[cancellato]

Quello che vuoi fare è un pelo ambizioso, se non hai l'esperienza necessaria ti consiglierei di procedere per gradi.

Questo è anche il mio timore. Hai ragione, è meglio procedere per gradi. Comunque, la macchina ha due nic ma credo si possa anche espandere con scheda pcie.

Specialmente la parte di "self-hosting" - che averebbe bisogno di una "DMZ"

Non sapevo questa cosa. Mi informerò. Per ora ho sperimentato con i tunnel di cloudflare su unraid e sono riuscito a fare il selfhosting di nextcloud però ho tirato giù tutto perché non ero abbastanza confidente in quello che avevo creato.

Ora sto guardando i Keenetic consigliati da @Rekko e sembrano interessanti ma non sono documentati come ubiquiti e pfsense. Per quest'ultimi ci sono parecchie guide a prova di idiota e quindi perfette per me 🙂

      SimonBerry sembrano interessanti ma non sono documentati come ubiquiti e pfsense

      Che cosa cercavi nello specifico? La nostra knowledge base è molto estesa ed ha tante guide fatte passo-per-passo, rese semplici per chiunque, inoltre siamo sempre aperti a nuovi consigli/necessità per poterla estendere.
      Abbiamo anche la community apposita, dove basta chiedere per essere aiutati da varie persone che sui Keenetic hanno perso diversi giorni a divertirsi.

      ^L

          SimonBerry Per quest'ultimi ci sono parecchie guide a prova di idiota e quindi perfette per me

          "Ubiquiti" accostata ad "idiot proof" è una contraddizione in termini.

              SimonBerry Ho visto che molti usano l’ubiquiti dream machine ma costa parecchio

              Se non ti interessano i 2.5Gb/s la Ubiquiti ha appena rilasciato l'Unifi Express. Funzionalità simili all'UDM-Pro/SE, ma meno potente.

                Come fa a fare "quello che deve fare" con una sola porta LAN? DMZ, VLANs... Tutto solo via WiFi?

                  mark129

                  "Ubiquiti" accostata ad "idiot proof" è una contraddizione in termini.

                  Nel senso che le guide sono idiot proof, non necessariamente che l'interfaccia di ubiquiti è idiot proof. Non ho mai usato i loro prodotti però cercando su youtube "ubiquiti vlan" vengono fuori parecchi risultati. Ne ho guardato qualcuno e sono piuttosto facili da seguire e capire.

                  Keenetic-Italia

                  Buono a sapersi. Conta che io ho sempre usato solo i router forniti dal isp e il massimo dello "smanettamento" è stato aprire la porta 51820 per far funzionare wireguard sul nas. Quindi il mio livello è piuttosto basso. Idealmente vorrei una guida passo passo per i principianti per una configurazione ottimale delle vlan + regole di firewall per utilizzo IOT/selfhosting con esempi pratici, best practices, a cosa far attenzione, errori comuni, ecc.

                        d1ego Come fa a fare "quello che deve fare" con una sola porta LAN? DMZ, VLANs... Tutto solo via WiFi?

                        RoaS

                          SimonBerry Nel senso che le guide sono idiot proof, non necessariamente che l'interfaccia di ubiquiti è idiot proof. Non ho mai usato i loro prodotti però cercando su youtube "ubiquiti vlan" vengono fuori parecchi risultati. Ne ho guardato qualcuno e sono piuttosto facili da seguire e capire.

                          Parlando in senso stretto dei nostri prodotti, le VLAN sono gestite "ad alto livello", è tutto estremamente semplice.

                          SimonBerry Idealmente vorrei una guida passo passo per i principianti per una configurazione ottimale delle vlan + regole di firewall per utilizzo IOT/selfhosting con esempi pratici, best practices, a cosa far attenzione, errori comuni, ecc.

                          Per questo fai prima a fare un salto sul gruppo telegram (lo trovi in descrizione del profilo), così ti si aiuta per il singolo caso.
                          Per quello che chiedi direi che comunque il nostro OS fa al caso tuo, gestione semplificata di tutto, ma trovi ogni particolare "avanzato" che possa servire per il suddetto scenario.

                              • [cancellato]

                              • Messaggio #14

                              SimonBerry Non sapevo questa cosa.

                              Essenzialmente si tratta di mettere i servizi pubblicati in una rete separata dalla LAN, e con regole di firewall sia WAN - DMZ, sia DMZ - LAN. Così che se anche un servizio è compromesso, l'attaccante non si trova direttamente in LAN con tutto facilmente accessibile. Per massima sicurezza andrebbe fatta con due firewall diversi, si può fare anche con un firewall solo mettendo i servizi su una VLAN separata. Poi ci vorrebbe un reverse proxy, configurazione di certificati per HTTPS, opportuno hardening dei sistemi, ecc. ecc. I container semplificano il deployment ma di per sé non incrementano la sicurezza.

                              Cloudflare ti può dare una mano, ma anche in quel caso va fatta la configurazione corretta, e i servizi non devono essere accessibili altrimenti.

                              SimonBerry Per quest'ultimi ci sono parecchie guide a prova di idiota e quindi perfette per me

                              Attenzione che le guide possono anche essere:

                              • Obsolete
                              • Fatte per requisiti diversi
                              • Basiche, e non adatte a sistemi "in produzione"
                              • Scorrette (capita)

                              A meno che non si stia semplicemente imparando senza nulla di importante in gioco, occorre sempre un minimo di competenze per capire se si è sulla strada giusta o no. Per questo consiglio di procedere per gradi, prima di mettere in linea sistemi con dati "importanti".

                                    [cancellato]

                                    [cancellato] A meno che non si stia semplicemente imparando senza nulla di importante in gioco, occorre sempre un minimo di competenze per capire se si è sulla strada giusta o no. Per questo consiglio di procedere per gradi, prima di mettere in linea sistemi con dati "importanti".

                                    Ok ma quindi tu come procederesti? O dici che non ne vale la pena?

                                    @Rekko @mircolino @[cancellato] Invece una soluzione del genere con pfsense me la bocciate?
                                    Cheap & Capable pfSense/OpenWRT Machine! Fujitsu S920 Router Review

                                    È preferibile un prodotto commerciale?

                                          • [cancellato]

                                          • Messaggio #16

                                          SimonBerry Ok ma quindi tu come procederesti?

                                          Prima configurerei il router e ci prenderei confidenze, quindi passerei a prendere confidenza con le VLAN ed il routing/firewalling per gestire il traffico tra di loro e con l'esterno. Anche se il tutto è virtualizzato, il networking virtuale funziona con gli stessi concetti. Quindi metterei in piedi una DMZ e comincerei a deployarci dei servizi di prova, per prendere confidenza con l'hardening del tutto - hardening dell'OS o dei container, condifurazione e hardening dei servizi (web server, ecc.) reverse proxy, certificati per TLS, ecc. Quando ti senti pronto cominci a mettere in produzione un servizio per volta.

                                          SimonBerry O dici che non ne vale la pena?

                                          I miei servizi sono ormai ospitati su VPS - maggiore affidabilità e meno problemi rispetto a tenere acceso un server in casa. Quando avrò la FTTH è possibile che metterò qualcosa su un serverino locale, ma non servizi indispesdabili.

                                          SimonBerry È preferibile un prodotto commerciale?

                                          Dovrei vedere i dettagli, dipende da cosa vuoi farci girare sopra. pfSense è usato un po' con tutto...

                                                  [cancellato]
                                                  Come reverse proxy avevo provato nginx proxy manager e traefik. I certificati li crea cloudflare. Se non ricordo male, dovrebbe esserci una guida approfondita sul forum ufficiale sull'hardening di unraid. Dovrò studiarmela. Dovrò quindi fare tutta la parte di vlan e dmz quando avrò l'hardware e poi mettere insieme il tutto.

                                                  [cancellato] I miei servizi sono ormai ospitati su VPS - maggiore affidabilità e meno problemi rispetto a tenere acceso un server in casa.

                                                  il server è già presente quindi tanto vale sfruttarlo. In ogni caso dovrei comunque configurare reverse proxy e certificati.

                                                  [cancellato] Dovrei vedere i dettagli, dipende da cosa vuoi farci girare sopra. pfSense è usato un po' con tutto...

                                                  Quello che ho scritto inizialmente. Per ora propendo più verso keenetic anche per una questione di garanzia e supporto tecnico direttamente da loro (ho visto che luca è molto attivo sul gruppo telegram).

                                                          • [cancellato]

                                                          • Messaggio #18

                                                          SimonBerry I certificati li crea cloudflare.

                                                          Se usi Cloudflare il reverse proxy lo fanno loro. Però se termini le connessione TLS solo su Cloudflare tra te e cloudflare i traffico viaggia in chiaro. Inoltre se accetti connessioni anche da sistemi diversi da quelli di Cloudflare, non né la protezione di Cloudflare né quella di TLS. Ovviamente poi da problemi applicativi che possono creare vulnerabilità sfruttabili (mancanza di patch, configurazioni sbagliate, credenziali deboli, ecc.) Cloudflare non ti salva.

                                                          SimonBerry Quello che ho scritto inizialmente.

                                                          Sì, non sono stato chiaro, anche in termini di traffico. Un conto sono servizi che usa una ristretta cerchia di familiari/amici/conoscenti e quindi traffico limitato, un altro servizi a cui accedono molte più persone e che quindi creano un traffico più sostenuto. pfSense poi ha anche una serie di moduli - es. Snort/Suricata, pfBlocker, ecc. - che possono incrementare la sicurezza ma se usati richiedono anche più CPU e memoria, in base al traffico che passa.

                                                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                              P.I. IT16712091004 - info@fibraclick.it

                                                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile