Homebrew beágyazott BSD tűzfal (saját kezűleg)

OpenBSD

Számos felhasználó üzemeltet különálló számítógépet mint tűzfal, vagy NAT eszköz. Többnyire ezeket a feladatokat valamilyen ``high-end'' 486-os gépek végzik, amelyek valóban képesek kiszolgálni egy SOHO (Small Office - Home Office) környzetet.

A probléma:

Sajnos ezek a gépek meglehetősen nagyok, zajosak, és bármelyik pillanatban félni lehet, hogy a bennük levő alkatrészek felmondják a szolgálatot. Plusz céges környeztben az sem néz ki túl jól, hogy a titkárnő kidobásra ítélt 486-os, förtelmesen lassú boxából készít valaki vállalati tűzfalat.

Természetesen meg lehet tenni, hogy az IT költségvetés terhére szép, új, garanciával rendelkező gépet vásárolunk, és azt állítjuk be csomagszűrő tűzfalnak vagy címfordítónak. Ezzel az a baj, hogy a gép 99%-ban idle lesz, és ez így nekünk túl drága mulatság lenne.

Akkor mi a megoldás? Ilyenkor előlép a nyílt forrású evangelista és beszerez egy olcsó, kis méretű, halk, alacsony energia fogyasztású berendezést (appliance), amelyből nyílt forrású szoftver segítségével tűzfalat varázsol.

Ilyen berendezés lehet a Soekris Engineering által gyártott modellek egyike.

Michael Lucas számos nagyszerű OpenBSD-s cikk szerzője ezen a héten azt mutatja be, hogy hogyan lehet a Soekris NET4801-es (266MHz processzor, 128MB RAM) gépéből, compact flash kártya háttértárral rendelkező tűzfalat építeni. A gép dobozba építhető, DC áramellátással bír (ezek az alkatrészek mind beszerezhetők a Soekris-től).

Ha Michael Lucas, akkor természetesen OpenBSD kerül a gépre.

Az érdekfeszítő cikket megtalálod itt.

( cstamas | 2004. 03. 15., h – 12:27 )

Látott valaki olyan változatot amin gigabites interface csücsül?

Esetleg Intel Gigabit?

( BandiG v | 2004. 03. 15., h – 13:01 )

Az a baj, hogy az a kb 60 kHUF se olyan keves, ha egy "rendes" 486-os arat nezem...

A zaj es az eloregedo alkatreszek problemajat ugy oldom meg, hogy markas gepeket hasznalok. Egy regi HP... ize Compaq ...hmm.. vagyis Digital, vagy egy regi IBM jol birja evtizedek utan is. Esetleg az alaplapi elem megy tonkre, de az meg nem eletbevago. A zaj meg eleg minimalis, hisz nincs a procin venti es vinyo se kell bele/le lehet loni hdparm-mal boot utan.

Szoval ahol nincs szem elott a viszonylag nagyobb doboz, vagy nem erdekel senkit, oda meg mindig olcsobb egy korrekt regi gep.

Én is többnyire az ár miatt mondtam le a Soekris cuccokról, viszont a VIA Eden [www.] és hasonló processzorai valamint mini/nano-itx-es alaplapjai nem is annyira drágák és jóval nagyobb sebességre képesek (1Ghz) 7W fogyasztás mellett, nem beszélve a beépített AES-ről és RNG-ről... ;)

Azert eleg draga az is. 25-30e-ert kapsz egy alaplapot+procit+integralt vid. kartyat. Abba meg kell memoria, valamilyen hattertar, tap, igeny szerint valamilyen haz, billentyuzet.

Szoval azon tul, hogy kicsi meg halk, nem sokat tud felmutatni.

Egy alap athlon alaplap 10e, bele egy alap athlon proci 10-15e, meg olcsobban is kijossz, teljesitmeny es bovithetoseg szempontjabol meg porba alazza az eden-t.

Az eden inkabb az otthoni router-ekhez jo, betonhalk, kicsi, alacsony fogyasztasu.

( hory v | 2004. 03. 15., h – 18:46 )

"Cimfordito"?

Grrrrr!!!

Amugy most komolyan nem tudom, mirol beszelsz. NAT? DNS? ARP?

Mire jo ez az ertelmetlen agyba-fobe magyaritas? Igy az se erti, akinek kellene. Mire jo allandoan gutautes-kozeli elmenyeket okozni szegeny olvasoknak? Mar latlak a pokolban, trey :)

( atya | 2004. 03. 15., h – 18:57 )

Tudja valaki, hogy hol tudok ilyet venni itthon?

( Névtelen (nem ellenőrzött) | 2004. 03. 15., h – 20:15 )

En is csinaltam egy halk keszuleket router/tuzfalnak:)

lassatok:

http://oldlaptop.linuxuser.hu :)

Csak hogy egy Athlonos gep legalabb 50 wattot fogyaszt, az eden meg mint mondottam volt 7-8 watt... A teljesitmeny szempontjabol meg nezd meg, hogy mit nyom OpenBSD alatt titkositasban az Eden.

"Az eden inkabb az otthoni router-ekhez jo, betonhalk, kicsi, alacsony fogyasztasu."

Egyebkent nem pont errol szol a cikk? :D

-> SOHO

Most nem azt mondtam, hogy regota hasznalt a magyar szaknyelvben (bar ebben is ketkedek, ugyanis abban se vagyok biztos, hogy hallottam valaha), hanem abban, hogy ez alapjan te mikor mondod meg, hogy akar a fenti 3 kozul pontosan mire is gondolt az illeto (es akkor meg nem is eroltettem meg magam azzal a 3-al).

Vagy azokra is van kesz magyaritasod?

DNS: tartomanynev-szolgaltato (tartomanynev-rendszer)

ARP: cimfeloldo protokoll

(forras: www.mobidictionary.com)

nekem a DNS-nel meg a "névfeloldási szolgaltatas" is kezre esne...meg ha nem is tukorforditas.

De most oszinten: a cikk ertelmezeseben hatraltatott?

Teny, hogy idonkent zavaro lehet nehany forditas/ferdites, de sajat nyelvunkkel, es onmagunkkal szemben lehetunk annyira igenyesek, hogyha van vmire egy frappans/talalo/...stb forditasunk (magyar megfeleloje), akkor azt hasznaljuk. (vagy akar kereshetunk is ilyen kifejezeseket)

Egyebirant, ha a DNS-t es ARP-t is beleerted a cimforditasba, akkor a cikk lenyegen, mondanivalojan mit valtoztat? (csak ha mar kukacoskodunk :))

"Természetesen meg lehet tenni, hogy az IT költségvetés terhére szép, új, garanciával rendelkező gépet vásárolunk, és azt állítjuk be csomagszűrő tűzfalnak vagy címfordítónak."

Teljesen általános szöveg amely csak arra hivatott, hogy bevezetője legyen annak, hogy milyen alternatív megoldás létezik egy hagyományos személyi számítógépből épített router/tűzfal helyett. Nem teljesen mindegy, hogy a címfordítás ezesetben mit jelent?

Egyébként is a cikk elején szó van a NAT-ról...

Van úgy hogy az ember nem érti a mondatot és van, hogy csak nem akarja.