Brannmur til hjemmenettverket

[P0nduz]

Hei

 

Jeg trenger å kjøpe en ny brannmur til nettverket hjemme da min cisco sa520w ikke holder mål lenger.

 

Det jeg trenger er en firewall med minst 4 gigabit porter for lan og 1 wan kontakt.

Den må støtte flere vlan

Den må gjerne ha mulighet til å lage grupperegler og regler bassert på vlan i firewall

Den må ha DHCP funksjon for hvert vlan

Den bør ha over 1Gb trougput i firewall.

 

Prisramme ca 5000 kr

 

Mvh

JC

[rhaugli]

Ta en titt her. Veldig bra disse!

http://www.dustinhome.no/ProductCompare.aspx?CompareProdID=5010145004,5010145009,5010483133,

[[Infected]]

Med slike krav kommer du nok ikke unna med den prisen uten aa bygge selv,

men 1Gbit trenger egentlig ikke saa veldig kraftig maskinvare, og 5k skulle vaere mer enn nok til en top-notch pc basert router

 

siden du allerede har erfaringer med Cisco skulle BSD baserte pfSense egentlig gjore det meste av det du er ute etter og litt til, relativt uten at dette skulle fore til noen videre storre problemer.

 

Akkurat maskinvaren som trengs kommer ann paa behov, om du vil holde hastigheten selv under sustained ser du vel paa en 2-4 core nyere-gen maskin med ett par gigabytes med ram, noen dugende nettverkskort er ogsaa viktig

[Stigma]

Med budgett på 5000 så hadde jeg seriøst vurdert å mekke en egen PC til bruket. Den finnes meget god gratis firewalling software (egentlig OS-og-software-i-ett), og du kan bygge seriøst overpowered hardware inn til lang under et slikt budsjett.

 

Det finnes gode softwareløsnnger som pfsense som jeg er rimelig sikker på dekker alle de funksjonskravene dine - og når du bygger hardwaren selv så kan du selv velge (og senere evt. utvide) antall gigabit porter.

 

Hvilken hardware du skal basere deg på kommer litt ann på bruksområdet. Skal det gjøre noe avansert traffick-shaping også, eller bare firewalling og andre slike relativt lette oppgaver? Hvis ikke så tror jeg Infected overdriver ganske sterkt på hardware-kravene. Det er traffic-shaping som eter CPU ressurser. Resten er easy-peasy for en skikkelig PC-CPU, selv en relativt beskjeden en. Også kjekt å vite om det er noe slags prioritering at det skal være lydløst f.eks. og om det helst skal være lite (i m-atx formfaktor f.eks).

 

-Stigma

Endret 9. januar 2012 av Stigma

[[Infected]]

Trenger saapass for sustained, spesielt over saa mange nics.. selvfolgelig som sagt er jo dette om man skal gjore litt mer avanserte saker, men 2-4 core for sustained er kurant det om man skal se litt dypere inn i ting (IDP/DPI etc.).

 

klart om man ikke trenger sustained eller avanskerte funksjoner for den del, kan jo det meste P4 gen (Atom inkludert) og opp "PC-CPU" baserte routere gjore jobben

[Stigma]

' timestamp='1326076296' post='18813500']

Trenger saapass for sustained, spesielt over saa mange nics.. selvfolgelig som sagt er jo dette om man skal gjore litt mer avanserte saker, men 2-4 core for sustained er kurant det om man skal se litt dypere inn i ting (IDP/DPI etc.).

 

klart om man ikke trenger sustained eller avanskerte funksjoner for den del, kan jo det meste P4 gen (Atom inkludert) og opp "PC-CPU" baserte routere gjore jobben

 

Muligens. Hvis bruksområdet tilsier at den bør takle konstant trafikk på alle porter pga. en eller annen spesiell årsak så kan jeg kanskje se det for meg. Det er dog rimelig ekstremt Jeg skal inrømme at jeg aldri har bygget noe som skulle takle slike krav før.

 

In any case - en mid-end desktop CPU (spesielt en quadcore) vil jo gi power i bøtter og spann for en billig penge når du bygger selv, så hvis slike strenge krav til ytelse i det hele tatt er et issue så kan man like godt overdomensjonere litt BLir litt samme med RAM liksom. En gig fra eller ting koster jo peanuts og vil i firewall-sammenheng være en overflod av ressurser (men det er jo aldri feil hehe).

 

Kunne tenke meg at om vi faktisk skal skalere forbi noe slikt som en atom i ytelse - så kan en Intel CPU fra en av de to siste generasjoene være ideell - rent utifra av at disse har ekstremt bra powergating (som AMD ikke er i nærheten like god på enda). Jeg kan tenke meg at uansett evt. ekstreme krav til dette være en allways-on enhet som sikker vil idle mye av tiden som nettverksutstyr tross alt ofte gjør. Da er det ikke dumt å ha en CPU som bare trekker ca 4-6watt i idle. Fullt mulig å lage et "powerhouse" av et system som går på kanskje 35-40watt alt inkludert. Avhengig av krav kan det være greit på mange måter - spesiellt for å stå i et privat hus.

 

-Stigma

Endret 9. januar 2012 av Stigma

[[Infected]]

Klart om TS ikke trenger ekstrembruk saa er nok en Atom eller lignende det beste alternativet, eneste problemet med Atomet er vel bus og slikt, samt at det er vanskelig aa faa noe utover 1stk pci.. klart kan jo gjore VLAN i switch'en og sub-interfaces og slikt, men enklere med ett nic/port per vlan

 

grovt over anebfaler jeg 1 core per nic om man trenger avansert IDP/DPI paa gigabit.., klart det er vanskelig aa si uten aa vite noe mer om hva TS egentlig er ute etter.

 

TS sier 1 gigabit, men om routeren vil for det meste idle er jeg nok helt enig i at energieffektivitet det viktigste og mest fornuftige faktoren i valg av maskinvare til en slik router.

Endret 9. januar 2012 av [Infected]

[P0nduz]

Siden jeg startet denne tråden i 2010 har nok kravene endret seg en del

 

I dag har jeg en pfsense installasjon på en HP ProLiant DL380 sammen med noen andre servere bassert på wmvare:)

[Stigma]

Siden jeg startet denne tråden i 2010 har nok kravene endret seg en del

 

I dag har jeg en pfsense installasjon på en HP ProLiant DL380 sammen med noen andre servere bassert på wmvare:)

 

oi, haha. NEcrothread of the year. Lurer på hvordan slike oppstår i det hele tatt

 

-Stigma

[Gjest Slettet-Pqy3rC]

He, he... magisk thread respawn.

 

Btw;

Jeg kjører (også) pfSense 2.0.1 på Atom (X7SPA-H kortet) hjemme, funker bedre enn det meste.

[rhaugli]

Jeg har nettopp kjøpt meg en Zyxel ZyWall USG-50 og er STRÅLENDE FORNØYD!

[tingo]

Jeg testet pfSense her for en måned siden omtrent, men valgte den bort fordi det ikke var enkelt å få til støtte for en spesiell type funksjonalitet som jeg benytter (spesifikt: "statiske" ip adresser via DHCP server). Bortsett fra dette, så likte jeg pfSense godt.

[Gjest Slettet-Pqy3rC]

Jeg testet pfSense her for en måned siden omtrent, men valgte den bort fordi det ikke var enkelt å få til støtte for en spesiell type funksjonalitet som jeg benytter (spesifikt: "statiske" ip adresser via DHCP server).

Uh?

De IP'ene legger du jo bare inn i DHCP serveren, relatert til MAC. Bare pass på at de er utenfor "Range" avsatt for ikke-statiske.

[tingo]

Uh?

De IP'ene legger du jo bare inn i DHCP serveren, relatert til MAC. Bare pass på at de er utenfor "Range" avsatt for ikke-statiske.

Det var derfor jeg skrev "statiske" slik; jeg benytter parametret dhcp-client-identifier på maskiner som skal ha statisk ip adresse, slik at jeg kan ha samme ip adresse på en maskin på tvers av både forskjellige operativsystemer og forskjellige nettverkskort.

Enklere å sette opp enn MAC-adresse, som er per nettverkskort.

[k-ryeng]

Høres ut som MikroTik kan være noe for deg: http://www.mikrotik.com/

Norsk distributør er http://www.nordix.no/default.asp?page=46