Firewall-Router OS?

Hálózatok általános

Sziasztok,

A cegnel kellene fejleszteni egy kicsit, mert a jelenlegi Cisco rv042 -nek elertuk a korlatait.
Arra gondoltam, hogy egy telepitett utm lenne a legjobb, es olvastam az endian-rol, ami tudasban tok jo lenne. Azonban itt a HUP-on azt is olvastam, hogy tobbeteknek szivasa volt vele. Roviden a kovetkezok kellenenek:
-transzparens http, smtp, pop3 poxy (spam, antivirus)
-vpn pptp 20 kliensig
- szokasos router funkciok (pppoe, nat,stb)

Mit javasoltok?

  • 4017 megtekintés

( LMoon | 2015. 01. 25., v – 14:30 )

Endian -al néha akadnak kellemetlenségek.

Mikrotik-es rúter !?

v.

Olcsóbb Mikrotik és egy linux a proxy-nak!?

VAn. http://www.sophos.com/en-us/support/knowledgebase/119003.aspx

Az Endian sem rossz. ClearOS, Untangle, pFsense, hosszú lista, de a sophost jól ismerem, jó megoldás. Viszont 50ip-ig kizárólag otthoni felhasználóknak ingyenes és jár vele sophos vírusirtó is.

http://distrowatch.com/search.php?category=Firewall

( szollosiimre | 2015. 01. 26., h – 08:48 )

Milyen szűrésre van szükséged?

A pfsense ad lehetőséget akár ssl kibontásra is.

Persze url szűréshez kell valami szolgáltatói url lista. Regexp sajnos nem kellőképp szofisztikált már.

A squid elé rakhatsz antivírus proxyt is.

A pptp kapcsolatokat tudja proxyzni befele, igy nem portpt fogsz nyitni.

Egyben lehetőséget is ad hogy pld ssl vpnt használj pptp helyett.

Többet üzemeltetek, egy jó konfiggal 0 gond van velük.

A snort egy agyrém benne, ha dolgoztál már fizetős ips megoldással, de használható

Mikrotik is nagyon jó szerszám, pld elsődleges tűzfalnak. Ha ezt sokallod, az nagy baj, mert többek között az ára miatt szeretik.
Nem mellesleg minden olyan szolgáltatás, pld redundancia van benne, amit jól ki is tudsz használni. Ad lehetőséget pld l7 filterek használatára is.

Az installban nincs. Viszont van benne internal repo, amivel behúzhatod a squid, illetve egyéb program igényeidet is. SMTP-ben konkrétan akár mail gateway-t is építhetsz. POP3 proxyzást most passzolnám. Azt sosem csináltam belőle.

Fontos kiegészítés, hogy a repo-ban található csomagok beépülnek a GUI-ba

Hoszzú olvasgatás után ez lesz a nyerő. Köszi!
Egy láma kérdésem lenne. DMZ. Van egy modem-router -> LAN környezet. Van szerver a LAN on, aki OWA, ActiveSync-et,Oulook Anywhere-t publikál jelenleg a routeren forwardolva (https - 443)Ha beállítom a pfsense-t proxy-firewall-vpn funkciókkal, hova a legpraktikusabb/legbiztonságosabb elhelyezni a struktúrában? A routeren (Cisco RV042) van DMZ port. Jó a Router->pfsense->LAN, vagy a pfsense menjen a DMZ port-ba? Proxy lenne és reverse proxy egy OWA-hoz, illetve bejövő VPN kapcsolatokat kellene kezelnie.

Meghagynám. Biztonság szempontjából kérdéses a DMZ. Ha jól értelmezem, akkor a jelenlegi port forwarding konfigurációban ha kompromittálódik a 443-on a szerver, akkor az egész LAN szegmens veszélybe kerülhet. Ha a pfSense kikerül a DMZ-be, akkor mint reverse proxy, és cache proxy-ként lesz beállítva a LAN számára, és ha valami miatt összeszakad (összeszakítják), akkor a LAN (és a szerver)nem kerül veszélybe. Vagy rosszul gondolom?

Alapvetően jól gondolod csak kérdéses hogy így még érdemes e a pfsense-en gondolkozni.

Gyakorlatilag te scannelő proxy-t futtatnál és talán email gateway-t, meg VPN szervert. Meg kell nézni hogy támogatja az antivírus az OS-eket.

IMAP-al és POP-al nem hiszem hogy érdemes bajlódni, URL-ket és végrehajtható/csatolt állományokat tudsz proxy-n illetve SMTP-n szűrni.

( Lacyc3 v | 2015. 01. 26., h – 11:44 )

Az Endiánt csak komolyabb tesztelés után ajánlom, kicsit béta íze van neki.

A kettes sorozat:
-> Valamelyik proxy (nem HTTP) beállításnál WSOD-zik.
-> Ha egyszer beállítottad az adott hálózati csatolóra hogy pingeljen egy host-ot és így nézze hogy van-e kapcsolat, akkor onnan ha fene-fenét eszik, akkor sem tudod ezt a funkciót kikapcsolni webes felületről. De a host átírható. x)
(-> Mintha lett volna olyan, hogy elszálltak a hálózati csatolók beállításai, de ez nagyon zárójeles.)
-> Snort rendben volt.
-> HTTP szűrés (ClamAV, Squid) rendben volt míg használtuk, aztán nem bírt a sok userrel és kidobta a taccsot.
-> Tűzfal és routing beállítások rendben voltak, megfelelően ment a webes felület.
-> A DNSmasq nem a világ legjobban konfigurálható DNS szervere, szóval ha több igényed van annál, mint a hosts-ba írogatni a helyi ip:név párosokat, akkor más kell.
-> OpenVPN rendben volt.
Amúgy egész megbízható.

A hármas sorozat:
-> Bugos a VPN kezelés, valami számomra érthetetlen okból elszáll a Blue csatoló ha fut a VPN.
-> Nincs WSOD.
-> Snort rendben.
-> HTTP szűrés mint a kettesben.
-> Tűzfal / routing rendben.
-> Maradt a dnsmasq.
Kicsit bizonytalanabbnak érzem mint a kettest, bár lehet hogy hozzátett ehhez egy keveset az itt-ott felbukkanó "devel" felirat.. Egy kicsit lassabb is. De gond ezzel sem volt.

Mindkettő szépen fut KVM-ben. Telepítéskor sima IDE-ként kell a virtuális lemezt odaadni neki, csak akkor látja. Telepítés után már ismeri a virtio-t, nem lesz vele gond.

Szóval elég szeszélyes a kicsike. :)

( djsilas | 2015. 02. 23., h – 11:31 )

Ez az SMTP/POP3 nem teljesen világos, hogy mit is szeretnél velük... így abban sem vagyok 100% biztos, hogy igényeidnek megfelel, de adnék egy esélyt a Zeroshellnek. Ahol lehet ezt használom, és az "igénytelen", de cserébe legalább gyors WebGUI miatt nincs olyan érzésem sem, hogy manuálisan hamarabb bekonfigolnám, mint kattintgatva (lásd pl: Zentyal...)
http://www.zeroshell.org/