz isso algo parecido...

Coloquei a VM do firewall com 2 eth... 1 para wan outra pra lan... e pluguei todas as demais vms e máquinas reais na lan... acredito que fica bem seguro...

E o pfsense virtualizado? Como rodou?

2012/3/5 Léo Damasceno <damasc...@gmail.com>

[Léo Damasceno]

Wemerson, neste caso o problema é justamente a segurança, e o Domain0? Ele fica fora da segurança, fica de cara com a internet, e isso não é bom... Derrubando este servidor, os outros irão cair também.

2012/3/5 Wemerson Couto Guimarães <wemer...@gmail.com>

--
Leonardo Damasceno
Bacharel em Sistemas de Informação
Pós graduando em Telecomunicações e Redes de Computadores
Certificado LPIC-1
Certificado Novell
Consultor oficial Debian Gnu/Linux (www.debian.org/consultants)

[Wemerson Couto Guimarães]

hum... saquei...

2012/3/5 Léo Damasceno <damasc...@gmail.com>

[Wemerson Couto Guimarães]

Saquei... mas não tô preocupado com isso nesse momento...

Preciso simplesmente de uma estrutua de firewall + alguns servidores a título de aprendizado... e como não tenho máquinas sobrado vai tudo virtualizado mesmo, inclusive o firewall...

Por isso estou pesquisando se o pfsense é uma boa saída pra virtualizar... tentei algumas opções como o BrazilFirewall e o Zentyal, mas sinceramente não me saí bem virtualizando...

O BFW é formidável, porém pesa demais virtualizado... principalmente com SQUID rodando.
O Zentyal é interessante, mas exige muito hardware... mesmo numa config básica só pra firewall/proxy...

Aí me parece queo PF já exige menos, mas preciso encontrar mais informações sobre rodar ele virtualizado se vale a pena...

2012/3/5 Léo Damasceno <damasc...@gmail.com>

[Léo Damasceno]

Trabalho com pfSense há bastante tempo, ministro cursos e palestras sobre ele, posso te garantir que é uma ótima solução não só para virtualização.

[Wemerson Couto Guimarães]

Realmente...

Fiquei impressinoado com a exigencia de hardware dele... exige muito pouco hardware... eu acredito que ele seja interessante pra virtualizar justamente por conta disso... só falta conseguir colocar ele pra rodar em PVM...

Se ele tivesse pacote pra instalar sobre uma versão do so instalada em PVM ficava fácil... mas pelo jeito só tem a distro fechada né?

2012/3/5 Léo Damasceno <damasc...@gmail.com>

[Léo Damasceno]

Hehehe, PVM não vai funcionar. Se tu quiser usar ele, é necessário ter este como HVM, pois é necessário emular os dispositivos, drivers, bla bla bla...

[Wemerson Couto Guimarães]

Quanto a isso já sei.. rs...

É o jeito... com o BFW também foi assim... pena que ele não tem rendimento...

2012/3/5 Léo Damasceno <damasc...@gmail.com>

[Patrick Sarnighausen]

Utilizo o pfsense, porém não consegui fazer funcionar o XenSource do CentOS 5, então utilizei VMWare Server.

Tenho diversos ips válidos e para cada um tenho um FW.

Mas o que gostaria de comentar mesmo, alguém disse sobre não fazer sentido colocar um firewall como VM pois se colocaria máquina física antes do FW, gostaria de lembrar que em redes TCP/IP o que manda é a interface lógica (IP) e não a física. Se você criar uma LAN separada, uma DMZ, não importa se o FW é físico ou virtual, para o tráfego de pacotes a cara seria a seguinte:

Internet -> roteador -> FW -> demais servidores

[Léo Damasceno]

Amigo, continuo a dizer: O Domain0 fica antes do firewall então isso é um risco. Não importa se é TCP/IP, IPX/SPX. O que acontece é que é criada uma ponte entre a interface do Domain0 que dá diretamente com a internet e a interface virtual para as máquinas virtuais, de uma forma ou de outra o endereço lógico estará associado a placa de rede, onde externamente estará visível. Porém, se não existe problema com isso para o ambiente de vocês, façam.

2012/3/6 Patrick Sarnighausen <pat...@sarnighausen.com>

[Renato C. Pacheco]

Concordo com o Léo. Firewall é serviço de borda de rede, não deve ficar em máquina virtual. Não quer dizer q não funcione, mas existem os problemas de segurança e um deles o Léo já mencionou, que é a exposíção do hospedeiro (XenSource, XCP etc.). Outro problema é a união de vários serviços em um ponto, pois se o hospedeiro falhar, todos ficam sem acesso.
Há a questão do ambiente de cada um. Se houver a necessidade, não sou contra, mas o q não concordo é expor o hospedeiro à rede externa.
--
Renato Carneiro Pacheco

Certificado Linux LPIC-1
Pós-Graduado em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/pub/renato-pacheco/9/b1/5a8

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

[Wemerson Couto Guimarães]

Realmente...

No meu caso é só pra estudos mesmo então não há problema...

[Reinaldo de Carvalho]

2012/3/6 Léo Damasceno <damasc...@gmail.com>:

> Amigo, continuo a dizer: O Domain0 fica antes do firewall então isso é um
> risco. Não importa se é TCP/IP, IPX/SPX. O que acontece é que é criada uma
> ponte entre a interface do Domain0 que dá diretamente com a internet e a
> interface virtual para as máquinas virtuais, de uma forma ou de outra o
> endereço lógico estará associado a placa de rede, onde externamente estará
> visível. Porém, se não existe problema com isso para o ambiente de vocês,
> façam.
>

Não, não é um risco. Mas você precisa ver além para perceber. :P

O fato do firewall estar em uma VM não é uma insegurança por si só. O
dom0 pode se tornar inacessível de várias formas, seja usando um
firewall proprio no dom0 para proteje-lo, seja o dom0 não tendo IP
real, ou criando um subrede a parte entre o gateway e a VM.

--
Reinaldo de Carvalho
http://korreio.sf.net
http://python-cyrus.sf.net

"While not fully understand a software, don't try to adapt this
software to the way you work, but rather yourself to the way the
software works" (myself)

[Patrick Sarnighausen]

Acho que isso vale uma discussão no mundo das VMs.

Particularmente não consigo ver um problema, afinal se eu colocar um ip 192.168.1.1 no Domain0, não poderei acessar a partir da internet sem passar pelo roteamento que o próprio FW eventualmente fará, isso se eu não isolar o Domain0 da DMZ.

Concordo que toda sua infra em 1 servidor físico não é legal, mas se eu tiver 2 servidores só para os FW e controlar as VMs com DRBD e Heartbeat, terei alta disponibilidade.

Ou de uma forma mais manual, um script que caso não consiga pingar um determinado ip de um FW que está em outra máquina, inicialize o FW na sua.

Patrick

[Paulo Henrique]

Aproveitando a discussão
Referente a instalação do pfsense em cima do xenserver. Quando tento
fazer a instalação selecionando "New VM" / "Other install media"
configuro toda maquina virtual, aponto a "iso" do pfsense para
instalação, mas quando inicializa a maquina vrtual o xenserver
simplesmente para de responder ...
Alguém já teve algum problema parecido, solução ?
Obrigado.

On Mar 6, 1:53 pm, Patrick Sarnighausen <patr...@sarnighausen.com>
wrote:

> Acho que isso vale uma discussão no mundo das VMs.
> Particularmente não consigo ver um problema, afinal se eu colocar um ip
> 192.168.1.1 no Domain0, não poderei acessar a partir da internet sem passar
> pelo roteamento que o próprio FW eventualmente fará, isso se eu não isolar
> o Domain0 da DMZ.
> Concordo que toda sua infra em 1 servidor físico não é legal, mas se eu
> tiver 2 servidores só para os FW e controlar as VMs com DRBD e Heartbeat,
> terei alta disponibilidade.
> Ou de uma forma mais manual, um script que caso não consiga pingar um
> determinado ip de um FW que está em outra máquina, inicialize o FW na sua.
>
> Patrick
>
> On Tue, Mar 6, 2012 at 12:00 PM, Reinaldo de Carvalho

> <reinal...@gmail.com>wrote:
>
>
>
>
>
>
>
> > 2012/3/6 Léo Damasceno <damasceno....@gmail.com>:

[Paulo Henrique]

Ninguém pode ajudar?

[Keffer]

Qual versao do xenserver e xencenter ??

Enviado via iPhone

[Paulo Henrique]

Versão 6 do xenserver e do xencenter ...

On Mar 9, 12:41 am, Keffer <keffer...@gmail.com> wrote:
> Qual versao do xenserver e xencenter ??
>
> Enviado via iPhone
>

> > Para mais opções, visite este grupo emhttp://groups.google.com/group/xen-br?hl=pt-BR

[Diego Morais]

Eu também estou querendo saber, li essa discussão toda e não vi solução para a questão inicial!

[Nuno Queiroz Alves]

http://edersg.files.wordpress.com/2013/03/instalacao_pfsense-v1_2.pdf

---

De: Diego Morais <dg.ma...@gmail.com>
Para: xen...@googlegroups.com
Enviadas: Quinta-feira, 12 de Setembro de 2013 15:46
Assunto: [xen-br] Re: PFsense paravirtualizado no XCP

--

--
Você recebeu esta mensagem porque está inscrito em Grupo "xen-br" do Grupos Google.
Para enviar mensagens para este grupo, envie um email para xen...@googlegroups.com
Para anular a inscrição neste grupo, envie um email para xen-br-un...@googlegroups.com
Para mais opções, visite este grupo em http://groups.google.com/group/xen-br?hl=pt-BR
Site do GU Xen-BR: http://www.xen-br.org
Antes de enviar sua primeira mensagem leia atentamente as regras para participação no site http://groups.google.com/group/xen-br/web/regras?hl=pt-BR
 

---
Você está recebendo esta mensagem porque se inscreveu no grupo "xen-br" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para xen-br+un...@googlegroups.com.
Para obter mais opções, acesse https://groups.google.com/groups/opt_out.

[Juliano Araújo Farias]

Isso realmente é muito interessante, se eu pudesse tirar o PfSense da máquina física!

--
--
Você recebeu esta mensagem porque está inscrito em Grupo "xen-br" do Grupos Google.
Para enviar mensagens para este grupo, envie um email para xen...@googlegroups.com
Para anular a inscrição neste grupo, envie um email para xen-br-un...@googlegroups.com
Para mais opções, visite este grupo em http://groups.google.com/group/xen-br?hl=pt-BR
Site do GU Xen-BR: http://www.xen-br.org
Antes de enviar sua primeira mensagem leia atentamente as regras para participação no site http://groups.google.com/group/xen-br/web/regras?hl=pt-BR
 
---
Você está recebendo esta mensagem porque se inscreveu no grupo "xen-br" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para xen-br+un...@googlegroups.com.
Para obter mais opções, acesse https://groups.google.com/groups/opt_out.

--

Atenciosamente,
Juliano Araújo Farias, CobiT

Porque não me envergonho do evangelho de Cristo,
pois é o poder de Deus para salvação de todo aquele que crê;
Romanos 1:16

Keep Moving Foward

Veja também:
Apocalipse 2:21
Efésios 4:28-32
Galatas 5:19-21

[Osvaldo Ramos]

Instalei o pfsense 2.0.3 no xen, está em produção em um ambiente crítico.

Enviado via samsung SII

[Juliano Araújo Farias]

Senhores,

Ótimo, vou implementar aqui na igreja!

Vlw!

[Gunther Boeckmann]

Alguém que tenha o pfsense, podem responder a saída do comando abaixo executado no próprio shell do pfsense:

cat /boot/config-`uname -r` | grep -i xen

Assim podemos descobrir se realmente é impossível ou não rodar o Pfsense paravirtualizado no Xen.

Gunther

[Gustavo Freitas]

eu rodo pfsense em xenserver 6.2 e 6.0 sem problemas..

este comando ai não existe já que é freebsd

[2.0.3-RELEASE][supo...@pfsense.local]/home/suporte.ti(3): cat
/boot/config -`uname -r` | grep -i xen
cat: /boot/config: No such file or directory
cat: -8.1-RELEASE-p13: No such file or directory
[2.0.3-RELEASE][sup...@pfsense.local]/home/suporte(4):

Em 12 de setembro de 2013 16:31, Gunther Boeckmann
<guntherb...@gmail.com> escreveu:

Gustavo Freitas

[Gunther Boeckmann]

Ops, neste caso o comando realmente não funciona. O PFsense é 32 ou 64 bits? Pois 64 bits não funciona.

Não entendi muito de Freebsd, mas dêem uma olhada neste link:

http://wiki.sysconfig.org.uk/display/howto/Xen+FreeBSD+8.2+DomU+%28PV%29+--+Step+by+Step+Howto

Gunther

[Diego Morais]

Olá, gostei dá dica, mas eu estou usando o SO Ubuntu Server 12.04 + Xen + Ganeti.

Essa solução creio que não funcionará.

--

Diego M Andrade

[Gustavo Freitas]

estou usando 64 bits.. sem problemas.. no xenserver 6.2

inclusive tem até uma revista bsd que saiu

http://bsdmag.org/system/articles/attachment1s/15047/original/BSD_09_2013.pdf?1378920221

[Jeann Wilson]

Estou usando o Pfsense com Xen 6.2 com os patches 1 e 2 instalados e
rodando 100%

Enviado via iPhone

[Diego Morais]

Estão usando Linux e ganeti?

Como conseguiram?

mande mais informações, pf

--

Diego M Andrade

[Gunther Boeckmann]

Vocês devem estar usando o Pfsense (FreeBSD) no modo HVM que não é paravirtualização!
Pelo que li, o kernel do FreeBSD só tem suporte a PARAVIRTUALIZAÇÃO (PVM) com o kernel 32 bits recompilado.

O Xenserver não tem suporte ao FreeBSD, por consequência, nem ao Pfsense, porém é possível instalar via "Other Media Install". No entanto, a performance não é a mesma, principalmente se tratando de aplicações de intenso IOBound.

Gunther

Em 12 de setembro de 2013 17:49, Jeann Wilson <wje...@gmail.com> escreveu:

[Wemerson Couto Guimarães]

Gunther... é nessas horas que o proxmox dá um baile...

[Léo Damasceno]

Senhores, voltando ao topico inicial irei dar a minha opiniao.

Acredito que nao seja tao interessante ter o pfSense ou ate mesmo outro firewall virtualizado se o foco eh seguranca da rede local em questao, por que:

- Gerenciamento seria falho, dependendo do hypervisor, por exemplo, XenSource ou XenServer.

- Ao desenhar o diagrama de rede, fica claro que antes do firewall temos o Hypervisor, dessa forma um ataque por exemplo, a um servidor de virtualizacao do tipo SYN Flood, deixaria o Xen em questao sem conexao com a internet, logo, todas as maquinas virtuais, inclusive o pfSense, ficaria sem conexao tambem.

Bom, essa eh a minha opiniao.

2013/9/13 Wemerson Couto Guimarães <wemer...@gmail.com>

--

Kindest Regards,

Leonardo Damasceno
Bachelor of Information Systems
Computer Networking Specialist
Linux Professional Institute Certificated
Novell Certificated

Official Debian Gnu/Linux Consultant

[Gustavo Freitas]

ja falei.. não tenho nenhum problema com pfsense x64..




Em 13 de setembro de 2013 10:20, Wemerson Couto Guimarães
<wemer...@gmail.com> escreveu:

Gustavo Freitas

[Wemerson Couto Guimarães]

Léo... cada caso é um caso...

Eu tenho um DELL Core i7 com  16 gigas de RAM parado e estou estudando para LPI e certificações microsoft e então preciso de uma quantidade razoável de máquinas e uma boa pedida seria usar esse equipamento para ser um bom servidor para minhas maquinas virtuais...

Então, não tem nada de mais em usar firewall virtualizado pra estudar... Como eu disse, cada caso é um caso... Mas realmente, em produção colocar firewall virtualizado na borda vai sacrificar a segurança com certeza

[Léo Damasceno]

Concordo plenamente Wemerson, cada caso eh um caso.

Mas como voce disse, para estudar? Nao vejo problema algum, inclusive eh uma otima pratica.

Ja em ambiente de producao, nao recomendo, digo isso porque ja fiz varios testes em algumas empresas de medio e grande porte. Eh um risco muito grande.

[Gustavo Freitas]

cada caso é caso.. e outra coisa se é um fisco muito grande
como a fortinet disponibiliza virtualizado ?

Em 13 de setembro de 2013 10:44, Léo Damasceno
<damasc...@gmail.com> escreveu:

Gustavo Freitas

[Léo Damasceno]

Gustavo, eh um "fisco" cara, se eu disponibilizar um produto desse, o que tem a ver com a historia?

Nao conheco os servicos da Fortinet, mas se for do jeito que estamos falando, eh um risco.

Voce acha que Amazon e Google trabalham dessa forma? Digo isso porque conheco um pouco da infra estrutura de algumas grandes empresas.

2013/9/13 Gustavo Freitas <gst.f...@gmail.com>

[Gustavo Freitas]

tambem conheço de grandes empresa.. inclusive via vmware e não vejo
nenhum problema..

Em 13 de setembro de 2013 10:50, Léo Damasceno
<damasc...@gmail.com> escreveu:

[Léo Damasceno]

Ok entao, faca bom proveito. Apenas estava dando uma simples opiniao.

2013/9/13 Gustavo Freitas <gst.f...@gmail.com>

[Thalysson Sarmento]

Na verdade a tecnologia está aí disponível e cada um utiliza da maneira que acredita ser melhor.

Utilizar PfSense virtualizado eu uso e não existe problemas, porém não como proteção de borda.

Também conheço grande empresas que utilizaram VmWare e por falha de segurança e principalmente administração tiveram seus ambientes comprometidos. Isso é bem relativo Exemplo:

WAN -> VmWare -> VM-PfSense -> LAN

Fortinet ? Haha É bom conhecer como funciona antes de falar.

"Ah mais aqui funciona ou fulano disse que funciona"-  ótimo então maravilha e que continue funcionando. Mas como falei no início cada um tem sua opinião.

Se querem discutir o que é mais seguro ou não, façam outra thread sobre isso.

--

Thalysson Sarmento

[Gustavo Freitas]

conheço fortinet, uso fortinet tenho conhecimento de causa..

Em 13 de setembro de 2013 11:25, Thalysson Sarmento
<sarm...@bsd.com.br> escreveu:

[Jeann Wilson]

Existe uma forte integração de firewall virtualizado Palo Alto com a
Citrix através do XenServer

Enviado via iPhone