Gå til innhold

Tråden for oss med server router/firewall


Exentler

Anbefalte innlegg

Videoannonse
Annonse
OS: Linux

Maskinvare: Via733Ezra MHz 512MB ram

 

Brukervennlighet:GUI basert og meget enkel å sette opp,dette gjøres på 10-15 minutter avhengig av hvor stor disk som må formateres

 

 

Score: 10

9288456[/snapback]

 

 

OS: Smoothwall ;) skrive hva det heter. ikke hva det erbygget på

 

evt tilføye det.

 

noe annet:

 

å ha webserver på firewall kan jo diskuteres, men den er jo satt bak brannmuren i konfigurasjonen så den vil jo være beskyttet. det fortsatt på samme maskin og er jo kanskje lettere å angripe uten at jeg vet noe om det. ?

Endret av Exentler
Lenke til kommentar

Det er god praksis å begrense antall tjenester så mye som mulig for å minske angrepsflaten. I og med at en firewall er ganske sentralt i et nettverk er det derfor ekstra viktig at den er så sikker som mulig.

 

Tradisjonellt sett har man hatt en server per tjeneste. Men nå kjører man flere tjenester per server pågrunn av virtualisering.

 

At webserveren er "bak firewallen" har ingentign å si. Port 80 er åpen uansett og er sårbar for sikkerhetshull.

 

Alt med måte. er dette hjemmeserver så er det jo careface. Litt nedetid skader vel ingen på gutterommet.

Lenke til kommentar

Har testet smoothwall en uke nå, og kan like godt besvare spørsmålene mine selv.

 

Bytte om på nettverkskort wan - lan om nødvendig.

Gjøres ved innstallasjon. Om du har to eller flere like nettverkskort kan dette være problem. Vet ikke om dette kan forandres i ettertid.

 

Sette fast ip - dhcp etter behov på nettverkskort wanside.

Gjøres ved innstallasjon. Forandres lett i ettertid.

 

Sette ip lanside.

Gjøres ved innstallasjon. Forandres lett i ettertid.

 

Sette opp dhcp, gjerne med fast ip etter macaddresse.

Gjøres ved innstallasjon. Forandres lett i ettertid.

Macaddresse er kun i ettertid.

 

Brannmur, åpne port til en lan ip.

Gjøres lett i ettertid.

 

Brannmur, åpne port til alle lan ip.

Har ikke prøvd ennå.

 

Qos, sikre at voip får sitt, gjerne etter lan ip.

Gjøres lett i ettertid. Ingen mulighet til å sikre bestemt ip tilstrekkelig hastighet. Men dette kan sikres etter service. Ingen mulighet til å fintune opp/ned hastighet via web grensesnittet. Kan dog gjøres i shell (/httpd/cgi-bin/traffic.cgi, linje 153 til 170 og 178-179. Forandrer du et tall i linje 178 må det samme tallet forandres i linje 153 til 170.

 

Begrense hastighet til bestemte lan ip.

Ikke som jeg vet.

 

Dette er hva jeg har funnet ut til nå. Må ikke sees på som endelig innformasjon, særlig siden dette er versjon 3.0 RC1.

Lenke til kommentar

OS: M0n0wall

Maskinvare: Intel Celeron 1GHz, 256 RAM, Hovedkort som funker, 40GB IDE, 3 NICs

 

Brukervennlighet: Jeg vil si det er greit. de grunnleggene tingene er lett å sette opp. når du kommer til de andre tjenstene som traffic shaping og captive portal ( de jeg har brukt til nå) var litt vanskelig med en gang for jeg skjønte ikke helt hvordan jeg skulle sette det opp. Når du forstår logikken i det går det greit.

 

Konfigurasjonmuligheter: Det er en del muligheter for å Konfigurere. Du får satt opp det tjenstene du gjerne trenger. VPN, DHCP, DynDNS, faste ip for en mac addresse +++ ( se screenshoots på hjemmesiden)

 

Annet: Noe jeg oppdaget for litt siden var at du kunne lage flere brukere og bestemme hvilke sider som skulle vises for de forskjellige brukerne. Noe kipt har skjedd og, nå i det siste har m0n0wallen min hengt seg. Får ikke kontakt med, må restartes for å vikre igjen. vet ikke og dette er SW eller HW.

 

Vanskelighetsgrad: 4

 

Score: 7

Endret av Exentler
Lenke til kommentar

Først: for en super tråd. Dette savnet jeg når jeg skulle plukke ut min brannmur.

 

Takker:)

 

OS: Linux

 

Hardware:

Prosessor: Intel Dual Core 1,6Ghz - 511kr

HK: 775 med intergrert VGA - 520kr

Ram: 2 gig DDR2 - 630kr

Kabinett med PSU: 560kr

2 x NIC`s - 340kr

1 x 30 gig HD - gammel haug

 

Sum: rundt 2,000,- for en brannmur av SVÆRT bra kaliber. Knuser alt av routere på markedet i performance.

 

PS!

9

Jeg har kjørt med vesentlig dårligere HW enn dette. Vil tro du klarer deg bra med en Singel Core. Alt fra 800MHz og 512Mb Ram og oppover virker garantert. Content filter bruker veldig mye CPU kraft, så hvis du skal filtrere ut hele webben kan det lønne seg med litt heftigere HW.

 

Kjører Astaro Home Licens, som støtter SMP by default.

Grønn sone - LAN

Rød sone - WAN

(Vurderer å sette opp en egen sone til jobb - VPN sone).

 

Brukervennligheten er etter mitt syn god, men du bør ha god generell forståelse av pc som et minimum. Dokumentasjonen er super.

 

Konfigurasjonmuligheter: Packet filter, Proxy (SMTP, POP3, Generic, SOCKTS, HTTP), Content filter, Dual antivirus scan, e-mail kryptering, super loggføring, SNORT med auto block osv. Spam prodection med RBL, Greylist osv.Denne har også en Spam quarantine manager, som jeg ofte savner hos andre Linux distroer. Du kan ikke trene filterert. Du kan ha så mange soner du vil; f.eks. DMZ, wireless osv. Astaro kommer som fully closed. DVS at alt er blokert inn og ut (minus noen få porter som må være åpne for at U2date skal fungere). Alt er via GUI eller tekst hvis du ønsker det.

 

Annet: Sluker resursser - så du bør ha en brukbar pc til jobben. Jeg har prøvd så og si alt av bannmurer av typen "open Source", og ingenting kommer i nærheten når det gjelder "pro - følelse", og kompleksitet.

 

Den har en begrensing på 10 IP`er (IP`er som har WAN connection), og kun 1000 connections. Jeg kommer sjelden over 600 og aldri i nærheten av 1000. Har lest at det kan bli noe knapt med kun 1000 connctions hvis du driver med fildeling.

 

Vanskelighetsgrad': (1 lettest, 10 vanskeligst) 7/8 - hvis du er Novice - 5 - hvis du har litt erfaring med Advanced brannmur (nei jeg snakker ikke om "router-brannmur").

Iforhold til Smootwall er denne en del vanskeligere etter mitt syn - så har dere noe å sammenligne med. Kan jo nevne at SW2 kommer som all open out som default, mens Astaro er all closed. Dette kan være litt "tricky", men med den glimrende live loggen kan du se hvor skoen trykker til en hver tid.

 

Score: 10`er. Denne er best i overall.

 

Kjører egen mail, hjemmeside, og har 5 private pcer , hjemmekontor med en del utstyr, nettverksprinter, LAN mediespiller. Den router med lynets hastighet, og blokerer alt av spam. Er super fornøyd.

 

Lenker:

LIVE DEMO: http://demo02.astaro.com/

Hjemmeside: http://astaro.com/

Knowledgebase: http://www.astaro.com/kb/

Sign-on: https://my.astaro.com/login.php

 

 

Du får en 30 dagers licens, som du oppgraderer til full HOME Licens. Her er det integrert 3års abbonoment på; Antivirus, web filter, og e-mail encryption.

 

EDIT

La til Live demo - denne er super. Du får et meget godt innblikk av Astaro V7.

 

Lykke til!

Endret av Adiabatisk
Lenke til kommentar
  • 4 uker senere...

Ok.

 

Nå har jeg installert Smoothwall på en maskin jeg har stående og skal sette det i bruk, men har et par spørsmål først.

 

I dag har jeg :

adsl-modem

|

wrt54g -> trådløst: 2xlaptop og squeezebox kabel: filserver

|

"cnet-5ports-switch" -> printer og ip-tlf

 

Har også en wl-500g router som står trådløst oppkoblet mot wrt54g og får nettverk på en xbox.

 

Så da er mitt spørsmål, hvordan blir dette på mitt nye nettverk?

Slår jeg av dhcp funksjonen i wrt54g? Blir den da som en trådøst switch?

Burde jeg koble om noe? Feks, sette cnet switchen ut av min nye SW router istedet for wrt54g?

 

Tenkte å bruke Orange etterhvert, derfor har jeg lagt til den og, men skal ikke brukes i første omgang.

post-83693-1190659005_thumb.jpg

Lenke til kommentar
queezebox kabel: filserver

 

hva for noe ?

 

men vil anbefale å kjøre dhcp server på smoothwall. og skru av på de andre

 

det tråløse routerene settes opp bare som trådløse sendere (uten brannmurer og routing)

 

det blir noe sånt vel : http://home.online.no/~gurands/Tegning1.jpg

 

må vel åpne porter til ip telefon ?

Endret av Exentler
Lenke til kommentar

Trådløst: trådløst: 2xlaptop og squeezebox

Kablet: filserver

 

Var bare hvordan tingene var koblet til wrt54g.

 

Men hvordan slå jeg av router funksjonen i wrt54g?

Er det bare å slå av dhcp funksjonen i den og så bare koble til på Lan portene og la WAN porten være ukoblet?

 

Bildet ditt sto det bare smoothwall på.

 

Oppdatert, bildet ditt funker nå.

Endret av everlong
Lenke til kommentar

skriv noe nyttig hvis du skal ha den i mine innegg. :p

 

kobler bare routerne til lan porten

 

å disable routing er bare å velge "disable" under setup, basic setup.

 

evt. du får opp da : "Assign WAN Port to LAN Switch"

 

er sånn med DD-WRT firmware.

 

du slår av dhcp funksjonen, men setter på forwarding til smoothwall ipen.

Endret av Exentler
Lenke til kommentar

Har nettopp satt opp smoothwall på en pc jeg har liggende med 3 nettverkskort, grønn, orange og rød sone. Har så koblet adsl modemet mitt på rød sonen, og en switch på den grønne. Men nå jeg kobler meg på switchen får jeg ikke noe internett, står bare Looking up www.vg.no feks og etter et par sekunder stopper den, men jeg får kontakt med smoothwall. Men kobler jeg meg direkte på adsl modemet får jeg internett. Er det noe man må gjøre for å få aktivert smoothwall på en måte?

 

HAr ikke stilt på noe spesielt utenom å satte på dhcp på grønn og rød sone.

Har prøvd med både static og dhcp på rød sone.

 

Jeg har speedtouch 546 adsl modem fra NGT om det skulle bety noe.

Lenke til kommentar

Jo, men out of the box med dhcp på rød sone så skal vel alt fungere? Jeg får alt på mitt lokale nett til å funke, kontakt pc'ne mellom seg. Logget på smoothwall og gjort endringer, men når jeg skal prøve noe som krever internett funker ikke noe.

 

Med DHCP på rød sone, virker det s om det er null kontakt, hvertfall ser det slik ut på Control -> Home.

 

Setter jeg den til statisk og feks 10.0.0.5 så får jeg opp tilkoblet på Control -> Home,

men internett funker fremdeles ikke.

 

Nå har jeg et Speedtouch 546 Adsl-modem og har prøvd å slått av dhcp på den uten hjelp.

Lenke til kommentar

OS: OpenBSD

Maskinvare: P3 1GHZ 128MB minne 250GB disk (NAS)

Brukervennlighet: 1/10 hvis du ikke har vært borti console før.

Konfigurasjonmuligheter: Her er det kun hodet som setter grenser

Annet: Er et fullverdig OS med horder av muligheter

Vanskelighetsgrad: 2/10, du må være glad i å lese.

Score: 10, definitivt.

 

Måten jeg har gjort det på, er ved å bruke 3 NIC.

1.NIC - Internett

2.NIC - Kablet nett til trådløst AP

3.NIC - Kablet nett til stasjonær

 

På det trådløse nettet (som er helt uten kryptering) har klientene kun tilgang til gitte DNS tjenere, webtjener som kjører lokalt på 2.NIC og en OpenVPN server.

Alle porter er stengt, untatt udp/53 til de gitte DNSservere og tcp/80 lokalt.

Alle webforespørsler, uansett destinasjon blir forwardet til den lokale webtjeneren som gir klientene et pent bilde av Uncle Sam som sier at de ikke har noe her å gjøre.

For å komme seg på nett må klientene så koble seg til ved hjelp av en kryptert OpenVPN tunnel med TLS handshake.

 

Når klientene er tilkoblet VPN får de en annen fastsatt IP, en rekke porter automatisk forwardet, tilgang til Sambasharet og ellers full tilgang til Internett.

 

Videre går alle utgående pakker gjennom QoS (ALTQ) som prioriterer en rekke tjenester.

 

3.NIC blir bridget inn i dette VPN nettverket, slik at alle vanlige workgrouptjenester fungerer.

 

Det er i området her en tjutalls forskjellige WLAN, men oppsettet mitt har vist seg bunnsolid og jeg kan se at det er mange "forbipasserende" innom som hilser på Uncle Sam.

 

Hvorfor bruker jeg ikke WEP/WPA(2) på det trådløse? Jo, fordi trafikken som går gjennom VPNnettet allerede er kryptert og blir innkapslet i TCP (dette for å ikke spamme det trådløse nettet med UDP pakker).

 

Jeg benchet oppsettet i sin tid da jeg hadde 10000/2000 linje, og den gang hadde jeg en 663MHZ celeron som slet med torrents på full guffe. Derfor byttet jeg den ut med en p3 1GHZ som fint klarer dagens 12000/1000.

 

En siste veldig kjekk ting med å benytte seg av VPN, er at man kan tillate oppkoblinger fra Internett. Følgelig sitter jeg da alltid når jeg er på farten og bruker hotspots rundt omkring, med en skikkelig kryptert tunnel hjem for å være på den sikre siden.

Endret av Zerge
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...