forvirretoggal Skrevet 27. februar 2012 Del Skrevet 27. februar 2012 Hallo. Jeg er på jakt etter anbefalinger for et Linux Distro som har støtte for: * Multi-WAN (PPPoE fra ISP) * IPSec * QoS * Kunne kjøre på noe eldre HW; P4 2,4GHZ CPU, 2GB RAM, 40GB IDE Disk Det er et pluss, men ikke et krav, om den også støtter: * VLAN * IDS Systemer * Loadbalancer Bakgrunnsinformasjon: Bedriften kjører i dag SmoothWall Express 3.0; og den har det meste av de ovenstående funksjonene. Problemet oppstår da vi må ha flere linjer fra ISP for å få en bedre hastighet (det er kun utbygd for ADSL opptil 16/0,8mbps per i dag). Da vi skal ha en IPSec VPN til en av våre samarbeidspartnere, må vi også ha en SHDSL linje i tillegg til ADSL linjen vi har i dag. Tanken er at VPN tilkoblingen skal gå dedikert over SHDSL linja, men kan bruke ADSL linja ved behov. Foreløpig har jeg sett på Vyatta, ClearOS, SmoothWall UTM, SonicWall, pfSense, m0n0wall, ipcop og de fleste andre på denne siden. Jeg har også sett på hardware-brannmurer med støtte for multi-wan, men da vi ikke vet hva fremtiden bringer av nye krav til brannmur, er det idiotisk å investere et 5-sifret beløp nå, for å kanskje om 3-4 måneder gjøre samme investeringen igjen. På en linux distro går det i hvert fall å bare kjøpe nytt NIC til noen hundrelapper Jeg har prøvd ut Vyatta på 30 dagers trial, men fikk ikke helt sansen for den. Utenom Smoothwall UTM; hva har dere erfaring med, som er lett å sette opp og konfigurere for å kunne vokse uten behov for å bytte ut GW igjen? Anbefalinger? Erfaringer? Tips? Takknemlig for svar og informasjon. PS: Det er et ekstra pluss om det baserer seg på CentOS/RHEL/Debian, da jeg er mest erfaren med disse. Jeg er heller ikke på jakt etter å starte en "hvilken-distro-er-best" diskusjon, da den beste distro'en er den som dekker behovet man har når man setter det opp, samt skalerbarheten Lenke til kommentar
xcomiii Skrevet 27. februar 2012 Del Skrevet 27. februar 2012 Mulig dette ikke passer til ditt spørsmål, men hvorfor ikke en hardware fw? Betydelig enklere å komme i gang, og funksjonalitet er som oftest langt bedre enn det du får til etter dagevis med knoting på *nix eller BSD. Eks vil en Juniper SSG 140 dekke alt det du spør om pluss litt til (BPG, OSPF, active/active) , til en pris på rundt 2000 $. Fremtiden er umulig å spå, og det gjelder enten man har hwardware eller software fw. Lenke til kommentar
forvirretoggal Skrevet 27. februar 2012 Forfatter Del Skrevet 27. februar 2012 xcomiii skrev (På 27.2.2012 den 11.50): Mulig dette ikke passer til ditt spørsmål, men hvorfor ikke en hardware fw? Betydelig enklere å komme i gang, og funksjonalitet er som oftest langt bedre enn det du får til etter dagevis med knoting på *nix eller BSD. Sitat Jeg har også sett på hardware-brannmurer med støtte for multi-wan, men da vi ikke vet hva fremtiden bringer av nye krav til brannmur, er det idiotisk å investere et 5-sifret beløp nå, for å kanskje om 3-4 måneder gjøre samme investeringen igjen. Jeg har vurdert alternativet, med hardware er man "låst" og må kjøpe ekstra hardware dersom ytterligere behov oppstår. Med software er det en del enklere å skalere opp til fremtidig behov. Lenke til kommentar
xcomiii Skrevet 27. februar 2012 Del Skrevet 27. februar 2012 Er for så vidt enig i det, men t.o.m den billigste boksen til Juniper (SSG5) til rundt 4000 kr, har temmelig mye mye funksjonsalitet. Andre firewaller har også god funksjonalitet, men der må du som regel ut med ekstralisenser for avansert funksjonalitet. Og en SSG5 klarer fint å trykke igjennom >90 Mb i troughput. Lenke til kommentar
forvirretoggal Skrevet 27. februar 2012 Forfatter Del Skrevet 27. februar 2012 Jeg har i hvert fall fått tak i en demo av Smoothwall Advanced Firewall som jeg skal teste ut, om jeg oppnår det som ønskes av den og prisen er rett, blir det trolig det vi kommer til å gå for. Jeg ser at jeg glemte å nevne antall brukere, som per i dag er oppimot 30 stk dersom alle er på jobb. Dog er jo poenget å få tak i noe som er av typen "install and forget", som jeg opplever Smoothwall Express som i dag. Om det har vært noe kluss med netttilgangen, har det vært problemer med modem fra ISP. Det går vel ikke som bedrift, å få lånt utstyr for å teste HW firewall'er? Lenke til kommentar
lhegdal Skrevet 29. februar 2012 Del Skrevet 29. februar 2012 To gode linuxbaserte Firewaller er Astaro og Check Point (SPLAT). Begge kan styres via linux shell, begge har grafisk grensesnitt for administrasjon. Jeg har erfaring fra enterprise miljø med begge og de leverer god kvalitet og brukervennlighet. Lenke til kommentar
forvirretoggal Skrevet 7. mars 2012 Forfatter Del Skrevet 7. mars 2012 Takk for input. Etter å ha testet ut trial'en blir det Smoothwall Advanced Firewall jeg kommer til å gå for (dersom sjefen godkjenner lisenskostnaden). Lenke til kommentar
arne22 Skrevet 8. mars 2012 Del Skrevet 8. mars 2012 (endret) Hei ! Kan jeg få lov til å spørre et lite spørsmål .. Hva mener du egentlig med: Multi-WAN (PPPoE fra ISP) Smoothwall advanced klarer vel ikke å dele trafikken mellom flere internettleverandører samtidig ? (I alle fall ikke utgående trafikk fra lan samtidig.) Tar jeg feil ? (Forsøker etter beste evne å holde meg litt oppdatert på firewall / brannmurteknologi.) Endret 8. mars 2012 av arne22 Lenke til kommentar
forvirretoggal Skrevet 10. mars 2012 Forfatter Del Skrevet 10. mars 2012 (endret) 'Smoothwall skrev: Load Balancing* Multiple Internet connections can be used more efficiently and resiliently by load-balancing both outgoing and incoming traffic across two or more connections. High priority traffic can be separated using protocol specific routing and in the event of an ISP/connection failure' date=' all traffic is automatically re-routed to an alternate ISP/connection. * Available as an option.[/quote'] Kilde: Smoothwall.net Endret 10. mars 2012 av martinbn Lenke til kommentar
arne22 Skrevet 10. mars 2012 Del Skrevet 10. mars 2012 OK. Takker så meget. Har pleid å sette opp disse tingene "manuelt" via iptables og kunne ikke hels se for meg hvordan det skulle være mulig å dele for eksempel port 80 trafikken, og så bruke foskjellige uavhengige og samtidige tilkoplinger for disse. Når man gjør det slik: "using protocol specific routing" eller at man fordeler trafikk i forhold til portnummer eller protokolltype, så blir jo det noe annet, det skulle vel kunne gå. (Også med manuell konfigurering.) Lget ellers et interessant eksperiment en gang i tiden. Satte opp en VmWare server og kjørte en virtuell Smoothwall som "virtuall gateway". Det fungerte forbausende bra og det endte med at det sto og kjørte i flere år. Med et slikt opplegg så kan man jo også kople sammen flere firewalls og saktnes få til å for eksempel fordele typer trafikk til forskjellige internettlinjer. Lenke til kommentar
forvirretoggal Skrevet 11. mars 2012 Forfatter Del Skrevet 11. mars 2012 Bare hyggelig. Kunne sikkert satt det opp med iptables/routing funksjonen i en hvilken som helst distro; men hadde tatt for lang tid for meg å sette meg skikkelig inn i det igjen. Lenke til kommentar
richoel Skrevet 23. april 2012 Del Skrevet 23. april 2012 Shorewall er forsåvidt gratis og kan være et alternativ? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå