Doporučte firewall pro malou firmu

[vanicekp2]

Zdravím,
potřeboval bych doporučit firewall pro malou firmu, vnitřní síť, DMZ, z internetu jsou 4 adressy DMZ se mapuje na různé z nich. Zatím to běží na prehistorickém linuxu, nějaká 486. Můj první nápad je MikroTik, ale nemám s nim žádné zkušenosti a nevím jak moc jsou spolehlivé a konfigurovatelné.

Dik

[Reklama]

[Leukoplast]

Postavit síť na Unifi a jako firewall min. UDM nebo lépe Fortigate. Ale nejsou to věci za 1000Kč.

[Vilith]

pfSense - vyzkoušej a uvidíš

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Tak jsem naštěstí dával pozor a po prihlášením mě to vhodilo do jiného vlákna.

Tu 486 vyhod. kolik dávala Mpps?
za litrakrát dva máš raspberry 4 a pomocí iptables z něj uděláš firewally, nebo nftables.

[panpanika]

za me je mktik spolehlivy i konfigurovatelny. cimz nerikam ze ostatni moznosti nejsou

[Reklama]

[_Jenda]

Mikrotik RB750Gr3 s OpenWRT, nebo PC s Debianem - buď https://www.i4wifi.cz/cs/239600-pc-engines-apu-4d4 nebo něco „obyčejného“, třeba Intel NUC, co má ale málo síťovek, a k tomu switch s VLAN, což bude nedostatek síťovek kompenzovat.

První řešení žere málo elektřiny a je levnější, druhé řešení žere trochu víc elektřiny (ale všechno jsou to řádově jednoty Wattů) ale zase je to úplně plnohodnotný Linux co do hardwarových prostředků.

Failover se řeší tak, že si to koupíš dvakrát, a synchronizuješ konfiguraci - OpenWRT má přímo příkaz "sysupgrade --create-backup /tmp/backup.tgz", na Debianu budeš muset rsyncovat (nebo držet např. v gitu) /etc, v případě poruchy to kdokoli v malé firmě prohodí kus za kus a popřepojuje kabely do stejných děr.

[McFly]

Tu 486 bych nevyhazoval, ale nabídl ji spíše třeba na Aukru. Je možné, že má dneska hodnotu větší než kdejaký gigabitový router... V práci jsme měli jednu 486/25, která sloužila jako brána mezi BNC sítí a ethernetem. A měla úžasný mini monitor s oranžovým podsvícením. Když jsme přestali tuto bránu používat, 486 i monitor kolegové vyhodili (v době mé dovolené), což byla strašná škoda. Bral bych ji hned.

Jen doplním - jakou linku do Internetu máte? Asi nic moc, pokud to utáhne 486ka. Myslím, že obyč. Mikrotik by stačil. Jeho možnosti konfigurace jsou obrovské a spolehlivost taky.

[Screemy]

Mikrotik treba RB750Gr3 bude ok.

Pokud chces zkus i PfSense.

Oboji je super a bude ti stacit

[lojza007]

Dneska už je v módě i šetřit, takže dávat tam počítač nedává moc smysl. Navíc je v něm kurvítek ažaž. Chce to jednoúčelovou krabičku, za mě taky Mikrotik, žere málo, na internetu jsou tuny návodů i videí, jak to nakonfigurovat a to i v češtině. Pokud stačí 100Mbit, vyhoví úplně každý Mikrotik, i ten za tři kila. A byť neumí všechno, tak MKT za tři stovky v pohodě strčí do kapsy svýma funkcema zařízení za tisíce, kde se musí každá funkcionalita dokupovat. Osobně nevidím žádný důvod, proč tam dávat OpenWRT.
A pokud by na vás bylo nastavení příliš, kdokoliv zkušenější ten Mikrotik zvládne nastavit za pár desítek minut. Když už je to nastavené, tak je celkem pochopitelné, co které nastavení dělá a není problém to pak modifikovat.

[Bugsa]

Nějaké miniPC a nainstalovat opnSense nebo OpenWRT.

[tr1l1ner]

Volil bych pfSense/opnSense. Ale na ty pozadavky staci i neco jednodussiho.
Mikrotik jsem doma mel, neprisel jsem mu na chut, ale nove produkty vypadaji zajimave.
OpenWRT, proc ne. Na nejakem low-power HW to je supr.
Kdyz uz OpenWRT, tak proc ne Turris Omnia?

[Medo77]

Uz tu odznelo vsetko, co by si potreboval vediet.
Kup identicke 2 krabky, zalohuj konfig, a v pripade potreby  poprehadzujes kable a flaknes naspet zalohu.
Jednoduche, funkcne ..

S OWRt a hybridmi (Gargoyle a spol), som sa pred casom prestal zaoberat, furt aby clovek dumal, ci ma HW kompatibilne zariadenie (hw revizie).

Za mna Mikrotik, cista hlava. Uz sa to dostava aj do firiem, aj na pomerne velke ucely (o ISP nehovoriac).

[Hornik]

"z internetu jsou 4 adressy DMZ"

To mne zaujalo


Takze takhle "mala firma" drzi ctyri IPv4 adresy a provozuje to na 486 routeru?


Mikrotiku se vyhnete.

OPNsense nebo pfSense  na recyklovanem starsim PC.

[_Jenda]

Osobně nevidím žádný důvod, proč tam dávat OpenWRT.

Jednak tazatel už teď provozuje router na normálním Linuxu a nebude se tak muset učit další OS a nepořídí si tím vendor lockin, jednak na RouterOS chybí základní nástroje pro diagnostiku sítě, pro začátek třeba tcpdump - neexistuje nic ekvivalentního "tcpdump -ni eth0 port 53" spuštěného přes SSH, musíte si zařídit přímou síťovou viditelnost, nastavit sniffer, filtry a přeposílat si to.

[honzako]

Podle toho jaký máš rozpočet a co všechno od toho očekáváš.
1. TP Link ER605  - nastavení klikačka, podporuje openVPN, jednoduchý a funkční - cena cca. 1600Kč
2. pfSense - nastavení klikačka, ale i shell, možnost dalšího rozšíření, cena cca. 7 tis.
3. Zyxel Zywall - nastavení klikačka a shell, placené doplňky, cena od 10 tis., záruka a servisní podpora + manuály

Mikrotik je dobrý pro toho kdo ho zná a chápe souvislosti, snadno se dá udělat chyba v konfiguraci a neznalý o ní ani netuší a nedozví se o ní.

pfSense se dá vyzkoušet v HyperV, hledej odkaz na YT.