Tuzfalat, milyet?

Hálózati eszközök

Sziasztok!

ezen tuzfalal kozott vacillalok:

pfSense/OPNsense: szimpatikus, de inkabb Linux based kellene, nem BSD

Untangle/Endian: Ez mar linux, de sok funcio fizetos + nekem tul robosztus, eroforras zabalo

VyOS: eddig ez a legszimpatikusabb. Viszont azt hogy Debian 6(!!!) ra epul, nekem kicsit ilyeszto...

Esetleg tudtok meg valami megbizhato, Linux alapu tuzfalat (ami elegge eroforraskimelo)?

  • 3496 megtekintés

( Vamp | 2018. 03. 26., h – 14:27 )

bakker igy visszaolvasva:

tuzfallal, vacilalok, funkcio, ijeszto...

:D

igazabol otthonra kellene, "felig" teszt lenne, ezert is tetszik pl az "egzotikusabb" VyOS...

van image builder is, az abban keszult image megtartja a telepitett cuccokat.
berakod a data/live-build-config/package-lists/foobar.list.chroot-ba milyen csomagok kellenek meg, a data/live-build-config/includes.chroot/ ala meg a kesz configokat/scripteket. ha neha kell a kezi configolas, vyos menube csinalni cuccot nemnagy munka (van valamelyik repoban skeleton)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

hat ez igy nehez dio, en a szukseges de hianyzo csomagokat (libfoobar van hasonlo), feltennem debian repobol, a softether fajlokat meg mintha telepitve lenne az includes.chroot ala: binaris + configok + initscript megfelelo helyen

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Igen lehetne 9-es sajnos nem az. De a 8-as még évekig támogatott, a lényeges csomagokból meg úgyis Vyos specifikus van benne. (Kernel, Quagga, stb)
A 2.0 elvileg már 9-es alapú lesz és full rewrite (python alapú).

Az 1.2 azért készül ilyen lassan, mert a 2.0-val párhuzamosan fejlesztik....

A Vyos blogot érdemes olvasni a részletekért.

( mr shadow v | 2018. 03. 26., h – 14:38 )

sophos utm? otthonra ingyen van, kb 50 gépet rakhatsz mögé.

--
>'The time has come,' the Walrus said<

Müxik, csak pl nem tud IPv6-ot alapból, nem támogat loadbalancing-ot, a download accelerátor nem vált ki egy WSUS-t, Hyper-V alatt csak a 32 bites változat fut. Amúgy fasza :D . Napi URL feketelista frissítés, könnyen konfigolható proxy, QoS. Alap otthoni tűzfalnak megfelel. Én pl megspékelném azzal, hogy valami szűrt DNS szolgáltatót használnék, LAN-ról csak proxy-n át engedném a forgalmat (esetleg 1-2 fontos kivétel, ami nem müxik proxy mögül, de lassan már minden müxik), direkt IP cím megadását tíltanám az URL szűrőn (itt is meg lehet adni kivételeket a whitelist alatt).

Nem igazán. Nagyon takarékos.

Egy fapad dual core pentium appliance sokáig volt a kezem alatt és nagyon minimális erőforrást evett terhelés nélkül csak nat-al és port forward-al, de amikor minden szolgáltatás be volt kapcsolva akkor sem volt vészes, de az snort, spam, amt, vpn, av és minden volt.

( azs | 2018. 03. 26., h – 19:37 )

Esetleg csf (ConfigServer Firewall) jöhet még szóba. Szerintem egy próbát megér.
Linux (CentOS) alatt nekem évek óta alap (cPanel nélkül is).

( Vamp | 2018. 03. 27., k – 18:40 )

vegul a VyOS mellett dontottem.

Folraktam VM-nek ,hogy beletanuljak, amig meg nem jon a vas, amire folkerul.

Eddig tetszik nagyon! Nem gondoltam volna, hogy egy "Only console" tuzfal is lehet ilyen pofonegyszeru es testhezallo!

Nagyon erdekel, milyen lesz majd az 1.2.0, illetve a 2.0, de addig amig megjon, a rolling release mellett dontottem.

( hendrick v | 2018. 03. 27., k – 20:31 )

Ha tud AES-NI-t a szappanosdobozod, akkor PfSense. Mivel az enyém nem tud, ezért én migrálok majd OpnSense-re, és ha ez jól sikerült akkor ezt alkalmazom az érintett egyéb szappanosdobozokon is. A kettes opciódat én is ezért dobtam a kipróbálandók közül. A VyOS elég érdekesen néz ki, de miért nem debian stable szépen ráhegesztve? Ha van időd pont olyanra állítod, amilyet szeretnél, ha már a Vy felé kacsintgatsz...

( zeller | 2018. 03. 27., k – 21:13 )

A kérdés az, hogy mit szeretnél? A "tűzfal" témakörbe elég sok funkció beleérthető a szimpla csomagszűréstől/natolástól a forgalom mély elemzéséig, adott protokollt szigorúan betartató proxykig, vagy épp hálózati alapszolgáltatások (ntp/dns/akármi) nyújtásáig az adott zóna felé, de ide lehet csapni még akár a vpn-t is, meg bármit, amit hozzáképzelsz még :-)

Picit lehet hogy meg fogsz sértődni, de mi az amit egy kicsit okosabb router nem tud megoldani, és szükséged van rá ?

pl.: nettó 10e Ft körüli TP-Link router-ekben már gyári firmware-el van OpenVPN szerver, dedikált guest WiFi, etc ....

Ha mindenképpen "firewall"-t szeretnél, akkor definiáljuk a firewall fogalmát! :)
Ha építesz bármilyen PC vagy célhardver alapú "tűzfalat", és rárakod a korábban ajánlott ingyenes firewall OS-ok többségét, kb. semmivel sem fog többet tudni mint egy mezei router.
Lehet hogy viccesen hangzik, de így van .... pl. egy TP-Link router-ben is csak iptables van, az pedig nem tűzfal hanem egy mezei csomagszűrő!
A tűzfalak attól tűzfalak hogy összerakják, felismerik, és a megadott szabályoknak megfelelően kezeli az adott forgalmat, tehát pl. ha 80-as porton én VPN-ezek akkor azt észreveszi és nem engedi.
Ezt a fentiek közül kb. egyik sem tudja! (Zorp max, de az sem ingyen ...)
Picit túl van hájpolva ez az otthonra rakjunk tűzfalat mert akkor minden jó lesz dolog. (sokan 10 éves gépeket hajtanak tök feleslegesen 0/24-be azért hogy elmondhassák hogy van egy tűzfaluk!, de minek?)

Ha mindenképpen ez az irány, akkor ne mondj le BSD-kről! pfsense és társairól.

Egy javaslat:
APUboard (https://www.pcengines.ch/apu2.htm) + PFsense.

A tanulás az mindig jó cél! :)

De akkor inkább építsd fel saját magad!
Ha van rá keret vegyél egy APU board-ot, tegyél rá valamilyen OS-t amit alapvetően értesz, és rakd össze magad a saját "tűzfalad".

Ajánlom figyelmedbe OpenBSD + PF-et, átláthatóbb mint linux-os iptables, szerintem (és mások szerint) hatékonyabb is, egy csomag útja nagyon jól megtanulható a használata során.

> A tűzfalak attól tűzfalak hogy összerakják, felismerik, és a megadott szabályoknak megfelelően kezeli az adott forgalmat, tehát pl. ha 80-as porton én VPN-ezek akkor azt észreveszi és nem engedi.
Ezt a fentiek közül kb. egyik sem tudja! (Zorp max, de az sem ingyen ...)

Azzal a meghatározással ugyan nem értek egyet, hogy csak az L4 tűzfalak ne lennének tűzfalak (hogy mire jók, az egy másik kérdés), de a Zorp ezt speciel pont tudja ingyen is, ha a 80-ra az van mondva, hogy ott HTTP mehet, akkor ott csak HTTP mehet, azt meg beszéli a GPL is. Mondjuk ezt pont tudja akármilyen transparens HTTP proxy megoldás is, ahol a tűzfal az összes 80at rádobálja a proxyra. Ilyen meg pl a választott vyos-ben pont van.

( okcomputer44 | 2018. 03. 29., cs – 10:30 )

pfSense eleg jo, mert nincs eroforras igenye, siman el van virtualis kornyezetben + integralhato a Snort IPS rendszer, ami napi szinten frissul globalis listabol, mindezt ingyen. A Snort-ot mondjuk finomhangolni kell, mert legalis oldalakat is siman le tud tiltani, ha valamint ugy lat hogy hibas/nem megfelelo (foleg HTTPS es IMAPS-nel tapasztaltam ilyen hibakat), de nagyon jol mukodik pfSense alatt. Valamint regelni kell az ingyenes hasznalathoz is, mert kulcsot hasznal a frissiteshez.
Amugy 1 het alatt be lehet loni a finomhangolast es utanna megy "magatol".

https://snort-org-site.s3.amazonaws.com/production/document_files/files…

Ha meg mindenkeppen Linux-os tuzfalat akarsz, akkor csf, ez is eleg jol karban van tartva es megbizhato, mert cpanel alatt hasznaljak eloszeretettel. De ezeket mar emlitettek mar egy paran.