GoldenLine
Zaloguj się
Łukasz Kisielewicz

Łukasz Kisielewicz :]

Temat: Firewall dla małej sieci - co wybrać?

Witam,

Mam małą sieć, w której pracuje około 40 użytkowników. Chcę stworzyć router dla takiej sieci, wykorzystując mały serwerek z dwoma kartami sieciowymi.

Wymagania jakie mam są niewielkie:

- brama musi wspierać QoS: najważniejsze jest abym mógł ulepszyć jakoś połączeń Skype. W tej chwili wygląda to różnie, w zależności od tego ile osób korzysta z sieci.
- spełniać rolę serwera VPN, aby zdalni użytkownicy mogli korzystać z zasobów sieci lokalnej.

Zdaję sobie sprawę że są dedydkowane urządzenia, ale ja chciałbym wykorzystać nieużywany serwer. Możecie mi polecić jakieś softwareowe rozwiązanie? Do tej pory chodzi wszystko na debianie w oparciu o napisane kiedyś regułki iptables.Łukasz Kisielewicz edytował(a) ten post dnia 12.04.11 o godzinie 09:02
Link do wypowiedziLink
Michał Ł.

Michał Ł. Doświadczenie jest
czymś, co zdobywasz
wtedy, gdy
przesta...

Temat: Firewall dla małej sieci - co wybrać?

Hej

Nie wiem czy ma to wszystko czego chcesz ale poczytaj o vyatta.

Michał
Link do wypowiedziLink
Paweł C.

Paweł C. ,

Temat: Firewall dla małej sieci - co wybrać?

Jesli juz musi byc darmowe, to polecam Endiana http://www.endian.com/en/community/download/

Toto ma wszystko czego potrzebujesz, ladne GUI, VPN IPSec oraz OpenVPN, QOS, IPS, antywirus oraz antyspam. Sprawdzone w paru instalacjach dzialajacych juz po pare lat.
Link do wypowiedziLink
Łukasz Kisielewicz

Łukasz Kisielewicz :]

Temat: Firewall dla małej sieci - co wybrać?

A czy mozna na tym instalować dodatkowy software?
Link do wypowiedziLink
Paweł C.

Paweł C. ,

Temat: Firewall dla małej sieci - co wybrać?

Co to znaczy dodatkowy software?
Link do wypowiedziLink

konto usunięte

Temat: Firewall dla małej sieci - co wybrać?

Ja mam bardzo dobre doswiadczenia z Fortinet, a konkretnie z http://www.fortinet.pl/produkty/fortigate-appliances/f... - na Twoj setup to pewnie za duze, ale ktorys z mniejszych modeli powinien Ci przypasowac. Godne uwagi jest to, ze sprzet jest robiony przez ludzi, ktorzy swego czasu odeszli z Brocade'a, lacznie z tym ze CLI jest identyczne :)

EDIT: sorry, przegapilem info ze to ma byc software. Niemniej jednak zostawiam dla potomnych.Rafał P. edytował(a) ten post dnia 12.04.11 o godzinie 11:18
Link do wypowiedziLink

konto usunięte

Temat: Firewall dla małej sieci - co wybrać?

Rafał P.:
Ja mam bardzo dobre doswiadczenia z Fortinet, a konkretnie z http://www.fortinet.pl/produkty/fortigate-appliances/f... - na Twoj setup to pewnie za duze, ale ktorys z mniejszych modeli powinien Ci przypasowac. Godne uwagi jest to, ze sprzet jest robiony przez ludzi, ktorzy swego czasu odeszli z Brocade'a, lacznie z tym ze CLI jest identyczne :)

EDIT: sorry, przegapilem info ze to ma byc software. Niemniej jednak zostawiam dla potomnych.Rafał P. edytował(a) ten post dnia 12.04.11 o godzinie 11:18
Dla tak małej grupy ludzi spokojnie wystarczy i fg-50b ;)
Niestety, rozwiązania software only ;)Marcin Bojko edytował(a) ten post dnia 12.04.11 o godzinie 11:29
Link do wypowiedziLink
Paweł C.

Paweł C. ,

Temat: Firewall dla małej sieci - co wybrać?

Marcin Bojko:
Rafał P.:
Ja mam bardzo dobre doswiadczenia z Fortinet, a konkretnie z http://www.fortinet.pl/produkty/fortigate-appliances/f... - na Twoj setup to pewnie za duze, ale ktorys z mniejszych modeli powinien Ci przypasowac. Godne uwagi jest to, ze sprzet jest robiony przez ludzi, ktorzy swego czasu odeszli z Brocade'a, lacznie z tym ze CLI jest identyczne :)

EDIT: sorry, przegapilem info ze to ma byc software. Niemniej jednak zostawiam dla potomnych.Rafał P. edytował(a) ten post dnia 12.04.11 o godzinie 11:18
Dla tak małej grupy ludzi spokojnie wystarczy i fg-50b ;)
Niestety, rozwiązania software only ;)Marcin Bojko edytował(a) ten post dnia 12.04.11 o godzinie 11:29


A szef Fortineta jest z bylego Netscreen...
Co do 40 userow i FG50B, samo urzadzenie jest ze starszych serii, teraz wchodza juz "C", dodatkowo zycie mnie nauczylo, ze kupowanie urzadzen tego typu na "styk" jest dosc ryzykowne. Pytanie jest takie na jakiej funkcjonalnosci nam bardziej zalezy, jesli na bdb VPN SSL, to fortinet, bo w zadnym urzadzniu nie znajdziemy podobnego licencjonowania tej uslugi :) podobnie jest z filtrem URL, fortinet tu tez wygrywa, a mam porownanie, bo posiadam rowniez urzadzenia Sonicwall'a czy Watchguarda i mowie to z praktyki nie z folderu reklamowego :)
Link do wypowiedziLink
Michał J.

Michał J. Starszy
Administrator
Systmów i Sieci

Temat: Firewall dla małej sieci - co wybrać?

Hmm.. Linux + openvpn + iptables + HTB + esfq.. to napewno da rade :)Michał J. edytował(a) ten post dnia 12.04.11 o godzinie 15:59
Link do wypowiedziLink
Jarosław Szczygieł

Jarosław Szczygieł Informatyk -
Telkom-system Sp. J

Temat: Firewall dla małej sieci - co wybrać?

Pewnie że da, ale proponuje ci vyatta lub co lepsze ClearOS. Spełnia wszystko o czym mówisz a nawet więcej, konfigurujsz przez www (jest to CentOS z zarzadzaniem przez www) ma to openvpn, vpn ipsec, mozna wybrac do tego serwer pocztowy ze wszytskimi bajerami itd itd,

polecam , jest wersja darmowa ale i platna. Dla twoich potrzeb darmowa wystarczy.

ClearOS jest po prostu najlepsze polecam.
Link do wypowiedziLink
Tomasz Turek

Tomasz Turek Administrator Sieci
i Systemów
Komputerowych

Temat: Firewall dla małej sieci - co wybrać?

Vyatta jeśli chcesz zrobić coś stabilnie. Trzeba się nakonfigurować ale jakość zadowala (tak jakby się Cisco miało). Jeśli chcesz coś "lekkiego" polecam M0N0'wall. Extra na takie projekty. Ewentualnie MikroTik. vyatta i m0n0 za free, za MT trza zapłacić ale niewielkie pieniądze. sieć będzie śmigać aż miło.
Pozdrawiam
Link do wypowiedziLink

konto usunięte

Temat: Firewall dla małej sieci - co wybrać?

Paweł C.:
Co do 40 userow i FG50B, samo urzadzenie jest ze starszych serii, teraz wchodza juz "C", dodatkowo zycie mnie nauczylo, ze kupowanie urzadzen tego typu na "styk" jest dosc ryzykowne.
Na szczęście z wejściem patch3 w zużycie pamięci i cpu spikowało mi w dół.
Pytanie jest takie na jakiej funkcjonalnosci nam bardziej zalezy, jesli na bdb VPN SSL, to fortinet, bo w zadnym urzadzniu nie znajdziemy podobnego licencjonowania tej uslugi :)
Owszem, aczkolwiek zmusić do pewnych rzeczy forticlienta jest trudno.
podobnie jest z filtrem URL, fortinet tu tez wygrywa,
Jeżeli masz na myśli FortiGuard Web Filtering to wszyscy oferują podobne rozwiązania, aczkolwiek na fortigejtowym jeszcze się nie zawiodłem (szybkie aktualizacje, duży cache na urządzeniu, nawet dolnopółkowym)
mam porownanie, bo posiadam
rowniez urzadzenia Sonicwall'a czy Watchguarda i mowie to z praktyki nie z folderu reklamowego :)
Akurat mnie do FG przekonywac nie trzeba - ale jeszcze raz: wątek o rozwiązaniu software'owym ;)
Link do wypowiedziLink

konto usunięte

Temat: Firewall dla małej sieci - co wybrać?

Łukasz Kisielewicz:
Zdaję sobie sprawę że są dedydkowane urządzenia, ale ja chciałbym wykorzystać nieużywany serwer. Możecie mi polecić jakieś softwareowe rozwiązanie? Do tej pory chodzi wszystko na debianie w oparciu o napisane kiedyś regułki iptables.

Hej,

Skoro chcesz wykorzystać nieużywany serwer a teraz wszystko chodzi na debianie to nie rozumiem w czym problem? Przecież masz gotowe rozwiązanie :)
Linux wspiera wszystko czego potrzebujesz :)
Link do wypowiedziLink

konto usunięte

Temat: Firewall dla małej sieci - co wybrać?

Jeśli już zdecydujesz się na Linuksa, to do QoS dla Skype polecam http://l7-filter.sourceforge.net

Działa, testowane na produkcji. Przy wysyconym łączu, odpowiednich regułach HTB i markowaniu pakietów poprawiało jakośc Skype.
Obecnie l7-filter (w starszej wersji, wkompilowanej w jądro) używam dla łącza 250mbit i filtry l7 nie "mulą".

Poczytaj tylko o CONNMARK a _nie_ MARK, bo w sieci jest mnóstwo błędnych przykładów.Bartłomiej K. edytował(a) ten post dnia 12.04.11 o godzinie 20:40
Link do wypowiedziLink

konto usunięte

Temat: Firewall dla małej sieci - co wybrać?

Ja od 8 lat mam spreparowanego Debiana, hfsc/htb/imq/layer7, wystarczał na podobne jak u Bartłomieja łącza. Co parę miesięcy nowe kernele, patche, filtry itp...Marcin Bojko edytował(a) ten post dnia 12.04.11 o godzinie 20:45
Link do wypowiedziLink

konto usunięte

Temat: Firewall dla małej sieci - co wybrać?

Firewall czy router? ;>

A tak serio: za darmo, sam używam w domu.. ładne, klikane, proste do ogarnięcia.
U mnie w domu biega sobie na p3 z 300MB ram.
Firewall, gateway, squid z antywirusem (dla windzianych stacji). rysuje wykresiki obciążenia cpu, łącza itp.
Da się wykllikać ha, load balancing. Oparte jest na FreeBSD i da się skonfigurować w ~30 minut.
http://www.pfsense.org
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Firewall dla małej sieci - co wybrać?

Tomasz Turek:
Vyatta jeśli chcesz zrobić coś stabilnie. Trzeba się nakonfigurować ale jakość zadowala (tak jakby się Cisco miało).

Miałem nie zabierać głosu w tym wątku ale bez takich tekstów bym prosił. Bo to się nawet nie nadaje do skomentowania. Trochę jak porównywać model auta do samodzielnego składania od samochodu z salonu. Inne podejście, inna filozofia, inny produkt, ...

Krzysztof
Link do wypowiedziLink
Łukasz Kisielewicz

Łukasz Kisielewicz :]

Temat: Firewall dla małej sieci - co wybrać?

Oskar Wyciślak:
Hej,

Skoro chcesz wykorzystać nieużywany serwer a teraz wszystko chodzi na debianie to nie rozumiem w czym problem? Przecież masz gotowe rozwiązanie :)
Linux wspiera wszystko czego potrzebujesz :)


Debian spisuje się bardzo dobrze, chodzi stabilnie... tylko reguły HTB które mam nie sprawdzają się. Skype nie chodzi jak powinien
Link do wypowiedziLink

konto usunięte

Temat: Firewall dla małej sieci - co wybrać?

Łukasz Kisielewicz:
Oskar Wyciślak:
Hej,

Skoro chcesz wykorzystać nieużywany serwer a teraz wszystko chodzi na debianie to nie rozumiem w czym problem? Przecież masz gotowe rozwiązanie :)
Linux wspiera wszystko czego potrzebujesz :)


Debian spisuje się bardzo dobrze, chodzi stabilnie... tylko reguły HTB które mam nie sprawdzają się. Skype nie chodzi jak powinien

l7 filter
Link do wypowiedziLink

konto usunięte

Temat: Firewall dla małej sieci - co wybrać?

Łukasz Kisielewicz:
Debian spisuje się bardzo dobrze, chodzi stabilnie... tylko reguły HTB które mam nie sprawdzają się. Skype nie chodzi jak powinien

Skype nie chodzi jak powinien, bo samym HTB po portach czy IP tego nie wyfiltrujesz. Rozwiązanie podałem wyżej l7-filter. Musisz oznaczać _połączenia_ Skypeowe l7 a potem odpowieni fwmark wrzucać do klas HTB.

Odnośnie firewalli znanych firm, ciekawostka:
http://www.networkworld.com/news/2011/041211-hacker-ex...
Tylko Check Point dał radę :) Reszta dopiero szykuje poprawki.Bartłomiej K. edytował(a) ten post dnia 13.04.11 o godzinie 15:14
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj