Hardware Firewall

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

13.05.2014 - 21:34

so ein projekt-thread "pfsense-based router" oder so könntest ja mal aufziehen, inkl. Hw-empfehlung(en).

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2369

13.05.2014 - 21:37

Zu ISDN Zeiten habe ich ipCop verwendet, seit einigen Jahren nurmehr ipfire.

Von m0n0wall und pfsense habe ich bisher nur gelesen, sehe aber gerade das es Multi WAN unterstüzt, muss ich mir mal ansehen.

@OT
Wenn du herumbasten/lernen oder einen kleinen Server betreiben willst, dann würde ich einen von den vorgeschlagenen Firewall distros nehmen. (entweder einen alten Rechner/Laptop verwenden oder um ~200€ was kaufen)

Ansonsten einfach einen router der die 100Mbit leicht schafft und danach einen günstigen 8 Port switch, im Normalfall reicht sowas vollkommen aus.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

13.05.2014 - 21:41

wär sicher interessant aber die hardware-empfehlung wär meinerseits eh auf ein bzw. zwei geräte beschränkt
interessanter sind dann sachen wie openvpn, ospf, squid mit ssl-proxy, av und filtering etc., multi-wan, usw.

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

16.05.2014 - 22:10

das fänden "wir" schon in ordnung, solange alles geht

Cuero

Moderator

Registered: Feb 2001
Location: Erde
Posts: 3554

16.05.2014 - 22:18

ich hab eine cisco asa 5505 und bin zufrieden. nutze die vpn-funktionen nach innen und nach außen für verschiedene dinge und ansonsten halt, ja, cisco ios.

https://geizhals.at/cisco-asa-5505-...k8-a703498.html

8 Ports, bis zu 150 MBit throughput:

http://www.cisco.com/c/en/us/produc...html#~mid-range

mein heimnetz:

http://www.overclockers.at/networki...641#post3462641

Bearbeitet von Cuero am 16.05.2014, 22:20

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6529

13.06.2014 - 11:59

Hallo Leute, ich bin dabei mir eine SPI-Firewall mit IDS/IPS-Funktionalität zu bauen. Eine L2TP/IPSec VPN-Anbindung an Cisco-Geräte möchte ich damit auch realisieren. Hat jemand von euch bereits Erfahrungen damit?

Grundsätzlich sind in meiner engeren Auswahl pfSense und IPFire, da diese das können sollten, aber ich bin auch offen für andere Vorschläge, sofern sie überzeugend sind. Die Hardware-Specs werden noch nicht verraten, jedenfalls ausreichend für ein kleineres Netzwerk, stromsparend und relativ günstig.

Soweit ich informiert bin, ist die Implementierung des TCP/IP-Stacks den Free-BSD Leuten besonders gut gelungen, was für eine network appliance mit diesem Betriebssystem spricht, ein Punkt für pfSense. Bei IPFire ist mir positiv aufgefallen, dass es eine aktive Community gibt, die auch ziemlich hilfsbereit ist, ein Punkt der eher für IPFire spricht.

Was meint ihr dazu?

Brom

Addicted

Registered: Oct 2003
Location: Graz
Posts: 408

14.06.2014 - 20:33

Abend,

ich möchte über den Sommer ebenfalls eine Hardware-Firewall mit IDPS für mein Netz zuhause realisieren, hab also ganz ähnliche Anforderungen wie du (VPN usw).

Ich tendiere eher zu IPFire, da mir der IPCop nicht ganz fremd ist und ich den modularen Aufbau sowie die Plugins sehr brauchbar finde. Community ist auch gut eingebunden, von daher sollten Probleme schnell gelöst werden können IMO.

Mich interessieren natürlich sehr deine Hardware-Anforderungen, da für die Paketüberprüfung in Echtzeit natürlich schon eine gescheite Unterlage benötigt wird. Im Moment läuft der IDS bei mir testweise auf einem ESX-Host und da bin ich mit der Performance überhaupt nicht zufrieden (trotz intel nics)...

Ich hab mir mal den Shuttle DS61 angeschaut, welcher durchaus nicht unbrauchbar wäre, und auch der Preis durchaus interessant wäre.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6529

16.06.2014 - 09:35

Also ich habe vor als Testsystem folgendes SoC-Mainboard einzusetzen, welches ich dann evtl. als private Firewall nehme:
http://geizhals.at/gigabyte-ga-j1900n-d3v-a1070252.html

Dies sollte für ein kleineres Netzwerk ausreichend sein, aber das wird sich noch herausstellen, im worst case wirds eben ein kleiner HTPC. Der RTL8111F beherrscht Rx-Offload und mit etwas Treiberglück, haut das hin ohne Interrupt-Zirkus. IPFire 2.15 soll auf dem Board funktionieren, mehr dazu sobald ich es habe.

Wenn man das ganze ordentlich machen will, muss man schon tiefer in die Tasche greifen:
http://geizhals.at/supermicro-a1sai...o-a1014061.html

Der C2750 ist für genau solche Anwendungen gemacht und müsste auch für mittlere Netzwerke ausreichend Leistung haben.

Brom

Addicted

Registered: Oct 2003
Location: Graz
Posts: 408

22.06.2014 - 21:40

Das Gigabyte Mainboard schaut interessant aus, dann warte ich gespannt, wie es dir mit den Nics gehen wird

edit: autsch

Bearbeitet von Brom am 22.06.2014, 21:47

<scruplesless>

Customer

Registered: Jun 2004
Location: Switzerland
Posts: 597

25.06.2014 - 22:30

Nur um's mal einzuwerfen. Von Sophos gibt's auch eine Home Edition der UTM, die man auch auf Intel x86-basierender HW installieren kann. Diese Version kann für den privaten Bereich kostenlos genutzt werden. Ich kenn nur die kostenpflichtige Version, weiss also nicht ob und in welchem Umfang die Home Edition noch abgespeckt wurde...

http://www.sophos.com/en-us/product...me-edition.aspx

Bearbeitet von <scruplesless> am 25.06.2014, 22:32

questionmarc

Here to stay

Registered: Jul 2001
Location: -
Posts: 5044

25.06.2014 - 23:17

sophos daugt mir persönlich auch sehr, die utm-lösung wurde ja vor geraumer zeit durch den ankauf der astaro ag eingegliedert - das war ein deutscher hersteller, der sich in kürzester zeit einen guten namen gemacht hat. wir waren seit anbeginn partner und nachdem sophos die ganzen (modularen) lizenzmodelle nicht gleich über den haufen geworfen hat und die partnerbetreuung noch ganz ok ist, sind wie nach wie vor dabei

sie launchen übrigens grad eine neue appliance-generation, die sg serie.

klar, die dinger sind nicht grade günstig, aber die home edition auf einem kleinen x86er, vielleicht mit ner ssd und a bissi ram und dann funzt das

demo gefällig? imho sehr intuitive admin-oberfläche, auch auf deutsch verfügbar,
und wirklich alle einstellmöglichkeiten, die man sich vorstellen kann. afaik ist die home-use auf 50 ips beschränkt, sonst glaube ich sind alle dienste (network, mail, web, wireless, webserver) voll nutzbar..

http://www.sophos.com/en-us/product...ement/demo.aspx

ThMb

JO FRLY

Registered: Feb 2009
Location: OÖ
Posts: 1394

26.06.2014 - 09:23

@Sophos: kann ich persönlich auch wärmstens empfehlen. Sind auch seit Jahren Partner und haben das bei allen Kunden im Einsatz.
In der Firma selbst auf einem kleinen 350€ HP Server, tadellos. Konfiguration ist wirklich einfach und der Funktionsumfang ist Top. Schon mehrere Installationen hinter mir, tlw. auch umfangreiche.
Die Version für den Privatgebrauch ist sicherlich für alles Bastler hier einen Blick wert.

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

31.12.2015 - 15:14

@ uon u.a.: welcher distribution liefert squid mit ssl enabled aus? ich spiel mich derzeit ein bissi und scheinbar muss man auf manch einem linux squid selbst kompilieren um zu ssl support zu kommen. das möchte ich vermeiden. vielleicht weiß es jemand - tia.

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

12.01.2016 - 03:36

ähm never mind. In dem gewünschten betriebsmodus kann squid kein auth :/

Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	13.05.2014 - 21:34 so ein projekt-thread "pfsense-based router" oder so könntest ja mal aufziehen, inkl. Hw-empfehlung(en).
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2369	13.05.2014 - 21:37 Zu ISDN Zeiten habe ich ipCop verwendet, seit einigen Jahren nurmehr ipfire. Von m0n0wall und pfsense habe ich bisher nur gelesen, sehe aber gerade das es Multi WAN unterstüzt, muss ich mir mal ansehen. @OT Wenn du herumbasten/lernen oder einen kleinen Server betreiben willst, dann würde ich einen von den vorgeschlagenen Firewall distros nehmen. (entweder einen alten Rechner/Laptop verwenden oder um ~200€ was kaufen) Ansonsten einfach einen router der die 100Mbit leicht schafft und danach einen günstigen 8 Port switch, im Normalfall reicht sowas vollkommen aus.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	13.05.2014 - 21:41 wär sicher interessant aber die hardware-empfehlung wär meinerseits eh auf ein bzw. zwei geräte beschränkt interessanter sind dann sachen wie openvpn, ospf, squid mit ssl-proxy, av und filtering etc., multi-wan, usw.
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	16.05.2014 - 22:10 das fänden "wir" schon in ordnung, solange alles geht
Cuero Moderator Registered: Feb 2001 Location: Erde Posts: 3554	16.05.2014 - 22:18 ich hab eine cisco asa 5505 und bin zufrieden. nutze die vpn-funktionen nach innen und nach außen für verschiedene dinge und ansonsten halt, ja, cisco ios. https://geizhals.at/cisco-asa-5505-...k8-a703498.html 8 Ports, bis zu 150 MBit throughput: http://www.cisco.com/c/en/us/produc...html#~mid-range mein heimnetz: http://www.overclockers.at/networki...641#post3462641 Bearbeitet von Cuero am 16.05.2014, 22:20
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6529	13.06.2014 - 11:59 Hallo Leute, ich bin dabei mir eine SPI-Firewall mit IDS/IPS-Funktionalität zu bauen. Eine L2TP/IPSec VPN-Anbindung an Cisco-Geräte möchte ich damit auch realisieren. Hat jemand von euch bereits Erfahrungen damit? Grundsätzlich sind in meiner engeren Auswahl pfSense und IPFire, da diese das können sollten, aber ich bin auch offen für andere Vorschläge, sofern sie überzeugend sind. Die Hardware-Specs werden noch nicht verraten, jedenfalls ausreichend für ein kleineres Netzwerk, stromsparend und relativ günstig. Soweit ich informiert bin, ist die Implementierung des TCP/IP-Stacks den Free-BSD Leuten besonders gut gelungen, was für eine network appliance mit diesem Betriebssystem spricht, ein Punkt für pfSense. Bei IPFire ist mir positiv aufgefallen, dass es eine aktive Community gibt, die auch ziemlich hilfsbereit ist, ein Punkt der eher für IPFire spricht. Was meint ihr dazu?
Brom Addicted Registered: Oct 2003 Location: Graz Posts: 408	14.06.2014 - 20:33 Abend, ich möchte über den Sommer ebenfalls eine Hardware-Firewall mit IDPS für mein Netz zuhause realisieren, hab also ganz ähnliche Anforderungen wie du (VPN usw). Ich tendiere eher zu IPFire, da mir der IPCop nicht ganz fremd ist und ich den modularen Aufbau sowie die Plugins sehr brauchbar finde. Community ist auch gut eingebunden, von daher sollten Probleme schnell gelöst werden können IMO. Mich interessieren natürlich sehr deine Hardware-Anforderungen, da für die Paketüberprüfung in Echtzeit natürlich schon eine gescheite Unterlage benötigt wird. Im Moment läuft der IDS bei mir testweise auf einem ESX-Host und da bin ich mit der Performance überhaupt nicht zufrieden (trotz intel nics)... Ich hab mir mal den Shuttle DS61 angeschaut, welcher durchaus nicht unbrauchbar wäre, und auch der Preis durchaus interessant wäre.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6529	16.06.2014 - 09:35 Also ich habe vor als Testsystem folgendes SoC-Mainboard einzusetzen, welches ich dann evtl. als private Firewall nehme: http://geizhals.at/gigabyte-ga-j1900n-d3v-a1070252.html Dies sollte für ein kleineres Netzwerk ausreichend sein, aber das wird sich noch herausstellen, im worst case wirds eben ein kleiner HTPC. Der RTL8111F beherrscht Rx-Offload und mit etwas Treiberglück, haut das hin ohne Interrupt-Zirkus. IPFire 2.15 soll auf dem Board funktionieren, mehr dazu sobald ich es habe. Wenn man das ganze ordentlich machen will, muss man schon tiefer in die Tasche greifen: http://geizhals.at/supermicro-a1sai...o-a1014061.html Der C2750 ist für genau solche Anwendungen gemacht und müsste auch für mittlere Netzwerke ausreichend Leistung haben.
Brom Addicted Registered: Oct 2003 Location: Graz Posts: 408	22.06.2014 - 21:40 Das Gigabyte Mainboard schaut interessant aus, dann warte ich gespannt, wie es dir mit den Nics gehen wird edit: autsch Bearbeitet von Brom am 22.06.2014, 21:47
<scruplesless> Customer Registered: Jun 2004 Location: Switzerland Posts: 597	25.06.2014 - 22:30 Nur um's mal einzuwerfen. Von Sophos gibt's auch eine Home Edition der UTM, die man auch auf Intel x86-basierender HW installieren kann. Diese Version kann für den privaten Bereich kostenlos genutzt werden. Ich kenn nur die kostenpflichtige Version, weiss also nicht ob und in welchem Umfang die Home Edition noch abgespeckt wurde... http://www.sophos.com/en-us/product...me-edition.aspx Bearbeitet von <scruplesless> am 25.06.2014, 22:32
questionmarc Here to stay Registered: Jul 2001 Location: - Posts: 5044	25.06.2014 - 23:17 sophos daugt mir persönlich auch sehr, die utm-lösung wurde ja vor geraumer zeit durch den ankauf der astaro ag eingegliedert - das war ein deutscher hersteller, der sich in kürzester zeit einen guten namen gemacht hat. wir waren seit anbeginn partner und nachdem sophos die ganzen (modularen) lizenzmodelle nicht gleich über den haufen geworfen hat und die partnerbetreuung noch ganz ok ist, sind wie nach wie vor dabei sie launchen übrigens grad eine neue appliance-generation, die sg serie. klar, die dinger sind nicht grade günstig, aber die home edition auf einem kleinen x86er, vielleicht mit ner ssd und a bissi ram und dann funzt das demo gefällig? imho sehr intuitive admin-oberfläche, auch auf deutsch verfügbar, und wirklich alle einstellmöglichkeiten, die man sich vorstellen kann. afaik ist die home-use auf 50 ips beschränkt, sonst glaube ich sind alle dienste (network, mail, web, wireless, webserver) voll nutzbar.. http://www.sophos.com/en-us/product...ement/demo.aspx
ThMb JO FRLY Registered: Feb 2009 Location: OÖ Posts: 1394	26.06.2014 - 09:23 @Sophos: kann ich persönlich auch wärmstens empfehlen. Sind auch seit Jahren Partner und haben das bei allen Kunden im Einsatz. In der Firma selbst auf einem kleinen 350€ HP Server, tadellos. Konfiguration ist wirklich einfach und der Funktionsumfang ist Top. Schon mehrere Installationen hinter mir, tlw. auch umfangreiche. Die Version für den Privatgebrauch ist sicherlich für alles Bastler hier einen Blick wert.
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	31.12.2015 - 15:14 @ uon u.a.: welcher distribution liefert squid mit ssl enabled aus? ich spiel mich derzeit ein bissi und scheinbar muss man auf manch einem linux squid selbst kompilieren um zu ssl support zu kommen. das möchte ich vermeiden. vielleicht weiß es jemand - tia.
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	12.01.2016 - 03:36 ähm never mind. In dem gewünschten betriebsmodus kann squid kein auth :/

Hardware Firewall

Forum Index > Hardware > Peripherie > Netzwerktechnik

Nico

Rogaahl

userohnenamen

Nico

Cuero

mr.nice.

Brom

mr.nice.

Brom

<scruplesless>

questionmarc

ThMb

Nico

Nico