Ho passato buona parte del weekend a riconfigurare la mia rete inserendo un firewall software (OPNsense) e segmentando LAN e DMZ.
Al termine della configurazione sembrava tutto OK, ma questa mattina mi accorgo che:
- il 3CX firewall check falliva (dopo che mi ci ero scornato per alcune ore in relazione al “Full Cone NAT”)
- i server in DMZ non riuscivano ad aggiornarsi tramite APT
Davvero non riuscivo a capire cosa bloccasse, le regole erano tutte OK.
Poi, un po’ per caso, un po’ per istinto, ho provato a disabilitare l’ IDS integrato di OPNsense (suricata), ed ecco che tutto ha ripreso a funzionare correttamente.
Armato di santa pazienza, mi sono messo li a provare una regola per volta fino a capire qual’erano le regole incriminate. Eccole quì:
- ET open/emerging-info – questa regola “rompe” il tunellig VOIP
- ET open/emerging-policy – questa regola “rompe” APT
Probabilmente ce ne sono altre che rompono altre cose, se le scopro aggiorno la lista