Olcsó tűzfal megoldást keresek <10 gépes hálózathoz

Hálózatok általános

Sziasztok!

Van több, néhány gépből álló hálózatom ahol meg kellene oldanom az internetre kimenő forgalom szűrését.

Leginkább a P2P forgalmat kellene megfogni. Pár helyen ez jól működik Ubuntu + Iptables megoldással. Minden kimenő forgalom tiltva és csak a munkához szükséges portok engedélyezve. Ehhez jön még az OpenDNS.

Ezt lenne jó megoldani valami célhardverrel, ezeken a helyeken nem szeretnék külön egy gépet üzemeltetni.

Ha esetleg tud VPN kiszolgálást is 1-2 gépre az még jobb, bár ez kevés helyen kell.

  • 3001 megtekintés

Természetesen lehet. Simán lehetséges! :) screenshotolok!

A MikroTIK amúgy debian alapokon nyugszik, személy szerint azt szeretem, hogy GUI-ról tudok konfigolni, és a linux iptables rendszerét így szintaktikai ismeret nélkül is tudom használni.

shot1:
http://img189.imageshack.us/img189/3898/nvtelenbo.jpg

Már írtál, úgyhogy ide írom

Hivatalos weboldal itt:
http://www.mikrotik.com/software.html#

Itt ha letöltöd a winbox.exe-t (úgy tudom, hogy WINE-vel linux alól is megy) akkor a két demo serveren (http://demo.mt.lv and http://demo2.mt.lv) meg is nézheted hogy működik.

Wifi szolgáltatók nagyon szeretik, könnyen konfigolható (akár pppoe szerver is tud lenni, ezt szeretjük benne) folyamatos upgrade jár hozzá, erőforrás barát.

Mi több mint 15 település wifi internetét bonyolítjuk ezzel a cuccal, asszem már 5. éve. :) Itt van minden NATlog, fix-ip, OSPF, wireless bonding és még sok más. Nekünk bevált.

UP:
Tud Layer-7 protokol szűrést, ami jól jöhet Force Header Encryption-nél, mert ugye azzal elég jól lehet bújtatni a P2P-t. Viszont a tracker felé történő announcement-et muszáj neki titkosítás nélkül küldeni, és ezt már simán elkapja a Layer7 filter. ;)
De ha priorizálod az még jobb, mert akkor a "kecske is jól lakik és a káposzta is megmarad". :)

Itthon a 4 PC-re osztjuk a netet vele, és load-balanced sávszabályzás van szóval ha 2-en netezünk akkor X/2 a sáv ha hárman akkor X/3 ha egyedül akkor pedig X, adott forgalomtól függően. 1MBit garantált így mindig van mindenkinek, így ha öcsi P2P-zik én simán youtubeozok és a VOIP sem szakad meg.

olyan router, aminek minden lan portját úgy konfigolod, ahogy akarod. akár egymástól elszeparálva, akár mindegyiken külön szolgáltatások, stb.
nem ködösít, csak érteni kell hozzá ;)

--
blackPanther 10.1.1
"amióta esténként kikapcsolom a mobilomat, utolérhetetlen vagyok az ágyban." - ismeretlen szerző

Már egyet beszereltem, előtte nem is láttam ilyet és rögtön ment. Alapból az 1-es port felel meg a WAN portnak. A 2-es egy local master, így minden többi portra egyszerre állíthatsz be dolgokat. Ha nem tetszik akkor meg mindent ahogy épp akarod úgy állítod. Van egy nagyon alap webes felülete illetve a winbox.

Talán a legtöbbet a pppoe kapcsolattal küszködtem mivel alapból az 1-es portot natolta, ezt kellett átállítani, hogy a pppoe-client legyen natolva. 10 perc volt mire leesett és meg is találtam.

( junior013 | 2010. 10. 29., p – 21:19 )

Mikrotik jó cucc, de még linux tapasztalattal is egy kicsit más világ. Az tény, hogy szinte bármilyen hálózatkezelést meg lehet oldani vele, de vannak dolgok, amiket elég trükkös bekonfolni.
Szóval, nem ellene, inkább csak alternatívaként mondanék egy bármilyen OpenWRT kompatibilis routert - leginkább a klasszikus WRT54-et - még ha a wifit be sem kapcsolod rajta, akkor is.

( STP | 2010. 11. 19., p – 09:14 )

Draytek Vigor-t nézd meg. Hátha megtetszik. (OpenVPN-t nem tud.)

Bár látom, hogy szinte mindenki a Mikrotik-et ajánlja, (szánok már rá egy kis időt, és "valahogy" megnézem és is..) de én kipróbálnám helyedben a Smoothwallt is. Van hozzá url szürő, és portonként meg lehet határozni mi mehet mi nem. Ha az url szúrőt is telepíted akkor, proxy-t és még számtalan tartalmat tilthatsz. Valami hasonló mint az OpenDNS beállítása, csak sokkal részletesebben. VPN-t is tud. pop3 porton vírus ellenőrzés van...(Clamav) Webcache...és még sok minden más. Nekem tetszik, használom. Switch persze kell a hálózat szétosztásához, meg egy erős gép..Nyilván nem tudom, hogy hány gépet kel összehozni Nem olyan olcsó megoldás mint azt, ( nhw | 2010. október 16., szombat - 21:08 ) ajánlotta, Nálam egy régi P3-as gépen fut, 512MB rammal és 658 MHz-es procival. Mindenesetre egy olvasást megér.

http://www.smoothwall.org/
http://www.urlfilter.net/

Egyébként érdemes szétnézni a smoothwall fórumában is, mert sok egyéb kiegészítő is található. pld:snort, és még sok minden.

Mivel nekem routolásra kell, jelentős előnyt évez úgy a mikrotik mint más routerre települő firmware megoldások. A tartalomszűrésre van másik belső szerver, csak a szolgáltatók által kiadott IP tartományokat kell beroutoljam, hogy fel tudjam használni az IPcímeket, a lehető legkisebb sebességvesztés mellett.