Επιλογές hardware για Firewall/UTM

[ChriZ]

Ετσι ειναι αυτα τα arcane πραγματα. Ψιψιψινια και κοκοκοψαρα. Αμα στραβωσει,δεν. Ασε που μετα απο καιρο, ουτε που θα θυμασαι τι εκανες και θα πρεπει να το ξανανακαλυψεις

Μπα αυτό δεν το ξαναξεχνάω... έχω κάνει πάμπολες εγκαταστάσεις μέσω κονσόλας.. πρώτη φορά μου τυχαίνει αυτό..
Και μετά από τόσες τζάμπα ώρες... όχι δεν το ξαναξεχνάω...

[K1m0n]

On a side note:

Πέραν της Qotom, τα αντίστοιχα μηχανάκια βγάζει και η minisys/Yanling.
Διαθέσιμα (και) εδώ -> https://yanling.aliexpress.com/store/3058001

Θα μου πεις, τι μας νοιάζει? τόσοι Κινέζοι βγάζουν τα ίδια.
Είναι ο OEM της https://protectli.com/ οι οποίοι τα υποστηρίζουν και με bios,
και με δικό τους release του coreboot: https://protectli.com/kb/coreboot-on-the-vault/

Μιας και περί firewall η συζήτηση, το coreboot μπορεί να είναι ενδιαφέρουσα επιλογή.

[DVader]

Ανέκαθεν ήταν το ίδιο χωρίς το support του RHEL, και για αυτό το βλέπεις σε πάρα πολλές επιχειρήσεις.
Η Redhat (δηλαδή η IBM) όμως σταμάτησε το dev του Centos, κράτησαν το support του 7 ως το 2024, αλλά του 8 μέχρι το τέλος του 2021, ώστε να πουλήσουν μερικά ακόμα support contracts.
Δηλαδή κάποιος που έφαγε το ήδη το μανίκι να πάει από 7 σε 8, τον ξέσκισαν, πρέπει να το κάνει ξανά είτε για rhel είτε για κάποια άλλη διανομή.
Μετά από τις δικαιολογημένες αντιδράσεις, έδωσαν σαν ανταποδοτικό, δωρεάν το RHEL για μέχρι 16 hosts (νομίζω ότι πιάνει τα πάντα σε αυτό το νούμερο VM,container,bare-metal hosts και όχι μόνο physical servers).

Αυτό για το 8 το ξέρω ...Ομως για Server σε production εκτός LAN τι βάζεις σαν επιλογή..?

[netblues]

Redhat enteprise λεμε, εκτος αν το μαγαζι σου χρειαζεται πανω απο 16

[megahead13]

On a side note:

Πέραν της Qotom, τα αντίστοιχα μηχανάκια βγάζει και η minisys/Yanling.
Διαθέσιμα (και) εδώ -> https://yanling.aliexpress.com/store/3058001

Θα μου πεις, τι μας νοιάζει? τόσοι Κινέζοι βγάζουν τα ίδια.
Είναι ο OEM της https://protectli.com/ οι οποίοι τα υποστηρίζουν και με bios,
και με δικό τους release του coreboot: https://protectli.com/kb/coreboot-on-the-vault/

Μιας και περί firewall η συζήτηση, το coreboot μπορεί να είναι ενδιαφέρουσα επιλογή.

Όταν έψαχνα hardware για το pfSense είχα δει και αυτό της Protectli που τους πρότειναν πολλοί στο reddit. Μπορεί να έχουν καλύτερη υποστήριξη, coreboot, κτλ, αλλά θεωρώ ασύμφορες τις τιμές τους γι' αυτό που είναι. Πήρα κατευθείαν από τον Κινέζο (σκέτο το κουτί, χωρίς μνήμη και SSD). Αν ζούσα Αμερική, τότε ναι, καλύτερα από την Protectli.

[K1m0n]

Όταν έψαχνα hardware για το pfSense είχα δει και αυτό της Protectli που τους πρότειναν πολλοί στο reddit. Μπορεί να έχουν καλύτερη υποστήριξη, coreboot, κτλ, αλλά θεωρώ ασύμφορες τις τιμές τους γι' αυτό που είναι. Πήρα κατευθείαν από τον Κινέζο (σκέτο το κουτί, χωρίς μνήμη και SSD). Αν ζούσα Αμερική, τότε ναι, καλύτερα από την Protectli.

Αυτό που υπαινισσόμουν είναι ότι πέραν του protectli (που όντως είναι ασύμφορο στην Ευρώπη),
υπάρχει (έστω πλαγίως) έτοιμο coreboot για τα αντίστοιχα yanling.

[DVader]

Redhat enteprise λεμε, εκτος αν το μαγαζι σου χρειαζεται πανω απο 16

Δεν μιλάω για LAN μιλάω για server σε Hetzner like ... εκεί δεν προσφέρουν REL σαν OS παντού

[kontax]

Ξεκίνησα την αναβάθμιση στο home δίκτυο μου με αγορά FritzBox 7590 (τώρα σε VDSL και σε αναμονή FTTH 100) , managed switch Dlink DGS1100-16v2 και Ubiquiti Unifi U6-Lite με σκοπό τη δημιουργία vlans.
Έστησα κα ένα raspberry pi zero με pihole για DNS server και μου μένει η επιλογή για firewall appliance. Θέλω να ασχοληθώ με pfsense και για αυτό μάλλον πάω για λύση Yanling ή κάτι παρόμοιο.
Λόγω απειρίας δεν έχω καταλήξει στην τοπολογία της σύνδεσης. Για να μην χάσω την voip τηλεφωνία θα πρέπει υποθέτω να συνδέσω πρώτα το fritz και μετά με double nat να συνδέσω το pfsense.
Επίσης ο οδηγός για transparent bridge λειτουργία του pfsense δείχνει και αυτός αδυναμίες.

[netblues]

Καλυτερη επιλογή ειναι το 7530ax. Το 7590 παλιωσε, και καθότι voip, η αναλογικη ειναι αχρηστη
Το fritz υποστηρίζει passthrough, και ετσι θα παίξει και το pfsense
Το pihole functionality το κανει το pf μαλλον καλύτερα
Εφοσον θα παίξουν vlans δεν χρειάζονται πολλες ethernet υποχρεωτικά
Τι εννοεις pfsense transparent bridge?

[DVader]

Redhat enteprise λεμε, εκτος αν το μαγαζι σου χρειαζεται πανω απο 16

Δες για Alma Linix ή Rocky Linux που έρχεται ... Θεωρούνται ότι είναι CentOS replacements...
Βασικά θα δοκιμάσω και τα 2 και θα δώ ποιό έχει περισσότερο χρήση από τον κόσμο που σημαίνει ότι θα υποστηριχτεί καλύτερα ..

Το Rocky Linux το χτιάχνει ο Founder του CentOS και το Alma Linux ο Cloun Linux Founder

Δεν ξέρω πόσο καλά είναι ..αλλά ξέρω ότι τα Data centers έχουν αρχίσει και δίνουν το Alma

Για REL δεν το βλέπουν που ρώτησα και δίνουν Alma αντί για αυτό

Έχετε τα στο νού σου ...

[kontax]

https://docs.opnsense.org/manual/how...nt_bridge.html
A transparent firewall can be used to filter traffic without creating different subnets. This application is called filtering bridge as it acts as a bridge connection two interfaces and applies filtering rules on top of this.
Το σκέφτηκα σαν πιο εύκολη υλοποίηση στο υπάρχων δίκτυο.
To 7530ax το σκέφτηκα αλλά με απέτρεψαν οι πολλές αρνητικές κριτικές στο amazon.de . Βέβαια η πλειοψηφία αυτών αφορούσε το wifi του , που έτσι και αλλιώς εγώ δεν θα χρησιμοποιούσα λόγω ubiquiti.

[euri]

Ας μπω και γω για λίγο hijacking

Ελπίζω ότι σε ένα μήνα θα έχω FTTH 1000/100. Και φυσικά σκέφτομαι ένα pfsense μαραφέτι, κάτι σαν του megahead13. Μιας και βλέπω αρκετούς να ασχολείστε, τι specs προτείνετε για να αξιοποιήσει τη γραμμή;

[K1m0n]

Έστησα κα ένα raspberry pi zero με pihole για DNS server

Το ad-block (και οι dns/dhcp) μάλλον θα ήθελες να είναι στο pf.

Για να μην χάσω την voip τηλεφωνία θα πρέπει υποθέτω να συνδέσω πρώτα το fritz και μετά με double nat να συνδέσω το pfsense.

wan/dsl<---fritzbox<---pppoe---[pfsense]<----[switch]<------(lan)
Δεν είναι ιδανικό, θα ήθελες το modem πάνω στο pf (για sqm) αλλά δεν μπορείς να κάνεις κι'αλλιώς.
Δεν κάνεις double-nat όσο μπορείς να το αποφύγεις.

ο οδηγός για transparent bridge λειτουργία του pfsense δείχνει και αυτός αδυναμίες

Επίσης θα ήθελες να το αποφύγεις.

-------------------------------------------------

τι specs προτείνετε για να αξιοποιήσει τη γραμμή;

Αναλόγως *τι* θα τρέχει το pf.
Για gbit σκέτο nat πάνω από pppoe (κάνει pppoe το fiber, ή είναι eth?) με βασικό firewall λογικά ένας (σύγχρονος) i3 με Intel nics θάναι παραπάνω από ok.
Αν είναι nat+routing+vpn+av+snort μάλλον κοιτάς κάτι σε xeon.
vpn (αναλόγως το vpn πάντα) και idp τρώνε cpu/ram.

Ρίξε μια ματιά στο forum τους, έχει τα σχετικά guidelines.

[megahead13]

Ας μπω και γω για λίγο hijacking

Ελπίζω ότι σε ένα μήνα θα έχω FTTH 1000/100. Και φυσικά σκέφτομαι ένα pfsense μαραφέτι, κάτι σαν του megahead13. Μιας και βλέπω αρκετούς να ασχολείστε, τι specs προτείνετε για να αξιοποιήσει τη γραμμή;

Στο δικό μου είχα τρέξει ένα iperf και το 1Gbps το έπιανε για πλάκα. Φυσικά αυτό δε λέει κάτι όταν κοιτάς το firewall/IPS/UTM throughput (πχ Snort/Suricata, pfBlockerNG, κτλ). Πιστεύω όμως πως για απλό SOHO περιβάλλον είναι υπέρ αρκετά αυτά τα μαραφέτια.

Εναλλακτικά (και για επαγγελματικούς λόγους) κοίταζα τα Fortigate της Fortinet που ανέφερε και ο JohnF εδώ. Δεν τα έχω δουλέψει αυτά τα NGFWs, αλλά τα μικρά τους μοντέλα φαίνονται εξαιρετικά για SOHO περιβάλλον χωρίς να χρειάζεται να ξοδέψεις μια περιουσία (σίγουρα ακριβότερα από ένα κινεζοκουτάκι με pfSense, δωρεάν Sophos, κτλ). Βέβαια, σε αυτή την περίπτωση εκτός από το κόστος της αρχικής αγοράς μπλέκεις και με licensing. Εδώ κι ένας τύπος που ασχολείται με αυτά.

- - - Updated - - -

Αναλόγως *τι* θα τρέχει το pf.
Για gbit σκέτο nat πάνω από pppoe (κάνει pppoe το fiber, ή είναι eth?) με βασικό firewall λογικά ένας (σύγχρονος) i3 με Intel nics θάναι παραπάνω από ok.
Αν είναι nat+routing+vpn+av+snort μάλλον κοιτάς κάτι σε xeon.
vpn (αναλόγως το vpn πάντα) και idp τρώνε cpu/ram.

Ρίξε μια ματιά στο forum τους, έχει τα σχετικά guidelines.

Αν μιλάμε για SOHO, τότε θεωρώ πως είναι υπερβολή ο Xeon! Τρέχω αυτά που λες (εκτός AV) με το κινεζοκουτάκι μου που έχει ένα Celeron J3160 και 8GB RAM

[BlueChris]

Ας μπω και γω για λίγο hijacking

Ελπίζω ότι σε ένα μήνα θα έχω FTTH 1000/100. Και φυσικά σκέφτομαι ένα pfsense μαραφέτι, κάτι σαν του megahead13. Μιας και βλέπω αρκετούς να ασχολείστε, τι specs προτείνετε για να αξιοποιήσει τη γραμμή;

Από ότι κοιτάω και διαβάζω στο φόρουμ της untangle, σε 1000αρα γραμμή και για σοβαρό μηχάνημα για utm με ips κλπ, δεν υπάρχουν απλές λύσεις. Οι περισσότεροι πάνε σε HP Gen 8-10 μικρα server με 5 ή 10gb lan cards γιατί η 1gb lan card φυσικά δεν φτάνει. Ότι και να είναι πρέπει να είναι υποχρεωτικά με intel κάρτα δικτύου για πάρα πολλούς λόγους.
Θα το δω πιο ζεστά και θα σου πω.
Ξέρεις το ρούτερ που θα σου φέρουν τι lan card θα έχει?