Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: vanicekp2 03. 10. 2022, 18:00:51
-
Zdravím,
potřeboval bych doporučit firewall pro malou firmu, vnitřní síť, DMZ, z internetu jsou 4 adressy DMZ se mapuje na různé z nich. Zatím to běží na prehistorickém linuxu, nějaká 486. Můj první nápad je MikroTik, ale nemám s nim žádné zkušenosti a nevím jak moc jsou spolehlivé a konfigurovatelné.
Dik
-
Postavit síť na Unifi a jako firewall min. UDM nebo lépe Fortigate. Ale nejsou to věci za 1000Kč.
-
pfSense - vyzkoušej a uvidíš
-
Tak jsem naštěstí dával pozor a po prihlášením mě to vhodilo do jiného vlákna.
Tu 486 vyhod. kolik dávala Mpps?
za litrakrát dva máš raspberry 4 a pomocí iptables z něj uděláš firewally, nebo nftables.
-
za me je mktik spolehlivy i konfigurovatelny. cimz nerikam ze ostatni moznosti nejsou :)
-
Mikrotik RB750Gr3 s OpenWRT, nebo PC s Debianem - buď https://www.i4wifi.cz/cs/239600-pc-engines-apu-4d4 nebo něco „obyčejného“, třeba Intel NUC, co má ale málo síťovek, a k tomu switch s VLAN, což bude nedostatek síťovek kompenzovat.
První řešení žere málo elektřiny a je levnější, druhé řešení žere trochu víc elektřiny (ale všechno jsou to řádově jednoty Wattů) ale zase je to úplně plnohodnotný Linux co do hardwarových prostředků.
Failover se řeší tak, že si to koupíš dvakrát, a synchronizuješ konfiguraci - OpenWRT má přímo příkaz "sysupgrade --create-backup /tmp/backup.tgz", na Debianu budeš muset rsyncovat (nebo držet např. v gitu) /etc, v případě poruchy to kdokoli v malé firmě prohodí kus za kus a popřepojuje kabely do stejných děr.
-
Tu 486 bych nevyhazoval, ale nabídl ji spíše třeba na Aukru. Je možné, že má dneska hodnotu větší než kdejaký gigabitový router... :) V práci jsme měli jednu 486/25, která sloužila jako brána mezi BNC sítí a ethernetem. A měla úžasný mini monitor s oranžovým podsvícením. Když jsme přestali tuto bránu používat, 486 i monitor kolegové vyhodili (v době mé dovolené), což byla strašná škoda. Bral bych ji hned.
Jen doplním - jakou linku do Internetu máte? Asi nic moc, pokud to utáhne 486ka. Myslím, že obyč. Mikrotik by stačil. Jeho možnosti konfigurace jsou obrovské a spolehlivost taky.
-
Mikrotik treba RB750Gr3 bude ok.
Pokud chces zkus i PfSense.
Oboji je super a bude ti stacit
-
Dneska už je v módě i šetřit, takže dávat tam počítač nedává moc smysl. Navíc je v něm kurvítek ažaž. Chce to jednoúčelovou krabičku, za mě taky Mikrotik, žere málo, na internetu jsou tuny návodů i videí, jak to nakonfigurovat a to i v češtině. Pokud stačí 100Mbit, vyhoví úplně každý Mikrotik, i ten za tři kila. A byť neumí všechno, tak MKT za tři stovky v pohodě strčí do kapsy svýma funkcema zařízení za tisíce, kde se musí každá funkcionalita dokupovat. Osobně nevidím žádný důvod, proč tam dávat OpenWRT.
A pokud by na vás bylo nastavení příliš, kdokoliv zkušenější ten Mikrotik zvládne nastavit za pár desítek minut. Když už je to nastavené, tak je celkem pochopitelné, co které nastavení dělá a není problém to pak modifikovat.
-
Nějaké miniPC a nainstalovat opnSense nebo OpenWRT.
-
Volil bych pfSense/opnSense. Ale na ty pozadavky staci i neco jednodussiho.
Mikrotik jsem doma mel, neprisel jsem mu na chut, ale nove produkty vypadaji zajimave.
OpenWRT, proc ne. Na nejakem low-power HW to je supr.
Kdyz uz OpenWRT, tak proc ne Turris Omnia (https://www.turris.cz/cs/omnia/predstaveni/)?
-
Uz tu odznelo vsetko, co by si potreboval vediet.
Kup identicke 2 krabky, zalohuj konfig, a v pripade potreby poprehadzujes kable a flaknes naspet zalohu.
Jednoduche, funkcne ..
S OWRt a hybridmi (Gargoyle a spol), som sa pred casom prestal zaoberat, furt aby clovek dumal, ci ma HW kompatibilne zariadenie (hw revizie).
Za mna Mikrotik, cista hlava. Uz sa to dostava aj do firiem, aj na pomerne velke ucely (o ISP nehovoriac).
-
"z internetu jsou 4 adressy DMZ"
To mne zaujalo :)
Takze takhle "mala firma" drzi ctyri IPv4 adresy a provozuje to na 486 routeru?
Mikrotiku se vyhnete.
OPNsense nebo pfSense na recyklovanem starsim PC.
-
Osobně nevidím žádný důvod, proč tam dávat OpenWRT.
Jednak tazatel už teď provozuje router na normálním Linuxu a nebude se tak muset učit další OS a nepořídí si tím vendor lockin, jednak na RouterOS chybí základní nástroje pro diagnostiku sítě, pro začátek třeba tcpdump - neexistuje nic ekvivalentního "tcpdump -ni eth0 port 53" spuštěného přes SSH, musíte si zařídit přímou síťovou viditelnost, nastavit sniffer, filtry a přeposílat si to.
-
Podle toho jaký máš rozpočet a co všechno od toho očekáváš.
1. TP Link ER605 - nastavení klikačka, podporuje openVPN, jednoduchý a funkční - cena cca. 1600Kč
2. pfSense - nastavení klikačka, ale i shell, možnost dalšího rozšíření, cena cca. 7 tis.
3. Zyxel Zywall - nastavení klikačka a shell, placené doplňky, cena od 10 tis., záruka a servisní podpora + manuály
Mikrotik je dobrý pro toho kdo ho zná a chápe souvislosti, snadno se dá udělat chyba v konfiguraci a neznalý o ní ani netuší a nedozví se o ní.
pfSense se dá vyzkoušet v HyperV, hledej odkaz na YT.
-
Kdyz uz OpenWRT, tak proc ne Turris Omnia (https://www.turris.cz/cs/omnia/predstaveni/)?
Ty produkty od Turris se dokonce prodavaji i u nas, coz mne prekvapilo
https://linitx.com/category/turris/1302
a vypadaji hodne zajimave ...........
Jsem prekvapen ze to nebylo prvni ze zarizeni, ktere tady nekdo doporucil ......
-
Ty produkty od Turris se dokonce prodavaji i u nas, coz mne prekvapilo
https://linitx.com/category/turris/1302
a vypadaji hodne zajimave ...........
Jsem prekvapen ze to nebylo prvni ze zarizeni, ktere tady nekdo doporucil ......
Prečo prekvapený, že sa predávajú v Čechách? Je to český produkt, tak by som to tak nejako očakával..
A to že to nie je prvé z odporučených zariadení, za to môže možno aj tak trocha špecifický prístup výrobcu k updatom, zachovaním konfigurácie pri updatoch a podobných drobnostiach a skúsenostiach ľudí, čo sa to snažili udržať "v produkcii". Veď si stačí pozrieť fóra.
-
Postavit síť na Unifi a jako firewall min. UDM nebo lépe Fortigate.
Jak může po té historii úmyslných backdoorů(!) a neuvěřitelných děr ještě někdo tohle prohlásit aniž by si dělal zadek?
https://thehackernews.com/2016/01/fortinet-firewall-password-hack.html
https://www.securitynewspaper.com/2019/08/29/fortinet-backdoored-fortios-or-hackers-did-for-monitoring-since-last-5-years/
https://seclists.org/bugtraq/2019/Nov/38
-
Souhlasím. Ubiquity a Fortinet je až to poslední co by měl člověk použít.
Postavit síť na Unifi a jako firewall min. UDM nebo lépe Fortigate.
Jak může po té historii úmyslných backdoorů(!) a neuvěřitelných děr ještě někdo tohle prohlásit aniž by si dělal zadek?
https://thehackernews.com/2016/01/fortinet-firewall-password-hack.html
https://www.securitynewspaper.com/2019/08/29/fortinet-backdoored-fortios-or-hackers-did-for-monitoring-since-last-5-years/
https://seclists.org/bugtraq/2019/Nov/38
-
Juniper SRX-300 :-)
-
Souhlasím. Ubiquity a Fortinet je až to poslední co by měl člověk použít.
Od Ubiquiti jsou podle me dobre APcka, aspon na moje pouziti to funguje dobre. Sleduji i YT, kde to firmy nasazuji jinym firmam, ale vzdycky jen AP (+ switche), nikdy nepouzivaji Ubiquiti jako router. Prave treba Lawrence systems pouzivaji jakou router/FW pfSense. Duvod je prosty, pfSense toho umi o dost vic, daji se doinstalovavat balicky, muzu to bezet na vlastnim HW ci virtualizovane v hypervizoru.
Ubiquiti gateway/router/FW reseni je dost svazane tim, co se da nastavit v tom jejich Unifi Network sw a pokud chci neco nestandartniho a upravim si to primo v CLI, tak o zmeny prijdu, pac mi to ten kontroler pri nejblizsi prilezitosti prepise...
...
2. pfSense - nastavení klikačka, ale i shell, možnost dalšího rozšíření, cena cca. 7 tis.
...
Zaujala me ta cena, nevim proc "cca 7tis.". IMO to je strelba naslepo od boku. Hrozne zalezi na tom co o toho chci a podle toho, jaky si vyberu HW. Provozuji pfSense na krabickach za 2,5tis. (pravda z eBay aukci, kdy mam stesti na cenu), ale da se provozovat i na HW za xx(x) tis. (treba nejaky dedikovany Dell/HP/Lenovo server). Cenu samozrejme muzu srazit kdyz pfSense virtualizuji a pouzivam na jiz existujicim HW, na kterem bezi spousty dalsich veci...
V prvni rade si musim rict co od toho chci, jiny HW potrebujes na 1Gbit (up/down) lince, kdy chces mit treba VPN tunely, pfBlockerNG, Surricatu, Snort... a uplne jiny HW ti bude stacit na domaci pouziti s 30Mbit/10Mbit s tim, ze dalsi vlastnosti routeru nevyuziji.
-
Souhlasím. Ubiquity a Fortinet je až to poslední co by měl člověk použít.
Postavit síť na Unifi a jako firewall min. UDM nebo lépe Fortigate.
Jak může po té historii úmyslných backdoorů(!) a neuvěřitelných děr ještě někdo tohle prohlásit aniž by si dělal zadek?
https://thehackernews.com/2016/01/fortinet-firewall-password-hack.html
https://www.securitynewspaper.com/2019/08/29/fortinet-backdoored-fortios-or-hackers-did-for-monitoring-since-last-5-years/
https://seclists.org/bugtraq/2019/Nov/38
Pro pobavení, dneska vyšlo: https://github.com/horizon3ai/CVE-2022-40684
-
Jednak tazatel už teď provozuje router na normálním Linuxu a nebude se tak muset učit další OS a nepořídí si tím vendor lockin, jednak na RouterOS chybí základní nástroje pro diagnostiku sítě, pro začátek třeba tcpdump - neexistuje nic ekvivalentního "tcpdump -ni eth0 port 53" spuštěného přes SSH, musíte si zařídit přímou síťovou viditelnost, nastavit sniffer, filtry a přeposílat si to.
Naopak, já si Mikrotik cením právě kvůli diagnostice. Mám čerstvou zkušenost s UDM-Pro a to je teprve peklo.
Mimochodem, "/tool/sniffer/quick interface=eth0 ip-protocol=udp port=53" je na Mikrotiku to, co si myslíte že neumí. Samozřejmě volnost linuxu nedostanete, ale základní nástroje pro diagnostiku tam jsou.