Sziasztok!
Egy kollégiumi hálózatot szeretnénk kiépíteni. Adott egy szervergép, még nincs rá telepítve semmi. A kapcsolat 100Mbps optika:)
Amire szükség lenne:
- Kb. 150 felhasználó várható
- DHCP
- MAC szürés
- Traffic shaping hosztonként, tehát ha valaki túl sokat tölt, akkor le lehessen korlátozni
- DNS szerver
- Proxy szerver
- Ingyenes legyen
A kérdés az, hogy a tapasztaltabbak milyen operációs rendszert/firewall disztribúciót ajánlanak. Előny, ha van webes interfész.
Próbáltuk az IpCop-ot, de az kevésnek bizonyult, nincs benne hosztonkénti shaping se.
Ha lehet, ne legyen túl bonyolult, nincs túl nagy tapasztalatunk rendszerüzemeltetésben. Ha ez lehetetlen kérés, akkor jöjjön, aminek jönnie kell...
Előre is kösz a segítséget.
- 1993 megtekintés
Hozzászólások
- A hozzászóláshoz be kell jelentkezni
Ha jól értelmezem, ez a gép csak tűzfal/gateway funkciókat látna el, routing-ra nem lenne szükség. Akkor valóban valamilyen Linux (pl. Debian), iptables és tc.
Ha akarod, megnézheted ezt is.
--------------------
Tegnap beállított hozzám egy Tyrannosaurus Rex és Hamlet. Volt nagy dinóm-dánom...
- A hozzászóláshoz be kell jelentkezni
Sajnos nem vagyunk Unix guruk, ugyhogy nem igazán értünk a tc-hez, és társaihoz..Talán még az iptables megy...
Viszont találtam eghy disztrót,FreeBSDre alapul,elég jónak tünik.
Mit szóltok hozzá?
- A hozzászóláshoz be kell jelentkezni
Ha már megtaláltad a monowall-t talán nézd meg ezt is: www.pfsense.org - monowall-ra alapul...
- A hozzászóláshoz be kell jelentkezni
+1
Amennyire emlékszem már rég volt, hogy m0n0wall-t alapul vették, és azóta általában őket inkább több szolgáltatás, előbbit inkább kisebb erőforrásigény miatt szeretik.
Zavaró lehet az addon-ok "beta" ill. alacsony verziószáma (már akit ez zavar egy éles tűzfalnál pl. :), ill. ha jól rémlik load-balance volt csavaros pppoe esetén.
Viszont grafikus felületről jól adminisztrálható, és az OpenBSD-ből "átemelt" pf jól jöhet ha szűréseket akarsz.
- A hozzászóláshoz be kell jelentkezni
Ugyan nem bsd alapú és inkább UTM mint egyszerű tűzfal, de érdemes ezt is megnézni:
- A hozzászóláshoz be kell jelentkezni
+1 az érdemes megnéznire, nagyon kellemes kis rendszer, de valószínüleg nem lesz elég a topiknyitó igényhez (utolsó emlékeim alapján a community verzió kb. IpCop tudását hozta, csak kicsit jobban kézreállt, de ebben is "wondershaper" van, nem?)
- A hozzászóláshoz be kell jelentkezni
fényévekkel többet tud, mint az IPCop
--
by Mikul@s
- A hozzászóláshoz be kell jelentkezni
Mióta? :)
Mármint melyik verzió óta (kb. 2-3 éve használtam utoljára, Ipcop-ot még régebben élesen)
(Ipcop+csodás community addonnal hasonlítottad össze?)
- A hozzászóláshoz be kell jelentkezni
A 2.3-ban már van rendes QoS elvileg.
- A hozzászóláshoz be kell jelentkezni
csak egy példa: amikor legutóbb IPCopot használtam (2007.02.) nem volt benne gyárilag sok olyan komponens (pl: SPAM szűrő), ami gyárilag benne van az Endianban...
az IPCop iso-ja 50 MB-os, míg az Endiané 124 MB, azaz sokkal több funkciója van ;-)
--
by Mikul@s
- A hozzászóláshoz be kell jelentkezni
Bár a legutolsó érved szakmailag megdönthetetlen ;-), azért kérdeztem, hogy community addonokkal együtt hasonlítottad-e össze a kettőt, mert IpCophoz elég sok félhivatalos és gittegyletben készült kiegészítő van (ami nem feltétlenül bizalomgerjesztő...), spamszűrőből, vírusirtóból, ids stb. mintha mind külső termék hozzáillesztése lett volna csak, de fakó emlékeim vannak már csak.
Az új verzió "rendes" QoS képessége viszont érdekes lehet.
- A hozzászóláshoz be kell jelentkezni
szerintem próbáld ki mindkettőt, ne hallgass rám...
--
by Mikul@s
- A hozzászóláshoz be kell jelentkezni
Ipcop-->Endian-->pfSense úton járva nyúztuk ezeket eddig az egyik cégnél, máshol OpenBSD,FreeBSD és Debian megoldásokkal. Eddig gyakorlatilag mindegyik bevált a viszonylag egyszerűbb dolgokra, de hamarosan hasonló igények várhatók nálunk is mint topiknyitónál (gyakorlatilag cizelláltabb Traffic Shaping ill. több rászabaduló felhasználó és többféle jogosultsági kör; a többi igény eddig is megvolt), és lehet, hogy kevésbé unix/linuxkedvelő gazda számára is menedzselhetővé kell tenni, ezért érdekes lehet pl. hogy Endian okosabb lett.
(Amúgy nem cserélném le bevált pfSense/Free/OpenBSD-t :)
- A hozzászóláshoz be kell jelentkezni
ha jot akarsz magadnak, es mondjuk szempont az, h a tuzfalat lehessen debugolni, akkor baratkozz meg az openbsd-fele pf-fel. mondjuk a macszures az egyetlen gyenge pontja, mivel ez layer3-4 tuzfal. a macszurest en switchben szoktam megoldani, he tenyleg ilyenre van szukseg, bar igazabol komoly okom ilyet csinalni meg nem volt. fbsd-ben is van pf, megy redundansan is state table szinkronizacioval (az iptables ezt nem tudja), ami szerintem sokkal fontosabb, mint a macszures :)
- A hozzászóláshoz be kell jelentkezni
pf, megy redundansan is state table szinkronizacioval (az iptables ezt nem tudja)
Az iptables parancs valóban nem, ellenben a conntrackd (conntrack-tools) igen.
http://conntrack-tools.netfilter.org/
Ettől függetlenül az openbsd-t könnyebb beállítani tűzfalnak ha egyébként nincs tapasztalat.
- A hozzászóláshoz be kell jelentkezni
Viszont ha a traffic shaper is szempont, a tc többet tud szerintem mint az OpenBSD-ben az altq vagy a hfsc. Ráadásul ha Linux alatt a tc-t összekombinálod a layer7filterrel, akkor minden olyan forgalmat ami csak viszi a sávszélt (torrent, MSN-file küldözgetés, stb.), szépen le lehet korlátozni. OpenBSD pf-je - sajnos - nem tudja a l7filter-t. Az tény, hogy tűzfalnak egyszerűbb beállítani az OpenBSD-t, és ahogy olvastam, a teljesítménye is jobb talán mint a Linuxnak...
--------------------
Tegnap beállított hozzám egy Tyrannosaurus Rex és Hamlet. Volt nagy dinóm-dánom...
- A hozzászóláshoz be kell jelentkezni
Ízlés szerint:
http://distrowatch.com/search.php?category=Firewall&origin=All&basedon=…
Összehasonlítást sajnos nem tudok mondani, de ha nem a kézi,- debian, tc, l7filter, squid stb.,- megoldást választod, hanem kész összeállítást, itt érdemes körülnézni, maximum rá kell szánni egy kis idő a neked megfelelő kiválasztására.
- A hozzászóláshoz be kell jelentkezni
openbsd.
leghatekonyabb.
OpenBSD 4.6/i386 theo for the prezident:D
- A hozzászóláshoz be kell jelentkezni
Telepítettem a pfsense-t, szerintem tökéletes lesz, de még barátkozok vele:)
KÖszönöm a segítséget:)
- A hozzászóláshoz be kell jelentkezni
ja, az pont erre valo, jo valasztas :)
- A hozzászóláshoz be kell jelentkezni
Jó az IPCOP, csak kell hozzá advanced QoS plug-in, innen:
http://mhaddons.tk/
Ezzel akár protokollonként szűrhetsz, up és down sávszélesség limitek beállításával.
- A hozzászóláshoz be kell jelentkezni