Gateway-nek linux vagy "spéci doboz"

Debian GNU/Linux

Hi!

Internetes átjárónak most egy debian etch működik 7x24-ben több éve. A gép egy "kommersz" masina, de a legutóbbi karbantartásnál már látszódtak a kondikon az "évek". Szóval elkezdenék tervezni, hogy mit is tegyek átjárónak? Amit a mostani csinál:
- VLAN és a nagy részüknek DHCP
- OpenVPN a VLAN-okba
- transparent proxy, de ebből már csak a "logolás" kellene, hogy ki, mit nézeget
- tűzfal

Az Internet sebessége jelenleg 60Mb/s.

Jó lenne, ha weben keresztül lehetne managelni a "ki-mikor-mit" nézhet, illetve egyéb szabályokat, akár DHCP fix címes kiosztását.

Van esetleg a fentiekre valakinek ötlete, javaslata, vagy maradjak nyugodtan a jól bevált debian distrib-nél?

Előre is köszönöm a segítséget!

  • 3925 megtekintés

( freeoli v | 2014. 11. 18., k – 09:21 )

Segítek, de ezt elítélem ha nem mondod meg mi a nyomós oka, hogy nem számít a biztonság, kizárólag a megfigyelés :

- transparent proxy, de ebből már csak a "logolás" kellene, hogy ki, mit nézeget

Akkor nem valami remegőagyú tulajdonos akarja lecseszés előtt nézegetni a kliensek forgalmát hogy maga alatt pusztítsa a vállalatot és a dolgozók jövőjét?

Ok, remek.

Mindenképpen maradnék a linuxos tűzfal vonal mellett, de a kézi reszeléseket nagyon nem szeretem, mert nem éri meg összességében, meg egyáltalán.

A kérdés, hogy mekkora keret van rá, ha van rendesen mert van mit védeni akkor tapasztalat alapján Sophos vagy egyéb UTM hardverrel együtt, vagy hardver nélkül redundánsan, de akkor a villanyszámla lesz több. A különböző UTM-ek nagyon hasonló tudással rendelkeznek, lévén, hogy ugyanazokra a nyílt forrású szoftverekre épülnek, de nagy eltérés azok végeredménybe való átültetése.
Ha nagyon olcsón akarod megúszni akkor egy új mezei pc és egy ingyenes UTM.

Szerintem.

( KoGa v | 2014. 11. 18., k – 09:49 )

Szerintem a Debian teljesen jó ha nem bánod kézzel hackelni, ha valami szofisztikáltabb kell, PfSense, vagy esetleg egy Mikrotik router :)

+1 a Debian-ra vagy pfSense-re. Az elsőt simán átmásolhatod az új gépre.

-1 a Mikrotikre. Tud ez egyáltalán szolgáltatásokat futtatni?

Hardver témában pedig volt egy pár:
http://hup.hu/szavazasok/20140809/otthoni_nas_eszkozom

http://hup.hu/node/122904

http://hup.hu/node/130318

( junior013 | 2014. 11. 18., k – 13:48 )

Én manapság az Ethernet/IP csomagszintű hálózati feladatokat szeretem Mikrotik-re bízni, mert egyszerűen és hatékonyan konfigurálható és teszi a dolgát. Proxy-t viszont valóban nem tud OOTB.

Tehát, jelen esetben az 1,2,4 feladatokat rábíznám egy Mikrotik-re (pl. RB951G), és csak a proxy-t tenném külön, inkább csak egy virtuális gépre.

az jó. akkor a pfSense elég jó kis dolog. az openvpn-nél arra gondoltam, hogy kívülről, nem biztonságos hálózatból (pl. internet) hozzáférést biztosítani a tűzfal mögött levő biztonságos vlan-okban levő gépekhez. gondolom a vpn-ről beengedett kliensek más IP-t kapnak majd, de az már legyen a hálózatosok problémája...
--
qmi

Így már értem. Természetesen minden további nélkül megoldható, hogy az OpenVPN-en csatlakozó kliensek elérjék a belső, VLAN-on elérhető célokat. Ez csak egyszerű útválasztás, az OpenVPN kapcsolatot és a VLAN-t inkább speciális hálózati csatolóknak képzeld el ebben a szituációban, amik között a forgalom/útválasztás zajlik.

( ncc1701 | 2014. 11. 18., k – 20:47 )

Ez egy pc-n olcsóbb lesz. Az a router, amivel ezeket meg tudod valósítani, nem az olcsó kategória.

( Klarpack | 2014. 12. 04., cs – 12:59 )

Esetleg még nézd meg az endian-t. Kényelmes webes felület és ráadásul debian alapú as a kért szolgáltatások mind megvannak benne!

( Elbandi v | 2014. 12. 04., cs – 15:24 )

alternativa: ha ismered az openwrt, van x86 buildja. vlan tudja, openvpn tudja, tuzfalat tudja, http proxy is tudja, es van webes felulete is

de megnezheted a VyOS-t is: debian alap, cisco "fele" konzolos konfigolas, web sajna nincs

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!