επιλογή dns server

[K1m0n]

Είναι παιδικό το adblocker του και πακέτο να κάνεις add custom λίστες ή οτιδήποτε γιατί τα θέλει σε json format για import με συγκεκριμένο τρόπο.
Το pihole είναι πολύ εύκολο.

Να συμπληρώσω στον παραπάνω κανόνα που λες για το mikrotik πρέπει να κάνεις με κάποιο τρόπο except το ip του pihole αλλιώς πέφτεις σε ατέρμονο loop.

ναί, προφανώς.
Όταν έτρεχα tik στο σπίτι το είχα σε ξεχωριστό interface/subnet.
Το πρόβλημα με το tik ήταν ότι δεν μπορούσες (δεν ξέρω αν το φτιάξανε) να έχεις προβλέψιμες διευθύνσεις στο dhcpv6
(dynamic isp prefix+predefined address local), οπότε με το v6 υπήρχε ψιλό-θέμα.
Και δεν υποστηρίζει και nat v6.
Αλλά είμαστε πλέον off-topic...

[skel]

στην οικία έχω βάλει τους opendns
σε κάθε συσκευή έχω τα απαραίτητα adblock / opera
και από android έχω βάλει σε όλους adguard

από sophos έχω το av home και είναι καλό αν και δεν έχει firewall

απλά ήθελα να το προσαρμόσω κατάλληλα ώστε όταν γίνετε εισαγωγή συσκευής να είναι εξαρχής φιλτραρισμένα όλα όπως γίνετε και στις επιχειρήσεις

αν πάω σε mikrotik ποιο μοντέλο προτείνεται ?

[K1m0n]

στην οικία έχω βάλει τους opendns
σε κάθε συσκευή έχω τα απαραίτητα adblock / opera
και από android έχω βάλει σε όλους adguard

από sophos έχω το av home και είναι καλό αν και δεν έχει firewall

απλά ήθελα να το προσαρμόσω κατάλληλα ώστε όταν γίνετε εισαγωγή συσκευής να είναι εξαρχής φιλτραρισμένα όλα όπως γίνετε και στις επιχειρήσεις

αν πάω σε mikrotik ποιο μοντέλο προτείνεται ?

Στο sophos δεν αναφερόμουν στην εφαρμογή που τρέχει AV/firewall στο pc.
Αναφερόμουν στο sophos UTM που είναι διανομή UTM (unified threat management),
βασισμένη σε linux (suse αν θυμάμαι καλά?), και μετατρέπει ένα x86 μηχανάκι σε:
router/firewall/AV/Antispam/proxy/vpn client-server/ids/ips/etc).
Είναι η συνέχεια του astaro security gateway,
και προς τιμήν τους ακόμα δίνουν δωρεάν άδεια για πλήρη (οικιακή) χρήση.

Στα πλην του ότι θες να στήσεις ένα μηχανάκι για να τρέχει,
(hint: ή να πάρεις από το e-bay ένα παλιότερο UTM και να το βάλεις πάνω με την home άδεια...),
και οπωσδήποτε θα καίει περισσότερο από τα 5-10W που καίει ένα tik.
αλλά και πάλι τζάμπα έρχεται.
Η ίδια άδεια για commercial χρήση θάχει κάνα διχίλιαρο το χρόνο.
Αν θες ψάχτο, κάνει αυτά που θές.

Σε mikrotik θα πήγαινα σε 3011/4011/RB1100 (είναι γνωστό ότι είμαι over-kill),
αλλά το ψωμάκι τους είναι το routing, όχι το firewalling.

[kiriakk]

το Sophos UTM δεν ξέρω αν συνεχίζει να αναβαθμίζεται,

η εταιρεία πλέον προωθεί το παρόμοιο Sophos XG,
είναι δωρεάν με τον περιορισμό ότι θα χρησιμοποιεί 4 cores CPU και 6 Gb RAM από όσα έχεις,

το έχω να τρέχει σε ένα fanless mini PC εδώ και τρία χρόνια, δεν έχει κάνει κιχ,
κατανάλωση μετρημένη με Wattόμετρο στα 6W,

adblock out of the box σε όλες τι συσκευές του σπιτιού, απλά τικάροντας μία επιλογή,

έχει εκτεταμένες λίστες με κατηγορίες εφαρμογών που κόβονται με ένα κλικ όλες μαζί ή μία μία,
πχ κόβεις μόνο facebook ή όλες τις social εφαρμογές ή όσες θες
(πχ είχα κόψει μία μέρα για πλάκα το instagram, τα παιδιά μου νομίζανε ότι είχε πρόβλημα το instagram, καθώς όλα τα άλλα πάίζανε κανονικά,
κανείς δεν ήρθε να με ρωτήσει τι έγινε)

το ίδιο με κατηγορίες από σάιτς πχ porn, gambling, downloads οτιδήποτε

έστησα VPN server ως άσχετος με 3-4 κλικ, μεTwo-Factor authentication και δικό του DDNS,

άμα θες και έχεις όρεξη κάνεις και decrypt and scan την HTTPS κίνηση (προφανώς με εγκατάσταση των κατάλληλων πιστοποιητικών στις συσκευές)

[K1m0n]

Μια χαρά συνεχίζει να αναβαθμίζεται το UTM.
Η sophos ήθελε να τους περάσει όλους στην νέα πλατφόρμα (XG),
και για λόγους μόδας/marketing (η διαχείριση απ'το cloud "πουλάει"),
αλλά συνάντησε μεγάλη (και σε μεγάλο βαθμό αρχικά δικαιολογημένη) αντίσταση.
Απ'ότι ακούω το έχουν βελτιώσει (το xg), αλλά αν έστηνα τώρα μάλλον πάλι το utm θα έστηνα.
Σαν την χλωρίνη ένα πράγμα, "αυτήν ξέρετε, αυτήν εμπιστεύεστε"...
Αυτού λεχθέντος, και τα δύο (utm & xg) δουλεύουν.

Όσον αφορά τι μηχάνημα θέλει:
Δείτε το sizing guide της sophos.
Προφανώς, όπως σε όλα τα firewalls, εξαρτάται αναλόγως από:
1. τι features έχει ενεργά,
και 2. τι throughput χρειαζόμαστε αναλόγως με την σύνδεση μας (άλλο πράγμα τα 24mbit adsl, άλλο τα 200Mbit vdsl....),
και 3. πόσους clients έχει το lan και τι κάνουν.
Και την φύση του traffic, και conn. rate, αλλά για το σπίτι μην το μπερδεύουμε.

Αν κάνει μόνο routing/firewalling l3, τότε τρέχει και σε τίποτα,
οπότε σε ένα mini pc με celeron/atom και intel nics μια χαρά θα πάει, και όντως θα καίει 5w.
Άμα έχουμε 200mbit σύνδεση, και θέλουμε ενεργό ids/ips/av/content filtering ή/και θέλουμε ταυτόχρονα 200 mbit open vpn,
μάλλον κοιτάμε κάτι σαν i5 με aes-ni και 8-16Gb ram, οπότε θα καίει 50W.

[kiriakk]

προφανώς εξαρτάται από τo τι τρέχει (πχ decrypt and scan HTTPS κάνει διαφορά), πόση είναι η κίνηση και πόσοι οι χρήστες και ποιο το hardware (γιατί αν το έχεις σε server με 6 ανεμιστηράκια, μπορεί να θέλουν 20 W μόνο αυτά)

εγώ μίλησα για 6 W στη δική μου οικιακή χρήση, όσο σχεδόν καίγανε το mikrotik και το edgerouter που είχα προηγούμενα


όσον αφορά το UTM, είναι ένα φανταστικό προϊόν, αλλά η Sophos σταμάτησε εω και χρόνια να εξελίσσει (μόνο security updates και μικροβελτιώσεις έχει δεχτεί τα τελευταία χρόνια) και μάλλον θα το εγκαταλείψει σύντομα, καθώς είναι αμφίβολο κατά πόσο μπορεί να εξελίσσει ταυτόχρονα δύο διαφορετικά NGFWs που δεν έχουν ούτε μία γραμμή κώδικα ίδια

[K1m0n]

Ναι, προφανώς.
Το διευκρίνισα διότι μπορεί κάποιος να το βάλει σε μικρό/παλιό μηχανάκι,
να τα γυρίσει όλα στο "on" και μετά να αναρωτιέται γιατί αργεί.

Για το NG το ξέρω, σε κάποια στιγμή θα(?) πάει για eol το UTM.
Πάντως, τελευταία φορά που κοίταξα το xg (2-3 χρόνια) είχε ακόμα πολλά προβλήματα.
Και στην μία περίπτωση και στην άλλη δεν χάνει κανείς τίποτα.
Δωρεάν είναι η άδεια.
Ας το στήσει σε ένα vm για να παίξει,
και αν δει ότι του κάνει μετά σκέφτεται αν θα το στήσει πάνω σε κανονικό hardware.

[netblues]

ναί, προφανώς.
Όταν έτρεχα tik στο σπίτι το είχα σε ξεχωριστό interface/subnet.
Το πρόβλημα με το tik ήταν ότι δεν μπορούσες (δεν ξέρω αν το φτιάξανε) να έχεις προβλέψιμες διευθύνσεις στο dhcpv6
(dynamic isp prefix+predefined address local), οπότε με το v6 υπήρχε ψιλό-θέμα.
Και δεν υποστηρίζει και nat v6.
Αλλά είμαστε πλέον off-topic...

Redirect στο dns με ipv6 δεν παίζει by design, παιζει μονο κοψιμο της 53 (και της 853) .
Ομως ανακαλυψα οτι πχ ολα τα xiaomi χτυπανε τα ipv6 google dns για έλεγχο υπαρξης ipv6.
Αν ειναι κομμενο αργεί μεχρι να κανει timeout και δεν παίζει και καλα το ap roaming.
Σαν λυση εβαλα την ipv6 ip της google ως virtual και απανταει το unbound ως. google.
παλι σε disable ipv6 καταληγω.... οσο δεν υπάρχει nat (υλοποιημένο και να. παίζει παντου,. οχι σκέψεις...)

[skel]

αν και καλό, το Sophos UTM απαιτεί σερβερακι που εγώ δεν εχω μηχάνημα για να το στήσω

γιαυτό και ανέφερα λύσεις του mikrotik & pi 4

[K1m0n]

αν και καλό, το Sophos UTM απαιτεί σερβερακι που εγώ δεν εχω μηχάνημα για να το στήσω

γιαυτό και ανέφερα λύσεις του mikrotik & pi 4

Και τα 2 θα σου κόψουν ότι κόψουν βασισμένα σε dns blacklist(s).
Θα κόψουν πολλά, όχι όλα.
Και όσο περνάει ο καιρός θα κόβουν όλο και λιγότερο,
καθότι πολλές διαφημίσεις περνάνε πλέον encrypted και η τάση είναι αυξητική (είναι το ψωμάκι τους...).
Και τα 2 πάνω-κάτω θα κόψουν ότι κόβει και το adguard,
καθότι όλοι τις ίδιες blacklists χρησιμοποιούν.
Οπότε, αν ήδη χρησιμοποιείς το adguard, μάλλον είναι πλεονασμός το pi-hole.

Για το πόσο κοστίζουν (σχεδόν τίποτα), είναι ok.
Αν θες να παίξεις δοκίμασε, δεν χάνεις τίποτα.

Σε κάποια δικά μου pi παλαιότερα είχα στήσει και εγώ το hole.
Είχε τα θεματάκια του, και κάθε τόσο έπρεπε να διορθώνω τι domain names είναι whitelisted,
αλλά για home χρήση και για δωρεάν μια χαρά ήταν.
Κάθε 3-6 μήνες κάτι χάλαγε με τα updates που κάνανε,
οπότε σε κάποια στιγμή βαρέθηκα να ασχολούμαι και το ξήλωσα.

Ένα L7 firewall (UTM/NGFW/what-ever-trendy-marketing-term-here) τύπου sophos/untangle ή και τα αντίστοιχα commercial,
εφόσον τα στήσεις να κάνουν https inspection θα κόψουν πολύ περισσότερα.
Και θα κόψουν και το >90% από virus/trojans/etc οπότε μένει το av του pc ώς 2ή γραμμή άμυνας.
Και αυτά θέλουν τον μπελά τους,
και πάντα κάποια σελίδα δεν θα παίζει, ή θα αργεί μέχρι να κάνει timeout το script που καλεί τα @@,
και ok το layout σε κάποιες σελίδες ενίοτε θα "σπάει",
και πάλι θα πρέπει, ειδικά τον πρώτο καιρό, να μπαίνεις κάθε τόσο και να ρυθμίζεις πράγματα,
αλλά συνολικά είναι πολύ πιο πλήρεις λύσεις,
και μπορείς και να ασφαλίσεις το δίκτυο στο σπίτι, και σε πολύ μεγάλο βαθμό να ελέγξεις και το internet.
Αλλά, ναι, δυστυχώς θέλουν ένα μηχανάκι να τα στήσεις.
Και θέλουν και άνθρωπο να καταλαβαίνει, οπότε είτε θα τα δεις σε εταιρίες (που κάποιος πληρώνεται να ασχολείται),
ή θα τα δείς σε geeks (που είναι ικανοί να πληρώνουν για να ταλαιπωρούνται).
Μάλλον στους geeks θα με κατέτασα.

Προσωπικά, προς το παρόν, χρησιμοποιώ dns adblock από τον upstream dns του router.
Κάποια στιγμή μπορεί να στήσω πάλι ένα firewall γιατί η κατάσταση με τις διαφημίσεις όσο πάει και χειρότερα.

[skel]

πολύ ενδιαφέρον το sophos UTM

σε nuc μπορεί να παίξει ή σε κάτι φθηνότερο ?

[BlueChris]

πολύ ενδιαφέρον το sophos UTM

σε nuc μπορεί να παίξει ή σε κάτι φθηνότερο ?

Αυτό τελείωσε για μένα όταν έγινε αυτό τον Απρίλιο και έχουν γίνει και άλλα στο παρελθόν

Hackers are exploiting a Sophos firewall zero-day
https://www.zdnet.com/article/hacker...wall-zero-day/

[skel]

Αυτό τελείωσε για μένα όταν έγινε αυτό τον Απρίλιο και έχουν γίνει και άλλα στο παρελθόν

Hackers are exploiting a Sophos firewall zero-day
https://www.zdnet.com/article/hacker...wall-zero-day/

μας βάζεις σε σκέψεις
θα συνεχίσουμε το ψάξιμο

[kiriakk]

πολύ ενδιαφέρον το sophos UTM

σε nuc μπορεί να παίξει ή σε κάτι φθηνότερο ?

νομίζω θες τουλάχιστον 2 nics, οπότε το nuc μάλλον δεν κάνει,

εγώ είχα πάρει παρόμοιας τιμής mini PC σαν αυτό με 4 NICs (κάτω από 200 ευρώ)

https://www.pondesk.com/product/Inte...outer_MNHO-048

είναι fanless και κατανάλωση 6 W (με 8 gb RAM + 128 gb SSD), επεξεργαστής δεν θυμάμαι, το έχω στημένο σχεδόν 3 χρόνια και το έχω ξεχάσει

κατά τα άλλα, αν έχεις την υποδομή, μπορείς να το τρέξεις και σαν VM


όσον αφορά το παραπάνω vulnerability, το δημοσίευσε η ίδια η sophos, όταν άλλοι κάνουν την πάπια,
δυστυχώς δε θα βρεις 100% στεγανό software πουθενά

[BlueChris]

Εγώ πάντως επιμένω με το untangle και είναι ένα 50αρικο το χρόνο για home usage. Εδώ είμαι για οποιαδήποτε βοήθεια (ούτε μέτοχος να ήμουν )

Όσο για το nuc, βάζεις πάνω esxi και usb3 2η ethernet οπότε οποιοδηποτε software firewall εγκαθίσταται.
Επίσης μπορείς με τη μια κάρτα κανονικά να βάλεις οποιοδήποτε firewall και να παίξεις με vlan απλά θες ένα παιδικό switch που να υποστηρίζει vlan. Εφόσον στην Ελλάδα μαξ γραμμή στα σπίτια έχουμε 200mbit τότε η 1gbit είναι μια χαρά.

- - - Updated - - -

Με ένα nuc με 8gb ram μπορείς να έχεις επάνω με esxi
Firewall
PiHole
Freepbx
Κλπ