Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Visin 05. 11. 2013, 12:56:52
-
Zdravím všechny,
chtěl bych vás požádat o radu/doporučení.
Jsme malá firma, (cca 17PC, cca 8serverů - to vše na MS). Doposud jsme měli používali Kerio Control jako firewall na Windowsech. Jelikož se šetří a končí nám licence, hledám jiné řešení.
Rád bych se zeptal jaký sw firewall vč distribuce Linuxu byste mi doporučili. pročetl jsem některé fora, ale nic mne nijak neoslovilo.
HW si poskládám sám
Díky všem a pěkný den
-
Nejlepsi je si pravidla do iptables napsat rucne a sam - minimalne vis co a proc tam je. Jakmile pouzivas nejaky script (ktery tak jako tak nic jinyho nez vygenerovani pravidel do iptables nedela), tak ses casto v situaci, ze to nekde neco vygeneruje a ty nevis proc, proste proto, ze nestihas sledovat myslenky autora scriptu.
jinak pokud ti jde vylozene jen o firewall, tak to poustet na PC je ponekud overkill, na to je nejlepsi nejaka routokrabka - trebas s openwrt, ddwrt ... samo pokud chces aby to delalo i dalsi veci ... (trebas filtrovaci mailserver ...) tak to chce nejaky plnotucny distro, ale konkretne ti radit tezko co, protoze to je vzdy o osobnich preferencich. Ja pouzivam Gentoo, minimalne mi totiz do systemu nenadela tuny bordelu, kterej nanic nepotrebuju.
-
Ahoj,
zkus toto:
http://diit.cz/clanek/vyzkouseli-jsme-utm-check-point-600-enterprise-bezpecnost-do-smb
a nebo pak Debian s iptables :)
-
skus monowal.
http://m0n0.ch/wall/ (http://m0n0.ch/wall/)
popripade PfSense ak chces nieco viacej ako firewall
-
Taky bych sáhnul spíš po "krabičce". Můžeš zvážit i Cisco ASA 5505, konkrétně ASA5505-50-BUN-K9 (pro 50 uživatelů) v ceně kolem 10 tis. Kč. Mělo by to jít případně uprgradovat na neomezeně. Nastavení není složitý, stačí použít průvodce + základní znalosti TCP/IP.
Nebo třeba nějakej MicroTik (RouterOS)?
-
Ono zalezi, co od toho cekas, treba 2x WAN + 4 konfigurovatelne porty, xy VPN, ... take nema uplne kazdy router/gateway a co dalsiho to ma umet. Osobne mam rad IOS od Cisco, ktere tu uz padlo, ale najdou se i ruzne forky (i kdyz ne 1:1) treba Edge/SMC. Sonicwall, Juniper, ... se daji najit, jen to bude trosku jako delo na vrabce.
Z levnejsich krabic jsou tu ruzne Ubiquity posazene na Debianu nebo ruzne Zyxel USG/UAG a dalsi. USG20W mam doma a neni to spatna hracka, jen ma velky problem s VPN v kobinaci s Kasperky, protoze je proste slaby hardware.
-
Ahoj,
já rád používám IPCop - jak přes virtuál, tak na fyz. mašínách (starších strojích). Umí to vše potřebné pro SoHo. Jen se poslední dobou moc neupdateje - otázka zda nepoužít některý z klonů ipcopu (smoothwall apod.)
-
m0n0wall, pfSense.
-
Přikláním se také k pfSense. V současnosti máme hlavní router Mikrotik (RouterOS), dříve jsme šlapali se Zyxel Zywall 2 Plus a nebýt toho, že dnešní vysoké rychlosti jsou nad jeho síly, byl by nasazený dodnes! :) Teď slouží jen jako záloha, kdyby něco.
-
Jestli chces mit jednu krabici nastavovanou pres prohlizec, kup si nejaky hotovy router. Pokud jsi linuxova hracicka, dej dohromady nejaky stabilni komp, do nej nejake distro a nastav pravidla iptables. Ja pouzivam distro slackware, na routery idealni, ale musis tomu rozumet.
-
jenom aby ho ten router za rok provozu nestál jako pět malých jednoúčelových zařízení.
-
skus http://www.zeroshell.org/ mne sa celkom osvedcil
-
jenom aby ho ten router za rok provozu nestál jako pět malých jednoúčelových zařízení.
Malá firma má určitě nejaký server, tak šup do virtuálu a vyjde to zase levněji, než nějaká jednoúčelovka. Maximálně přikoupí síťovku.
-
Mě se líbí IPFire (http://www.ipfire.org/ (http://www.ipfire.org/))
-
Mě se líbí IPFire (http://www.ipfire.org/ (http://www.ipfire.org/))
Nepodpora IPv6 v IPCopu, IPFire apod. byla hlavním důvodem, proč jsem tyhle distribuce všude zlikvidoval.
http://forum.ipfire.org/index.php?topic=9063.0
-
Mě se líbí IPFire (http://www.ipfire.org/ (http://www.ipfire.org/))
Nepodpora IPv6 v IPCopu, IPFire apod. byla hlavním důvodem, proč jsem tyhle distribuce všude zlikvidoval.
http://forum.ipfire.org/index.php?topic=9063.0
Tak ono záleží na výběru, pokud je IPv6 tak důležité, tak se dá použít http://pfsense.org (http://pfsense.org), i když si myslím, že v naší zemičce to zas tak aktuální ještě není.
-
Tak ono záleží na výběru, pokud je IPv6 tak důležité, tak se dá použít http://pfsense.org (http://pfsense.org)
Ano (http://forum.root.cz/index.php?topic=7773.msg76120#msg76120) ;) :D
i když si myslím, že v naší zemičce to zas tak aktuální ještě není.
-1; ono vzdálený přístup přes normální DNS název na standardním portu je k nezaplacení. Nemám problém si zapamatovat, že na Frantův počítač se dostanu přes franta-pc.firma.cz, ale hustit si do hlavy, že RDP je u Franty na portu 33900, u Mařky na 33901, SSH na NAS bedně je zvenku přístupné přes 8222 a FTP pro změnu na 2121, to už fakt leze na nervy. IPv4 adresy prostě nejsou.
-
Já bych doporučil buď Cisco ASA 5505 nebo Zyxel USG 20 nebo USG 50. Oboje provozuji k maximální spokojenosti. Zyxel mám na UPC připojení 60/10 Mb/s a jede bez problémů, ale používám ho pouze jako firewall a VPN server, nebeží na něm filtrování http nebo podobné věci. Případně se ještě můžete podívat na Astaro resp. dnes Sophos UTM, ale tam se platí roční licence za podporu. Funguje i ve virtuálu.
-
i když si myslím, že v naší zemičce to zas tak aktuální ještě není.
-1; ono vzdálený přístup přes normální DNS název na standardním portu je k nezaplacení. Nemám problém si zapamatovat, že na Frantův počítač se dostanu přes franta-pc.firma.cz, ale hustit si do hlavy, že RDP je u Franty na portu 33900, u Mařky na 33901, SSH na NAS bedně je zvenku přístupné přes 8222 a FTP pro změnu na 2121, to už fakt leze na nervy. IPv4 adresy prostě nejsou.
No tohle já vůbec neřeším, jednou nakonfiguruji na jedné i na druhé straně, uložím, zálohuji a nepamatuji. Pro mne by byl problém i ten franta-pc.firma.cz. ;D
-
Tak ono záleží na výběru, pokud je IPv6 tak důležité, tak se dá použít http://pfsense.org (http://pfsense.org)
Ano (http://forum.root.cz/index.php?topic=7773.msg76120#msg76120) ;) :D
Jo dobrý, už mi to došlo. ;D Já jsem si říkal, že ta druhá stránka mi něco připomíná ... ;D
-
Na Kerio Connect nemaju ziadne linuxove free firewaly. Kup si Kerio Connect BOX, ten mensi, mas tam aj webfilter a IPS a
5user licencii, t.j. 25 pripojnych zariadeni.
-
Na Kerio Connect nemaju ziadne linuxove free firewaly. Kup si Kerio Connect BOX, ten mensi, mas tam aj webfilter a IPS a
5user licencii, t.j. 25 pripojnych zariadeni.
Opravujem: Kerio Control Box a nie Kerio Connect.
-
Na Kerio Connect nemaju ziadne linuxove free firewaly. Kup si Kerio Connect BOX, ten mensi, mas tam aj webfilter a IPS a
5user licencii, t.j. 25 pripojnych zariadeni.
Opravujem: Kerio Control Box a nie Kerio Connect.
To.opravdu mluvíte o ré dětské hračce co.nemá api??? Zajisté se shodneme že je pro blbce, ale nezaměňoval bych tuto vlastnost za možnosti konfigurace.