Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[user9999]

Moi!

Mulla on tuollainen QOTOM-Q355G4 I5 5250U pfsensellä palomuurina... Kun olette kokeneemmat näiden kanssa pelailleet niin löytyykö noihin Qotomeihin Bios päivityksiä ja onko edes syytä?

Toinen mikä tuli mieleen:

AES-NI CPU Crypto: Yes (inactive)

Nyt en ole katsonut mutta pitäisi varmaan... mistä bioksesta löytyy tuon vipu?

Olisiko näistä apua?

 

[Pertti Kosunen]

Uuden koneen kanssa ensimmäinen tehtävä on käydä kaikki BIOS-valikot läpi, ja hyvä sääntö on, että älä muuta, jos et tiedä.

 

[et328]

Toimiiko teillä pfBlockerNG:n kaikki servicet kun Traffic Shaper on käytössä? Ilmeisesti se ei toimi oikein tämän kanssa.

pfb_filter ei minulla pfSensen alkuruudun mukaan ole käynnissä. Ei liity traffic shaperiin vaan on bugi joka korjaantuu seuraavassa pfblockNG:n versiossa. Tuo service kuitenkin oikeasti on käynnissä.

 

[dot1q]

Nopealla testaamisella tuo 2.4.4. puhtaana asennuksena ex-ser rauta2:seen meni ihan plug and play tyyliin.

 

[et328]

pfb_filter ei minulla pfSensen alkuruudun mukaan ole käynnissä. Ei liity traffic shaperiin vaan on bugi joka korjaantuu seuraavassa pfblockNG:n versiossa. Tuo service kuitenkin oikeasti on käynnissä.

Nyt oli tullut uusi pfblockNG versio jossa tuo on korjattu.

 

[user9999]

Jos on Shuttle XPC Slim purkkeja pfSense käytössä niin löytyy uusi bios.

Release Date: 2018/10/03 Checksum: 46CD
1. Update uCode.
2. Fix HDMI w/ Secure Boot enabled issue.

DS77U
Shuttle Global - DS77U SERIES

DS68U
Shuttle Global - DS68U

 

[user9999]

Jos on Shuttle XPC Slim purkkeja pfSense käytössä niin löytyy uusi bios.

Release Date: 2018/10/03 Checksum: 46CD
1. Update uCode.
2. Fix HDMI w/ Secure Boot enabled issue.

DS77U
Shuttle Global - DS77U SERIES

DS68U
Shuttle Global - DS68U

Uusi bios asennettu DS77U purkkiin. Pfsense käy ja kukkuu.

 

[escalibur]

Jos on Shuttle XPC Slim purkkeja pfSense käytössä niin löytyy uusi bios.

Release Date: 2018/10/03 Checksum: 46CD
1. Update uCode.
2. Fix HDMI w/ Secure Boot enabled issue.

DS77U
Shuttle Global - DS77U SERIES

DS68U
Shuttle Global - DS68U

Saiskohan tuon jotenkin päivitettyä ilman näytön ja näppiksen kytkemistä laitteeseen ts. etänä? Laiskottaisi irrottella laitteen paikoiltaan pelkän Bios-päivityksen vuoksi.

 

[user9999]

Saiskohan tuon jotenkin päivitettyä ilman näytön ja näppiksen kytkemistä laitteeseen ts. etänä? Laiskottaisi irrottella laitteen paikoiltaan pelkän Bios-päivityksen vuoksi.

En tiedä.
Itse tappelin tuon päivityksen kanssa varmaan tunnin. Ekaksi tein rufuksella usb tikun ja ei buutannut siltä kun oli biossissa Boot Mode Select UEFI tilassa
Mukava päivitellä tuota konetta kun netti poikki. Piti kännykkää käyttää hotspottina

 

[escalibur]

En tiedä.
Itse tappelin tuon päivityksen kanssa varmaan tunnin. Ekaksi tein rufuksella usb tikun ja ei buutannut siltä kun oli biossissa Boot Mode Select UEFI tilassa
Mukava päivitellä tuota konetta kun netti poikki. Piti kännykkää käyttää hotspottina

Just sen takia laiskottaa repiä laitteen pois linjoilta. Noh pitää katsoa joku päivä kun jaksaa.

 

[857 kuittaa]

Työpaikan SER:riin on ilmestynyt Watchguard Firebox X55e pari kappaletta eli ilmeisesti IT osasto uudistaa vehkeitään niin tekeekö tollasella laitteella mitään? Jos saan luvan sen sieltä ottaa...

Minun tietotaso tällä hetkellä näistä vehkeistä on melko vähäistä eli onko kuinka hankala konffata jne jne? Vai jättääkö suosiolla väliin? Tarkoitus oli kyllä jossain vaiheessä vähän opiskella asiaa, mutta onko tämä huono kohde siihen?

 

[FireExit]

Työpaikan SER:riin on ilmestynyt Watchguard Firebox X55e pari kappaletta eli ilmeisesti IT osasto uudistaa vehkeitään niin tekeekö tollasella laitteella mitään? Jos saan luvan sen sieltä ottaa...

Minun tietotaso tällä hetkellä näistä vehkeistä on melko vähäistä eli onko kuinka hankala konffata jne jne? Vai jättääkö suosiolla väliin? Tarkoitus oli kyllä jossain vaiheessä vähän opiskella asiaa, mutta onko tämä huono kohde siihen?

En tutkinut tarkemmin tuotta Fireboxin tapausta, mut muistaakseni noissa tais olla yleensä lisenssi maksu, joka pitää maksaa että se toimii. Vai olikohan se päivityksistä? Joku paremmin tietävä varmaan korjailee toivon mukaan mun mutuilua .

 

[Obi-Lan]

Jos saat tunnukset siihen Watchguardiin niin sitten sitä ehkä pystyy käyttää. Jos lisenssi on ummessa ja resetoit laitteen, et pysty ottamaan sitä käyttöön ennen kuin ostat uuden lisenssin. Ja lisenssit on kalliita, yleensä uusi laite + 3v lisenssi on halvempi kuin pelkkä lisenssi vanhaan laitteeseen.

Conffailu riippuu kuinka vanha softa sinne on jäänyt, vanhempia piti confata erillisellä Windows sovelluksella (minkä saa kun on se lisenssi..) tai uudemmissa firmiksissä on web gui. x55 on aika vanha tosin.

 

[FireExit]

Jos saat tunnukset siihen Watchguardiin niin sitten sitä ehkä pystyy käyttää. Jos lisenssi on ummessa ja resetoit laitteen, et pysty ottamaan sitä käyttöön ennen kuin ostat uuden lisenssin. Ja lisenssit on kalliita, yleensä uusi laite + 3v lisenssi on halvempi kuin pelkkä lisenssi vanhaan laitteeseen.

Conffailu riippuu kuinka vanha softa sinne on jäänyt, vanhempia piti confata erillisellä Windows sovelluksella (minkä saa kun on se lisenssi..) tai uudemmissa firmiksissä on web gui. x55 on aika vanha tosin.

Nyt ku tuli sopivasti asiasta tietävä paikalle, niin pakko kysyä: Onko noiden ns. rautapalomuurien kaikki ominaisuudet lissun takana, vai annetaanko jotain ilmatteeksi? Itellä on joku hämärä kuva jostain Tietokone-lehden jutusta että joitain perustoimintoja tulis ilmatteeksi, mut se on tosiaan todella kaukainen ja hämärä muisto... Ja sekin tais olla jostain advanced muurista, johon kuulu vir.torjuntaa + muuta härpäkettä samaan masiinaan.

 

[Obi-Lan]

Nyt ku tuli sopivasti asiasta tietävä paikalle, niin pakko kysyä: Onko noiden ns. rautapalomuurien kaikki ominaisuudet lissun takana, vai annetaanko jotain ilmatteeksi? Itellä on joku hämärä kuva jostain Tietokone-lehden jutusta että joitain perustoimintoja tulis ilmatteeksi, mut se on tosiaan todella kaukainen ja hämärä muisto... Ja sekin tais olla jostain advanced muurista, johon kuulu vir.torjuntaa + muuta härpäkettä samaan masiinaan.

Yleensä vai Watchguardissa? Yleisesti anti-virus, anti-spam, ips yms ovat maksullisia tilauslisenssejä ja perus porttipalomuuri, nat yms ominaisuudet kuuluvat siihen peruslaitteeseen. VPN kanssa käytäntö myös vaihtelee, esim. client vpn voi olla maksullinen mutta site-to-site ilmainen jne.

WG taas on melkoisen mulkero lisenssinsä kanssa ja vastaan tulee tilanteita missä laite on tiiliskivi ilman toimivaa lisenssiä. Olen niitä töikseni joskus asentanut ja jossain kohtaa niitä oli kellarissa melkoinen kasa mikä kipattiin SERriin koska ilman lisenssejä olivat arvottomia.

 

[FireExit]

Yleensä vai Watchguardissa? Yleisesti anti-virus, anti-spam, ips yms ovat maksullisia tilauslisenssejä ja perus porttipalomuuri, nat yms ominaisuudet kuuluvat siihen peruslaitteeseen. VPN kanssa käytäntö myös vaihtelee, esim. client vpn voi olla maksullinen mutta site-to-site ilmainen jne.

WG taas on melkoisen mulkero lisenssinsä kanssa ja vastaan tulee tilanteita missä laite on tiiliskivi ilman toimivaa lisenssiä. Olen niitä töikseni joskus asentanut ja jossain kohtaa niitä oli kellarissa melkoinen kasa mikä kipattiin SERriin koska ilman lisenssejä olivat arvottomia.

Ihan yleisesti ajattelin. Ja kiitos vastauksesta!

 

[857 kuittaa]

Jos saat tunnukset siihen Watchguardiin niin sitten sitä ehkä pystyy käyttää. Jos lisenssi on ummessa ja resetoit laitteen, et pysty ottamaan sitä käyttöön ennen kuin ostat uuden lisenssin. Ja lisenssit on kalliita, yleensä uusi laite + 3v lisenssi on halvempi kuin pelkkä lisenssi vanhaan laitteeseen.

Conffailu riippuu kuinka vanha softa sinne on jäänyt, vanhempia piti confata erillisellä Windows sovelluksella (minkä saa kun on se lisenssi..) tai uudemmissa firmiksissä on web gui. x55 on aika vanha tosin.

Joo taidan suosiolla jättää tän väliin .

 

[escalibur]

Eikös jossain vanhoissa WG:issä hallinta vaadi Windows-konetta, kun Policy-manageria ei saada muille käyttiksille? Saatika että se toimisi suoraan selaimella.

 

[Obi-Lan]

@escalibur kyllä, tarkemmin muistellen noissa pikkupurkeissa taisi olla joku webbi guikin, isompia confattiin sit pelkästään sillä softalla. Sinällänsä "ihan ok" kun sai ajaa koko configsen kerralla sisään. Ei ihan niin kauaa sitten totesin jonkun buginkin, asetus ei toiminut web gui:lla mutta policy managerin kautta laitettuna kyllä.

 

[escalibur]

Uusi päivä, uudet kujeet: Mass router hack exposes millions of devices to potent NSA exploit


pfSense

 

[user9999]

pfSense 2.4.4-RELEASE-p1 now available

Version 2.4.4-RELEASE-p1 (amd64)
built on Mon Nov 26 11:40:26 EST 2018
FreeBSD 11.2-RELEASE-p4

 

[escalibur]

pfSense 2.4.4-RELEASE-p1 now available

Version 2.4.4-RELEASE-p1 (amd64)
built on Mon Nov 26 11:40:26 EST 2018
FreeBSD 11.2-RELEASE-p4

Kokemuksia päivityksestä: pfSense 2.4.4-RELEASE-p1 Now Available • r/PFSENSE

 

[escalibur]

Vuoden ensimmäinen päivitys:

Releases — 2.4.4-p2 New Features and Changes | pfSense Documentation

pfSense 2.4.4-RELEASE-p2 now available : PFSENSE

Edit: Tässä on uudehko ohje FQ_Codelin käytönottoon. Huom! QMA: Tail Drop, Codelin sijasta.

Playing with fq_codel in 2.4

 

[user9999]

Vuoden ensimmäinen päivitys:

Releases — 2.4.4-p2 New Features and Changes | pfSense Documentation

pfSense 2.4.4-RELEASE-p2 now available : PFSENSE

Edit: Tässä on uudehko ohje FQ_Codelin käytönottoon. Huom! QMA: Tail Drop, Codelin sijasta.

Playing with fq_codel in 2.4

Asennettu ilman ongelmia. Muokkasin noita FQ_Codel juttuja niin täytyy testailla jossain vaiheessa...

Edit:

Spoileri: Pikatesti

 

[escalibur]

Asennettu ilman ongelmia. Muokkasin noita FQ_Codel juttuja niin täytyy testailla jossain vaiheessa...

Edit:

Spoileri: Pikatesti

Testasin itsekin (1G/100MB kuitu):

Poistin kaikista ECN:n ja Queue length:n Loin samalla myös IPv6 säännöt.

 

[FireExit]

Täälläkin testailua 100/10Mbps -yhteydellä:

En tiä kuvittelenko vai rupesko sivut nyt jonteki aukeemaan nopeempaa kuin aikasemmin itsellä? Noh väliäkö tuolla kunhan toimii .

 

[eof]

Tarkoituksena olisi vaihtaa uudempaan nykyinen 10 vuotta vanha 1U blade, joka toimii kodin palomuurina. Himassa on Telian 1Gbit/s liittyma ja speedtestin mukaan alas tulee kamaa yli 900Mbit/s. Nykyinen palomuuri ei siis ole pullonkaulana, koska putkesta tulee kaytannossa teoreettiset maksimit.

Haluaisin vaihdella vanhoja raakkejani hiljaisempiin ja vahemman lammittaviin vaihtoehtoihin. Eli kaytannossa tarvitsisin:

1. 2x 1GbE NIC
2. Kyky koneelta puskea 1Gbit/s kummastakin NIC:sta samaan aikaan.
3. Vahan sahkoa kuluttava (4-core ARM esim., ei Intel NUC)

Onkohan markkinoilla jo jotain, joka tayttaa nama vaatimukset? Aika vahan tuntuu olevan saatavilla koneita, joissa kaksi verkkokorttia. Muistia ei paljoa tarvitse. Nykyisessa palomuurissa on OpenBSD ja PF, joten varmaan laitan siihen PF:n jossain muodossa (OpenBSD, FreeBSD tai pfSense).

Onko siis jotain 4 core ARM rasiaa noin 100e hinnalla, joka hoitaisi homman? Intel NUC -sarjassa loytyy toki Core i3 -laitteita, jotka hoitaisivat homman, mutta tavoitteena olisi loytaa joku viela vahemman virtaa kuluttava.

 

[escalibur]

Haluaisin vaihdella vanhoja raakkejani hiljaisempiin ja vahemman lammittaviin vaihtoehtoihin. Eli kaytannossa tarvitsisin:

1. 2x 1GbE NIC
2. Kyky koneelta puskea 1Gbit/s kummastakin NIC:sta samaan aikaan.
3. Vahan sahkoa kuluttava (4-core ARM esim., ei Intel NUC)

Onkohan markkinoilla jo jotain, joka tayttaa nama vaatimukset?

On. Shuttle XPС slim DS77U, hinta 239€ tai fitlet2 (molemmat ovat äänettömiä). Nnoihin pfSense sisään, niin ei tule vanhaa muuria ikävä.

 

[eof]

On. Shuttle XPС slim DS77U, hinta 239€ tai fitlet2 (molemmat ovat äänettömiä). Nnoihin pfSense sisään, niin ei tule vanhaa muuria ikävä.

Hmm... olin hiukkasen jo toivonut, etta alkaisi ARM-pohjaisissa laitteissa loytya tahan sopivaa purkkia. Tuossa on kuitenkin tuommoisia PC-osia jonkun verran ja virrankulutus on siksi suurempaa (tarkoituksena olisi siirtaa myos laitteet pieneen tilaan, jossa ei ole ilmanvaihtoa... siksi virrankulutus on suht oleellinen).

 

[escalibur]

Hmm... olin hiukkasen jo toivonut, etta alkaisi ARM-pohjaisissa laitteissa loytya tahan sopivaa purkkia. Tuossa on kuitenkin tuommoisia PC-osia jonkun verran ja virrankulutus on siksi suurempaa (tarkoituksena olisi siirtaa myos laitteet pieneen tilaan, jossa ei ole ilmanvaihtoa... siksi virrankulutus on suht oleellinen).

Atom-fitlet2 ei käy? Itsellä on Shuttle DS68U ollut lähes kaksi vuotta suljetussa sähkökaapissa ilman minkälaista ongelmaa. Prossun lämmöt olivat tasaisesti noin 38C. Kannattaa tarkistaa suosittelemieni laitteiden todellisen kulutuksen. Kyseessä eivät siis ole mitkään peli-PC:t.

 

[eof]

Atom-fitlet2 ei käy? Itsellä on Shuttle DS68U ollut lähes kaksi vuotta suljetussa sähkökaapissa ilman minkälaista ongelmaa. Prossun lämmöt olivat tasaisesti noin 38C. Kannattaa tarkistaa suosittelemieni laitteiden todellisen kulutuksen. Kyseessä eivät siis ole mitkään peli-PC:t.

Toi nayttaa oikeastaan aika hyvalta. Atom tuntuu vetavan maksimissaan 6,5W ja tuo Cellu versio 10W. Jaksaakohan tuo Atom vetaa 1Gbit/s korttien lapi? Cellu ainakin varmasti tuohon pystyy. Ehka tuommoisen Cellu version max 15W virrankulutksella voisi viela elaa.

 

[escalibur]

Jaksaakohan tuo Atom vetaa 1Gbit/s korttien lapi?

Varmasti jaksaa. Atomin rajat luultavasti tulevat VPN:n kohdalla (yhteyksien määrä + salausavaimien suuruudet). Olen sitä mieltä että noiden kulutusten wattiero on varsin olematon käytännössä. Joka tapauksessa, onneksi on vaihtoehtoja mistä valita.

 

[user9999]

Mulla on tuo DS77U purkki pfSense käytössä. Ei se mahdottomia kuluta jos tuo oma mittari pitää paikkaansa.
Tee-se-itse: Rautapalomuurit ja UTM:t (Mitä käytätte ja miksi juuri se vaihtoehto?)
Huoleton laite. Asenna pfSense --> unohda --> päivitä pfSense --> unohda jne.
Bios päivitys vähän vanhanaikainen.

 

[escalibur]

Netgate julkaisi ESPRESSObin:iin pohjautuvan mallin:

Netgate’s New SG-1100 Punches WAY Above Its Weight

SG-1100 MicroFirewall pfSense® Security Gateway Appliance

Announcing Netgate’s ESPRESSObin-based SG-1100 : PFSENSE


ps. ESPRESSObin v7: V7 Marvell ESPRESSObin

 

[MOS6510]

Sophos julkaisi pari kuukautta sitten uuden version Sophos XG-muurista: v17.5.

Nyt tuo versio näkyy olevan saatavilla myös kotikäytössä ilmaisen Home-version kanssa. Edelleenkin tämä on loistava ratkaisu kotikäyttöön Fitlet2-raudan kanssa.

Viimeksi on tullut otettua käyttöön Sophoksen ilmainen dynaaminen DNS, joka on näppärä yhdistelmä sisään tulevan VPN-yhteyden kanssa.

SFOS 17.5 GA Released

 

[Asiantuntija]

ZyXEL GS1200-8, 8-porttinen verkkohallittava Gigabit -kytkin, harmaa - 45,00€
Onko tuo halvin järkevä kytkin, jolla pystyy luomaan VLANeja? Tuo tulisi pfsensen perään.

 

[user9999]

ZyXEL GS1200-8, 8-porttinen verkkohallittava Gigabit -kytkin, harmaa - 45,00€
Onko tuo halvin järkevä kytkin, jolla pystyy luomaan VLANeja? Tuo tulisi pfsensen perään.

Varmaan ihan hyvä kytkin ja pieni. Löytyy ihan uusia firmiksiä.
Download Library | ZyXEL
Verkkokauppa.com

 

[juhaa]

Kuinka rakettitiedettä pfSensen konfigurointi on?
Alkanut kovasti tuo houkuttelemaan ja korvaamaan Asusin 68U:n mikä on nykyinen reititin.

Alkuun ei viitsi mitään yli 200€ vähävirtaista rautaa tuohon ostaa vaan testailla olemassa olevalla vaikka NUC:lla ja siihen löytyy USB-ethernet dongle toiseksi NIC:ksi (Voi olla hazardi, jos ylipäätään ajurit löytyvät..)
Nettiyhteys tällä hetkellä 200/20 ja ihan perusjutut pitäisi saada hoidettua. OpenVPN myös.

Toinen vaihtoehto on myös Sophos XG ja jättää olemassa oleva reititiin käytöön tai ostaa joku uusi.

 

[kuukie]

Toinen vaihtoehto on myös Sophos XG ja jättää olemassa oleva reititiin käytöön tai ostaa joku uusi.

Et tarvitse reititintä sophoksen kanssa. Se hoitaa kyllä reitityksen. Tosin millään usb ethernetkortilla turha lähteä koittamaan. Muutenkin taitaa olla tosi nirso ja toimii vaan intelin piireillä.

 

[juhaa]

Et tarvitse reititintä sophoksen kanssa. Se hoitaa kyllä reitityksen. Tosin millään usb ethernetkortilla turha lähteä koittamaan. Muutenkin taitaa olla tosi nirso ja toimii vaan intelin piireillä.

Jaa, no tuo muuttaa peliä
Sophos lienee enemmän out-of-the-box ratkaisu ja sitä myöden ´helpompi´?

Joku vanhempi i3 vai i5 OptiPlex pitäisi hyllystä myös löytyä, täytyy katsoa sen virrankulutus ja siihen sitten PCI verkkokortti kaveriksi, sellainen ei taida pariakymppiä enempää kustantaa. Jos sillä sitten aloittelisi ja jos enemmän innostuu tai virrankulutus hirvittää, niin sitten katsella jotain toista rautaa.

Uskoisin, että (lähi) tulevaisuudessa 1000/100 netti on se nopein mitä tulee käytettyä, mutta todennäköisesti tuo 200/20 on ja pysyy, koska tuo hyppäys melkein tuplaa kuukausimaksun ja todellista tarvetta ei ole.

edit: WiFi on jo hoidettu Ubiquitin AP-AC:illä.

 

[dot1q]

Päivitinpä itsekin oman muurin softan ja on muuten vakaa yhteys nyt. Purkkikin vakaa kun mikä. Hyvä päivitys imho. Vaikka wifissä olis kännykällä kiinni, niin että 802.11N wifissä kännykkä saa puskettua vain 65Mbps läpi, silti bufferbloat puuttuu ja pelkkää A luokkaa tuloksiin. Nami!

 

[iccb]

@juhaa Kyllä siin pfsensessä säädettää riittää ja voi alkuun olla sekavakin. Youtubesta löytyy paljon videoita joita voi katsella ennen kuin asentelee...
Myös ipfireä voi koittaa, toimii myös usb-korteilla, riippuen toki kortin piiristä. https://ipfire.org

 

[kuukie]

Joku vanhempi i3 vai i5 OptiPlex pitäisi hyllystä myös löytyä

Tässä kannattaa varmistaa, että jos i3 prossulla niin Ivy Bridge prossuista vain yhdessä mallissa AES-NI tuki ja Sandyissä ei ollenkaan. Haswellista lähtien myös kaikissa i3 prossuissa mukana. Ainakin uudet pfSense versiot taitaa sen vaatia, Sophoksen XG:stä en ole varma vaikka se itsellä käytössä.

 

[escalibur]

Jaa, no tuo muuttaa peliä
Sophos lienee enemmän out-of-the-box ratkaisu ja sitä myöden ´helpompi´?

pfSensestä löytyy enemmän "näin teet...asian X"-oppaita niin YouTubesta, kuin Googlestakin. Lisäksi Sophos on suljettua koodia + rajoitettu lisenssisyistä.

Suosittelen tutustumaan pfSenseen, koska se on varmasti varmempi valinta. Oikein säädettynä pfSenseen ei juurikaan tarvitse koskea. Muistat vain olla asentelematta lisäreitä mitä et oikeasti tarvitse. Alkuun suosittelen ainoastaan pfBlockerNG:ta mm. mainosten ja malwaren suodattamiseen. Squidit, Snortit, Suricatat yms lisärit kannattaa suosiolla jättää väliin.

 

[MOS6510]

pfSensestä löytyy enemmän "näin teet...asian X"-oppaita niin YouTubesta, kuin Googlestakin. Lisäksi Sophos on suljettua koodia + rajoitettu lisenssisyistä.

Suosittelen tutustumaan pfSenseen, koska se on varmasti varmempi valinta. Oikein säädettynä pfSenseen ei juurikaan tarvitse koskea. Muistat vain olla asentelematta lisäreitä mitä et oikeasti tarvitse. Alkuun suosittelen ainoastaan pfBlockerNG:ta mm. mainosten ja malwaren suodattamiseen. Squidit, Snortit, Suricatat yms lisärit kannattaa suosiolla jättää väliin.

Sophos antaa XG-palomuurinsa ilmaiseksi käyttöön kotikäyttäjille. Ainoat rajoitukset Home-versiossa on tuki enintään 4 corelle sekä 6 GB RAMia. Jos muistia on enemmän, jää loput käyttämättä. Oma muurilaite on Fitlet 2 J3455, jossa on 4 corea ja 8 GB RAMia. Tällä laitteistokoonpanolla menee muurista läpi noin 900 Mbit/s Web-skannaus ja IPS päällä.

Se, että Sophos XG on suljettua koodia, ei kotikäyttäjän kannalta merkitse yhtään mitään.

Kaikkiin niihin asioihin, joihin olen kaivannut "näin teet"-oppaita, olen sellaisen löytänyt. Ainakin VPN-yhteyksien sekä ilmaisen Dynaamisen DNS:n asetuksista olen tällaista opasta lukenut. Jälkimmäisen "opas" on tosin aika tylsä, koska se ei vaadi juuri muuta kuin yhden raksin asettamisen päälle.

Pidän kaupallisesta tuotteesta, jota ei tarvitse "säätää" millään tavoin. Kun Sophos on asetettu toimimaan oikein, se ei tarvitse minkäänlaista "säätöä". Kunhan parin kuukauden välein käy katsomassa onko uutta softaversiota tullut ja klikkaa yhtä nappulaa muurin päivittämiseksi.

 

[juhaa]

Tässä kannattaa varmistaa, että jos i3 prossulla niin Ivy Bridge prossuista vain yhdessä mallissa AES-NI tuki ja Sandyissä ei ollenkaan. Haswellista lähtien myös kaikissa i3 prossuissa mukana. Ainakin uudet pfSense versiot taitaa sen vaatia, Sophoksen XG:stä en ole varma vaikka se itsellä käytössä.

Kone oli OptiPlex 790 ja prossuna i5-2400 (TDP 95W) eli ei se mikään virtapihein ollut. En googlella löytänyt todellista kulutusta, löytyi jostain i5-2400s prossulla olevasta mallista, mutta sitä ei oikein voi verrata.
AES-NI näytti olevan.

pfSensestä löytyy enemmän "näin teet...asian X"-oppaita niin YouTubesta, kuin Googlestakin. Lisäksi Sophos on suljettua koodia + rajoitettu lisenssisyistä.

Suosittelen tutustumaan pfSenseen, koska se on varmasti varmempi valinta. Oikein säädettynä pfSenseen ei juurikaan tarvitse koskea. Muistat vain olla asentelematta lisäreitä mitä et oikeasti tarvitse. Alkuun suosittelen ainoastaan pfBlockerNG:ta mm. mainosten ja malwaren suodattamiseen. Squidit, Snortit, Suricatat yms lisärit kannattaa suosiolla jättää väliin.

Pitää molemmat kyllä vilkaista, että kumpi tuntuu "luonnollisemmalta" itselle.

 

[escalibur]

Sophos antaa XG-palomuurinsa ilmaiseksi käyttöön kotikäyttäjille. Ainoat rajoitukset Home-versiossa on tuki enintään 4 corelle sekä 6 GB RAMia. Jos muistia on enemmän, jää loput käyttämättä. Oma muurilaite on Fitlet 2 J3455, jossa on 4 corea ja 8 GB RAMia. Tällä laitteistokoonpanolla menee muurista läpi noin 900 Mbit/s Web-skannaus ja IPS päällä.

Se, että Sophos XG on suljettua koodia, ei kotikäyttäjän kannalta merkitse yhtään mitään.

Kaikkiin niihin asioihin, joihin olen kaivannut "näin teet"-oppaita, olen sellaisen löytänyt. Ainakin VPN-yhteyksien sekä ilmaisen Dynaamisen DNS:n asetuksista olen tällaista opasta lukenut. Jälkimmäisen "opas" on tosin aika tylsä, koska se ei vaadi juuri muuta kuin yhden raksin asettamisen päälle.

Pidän kaupallisesta tuotteesta, jota ei tarvitse "säätää" millään tavoin. Kun Sophos on asetettu toimimaan oikein, se ei tarvitse minkäänlaista "säätöä". Kunhan parin kuukauden välein käy katsomassa onko uutta softaversiota tullut ja klikkaa yhtä nappulaa muurin päivittämiseksi.

Sophos XG ei tee mitään mikä ei onnistuisi pfSensellä. Muistelisin että lisenssirajoituksiin rajoittuu myös maksimiyhteyksien määräkin. Lisäksi Sophoksessa voi olla rajoituksia VPN:n suhteen jne.

Suljettu koodi viittaa yksityisyyteen, jota pfSensen kohdalla ei tarvitse huolia. Toiset välittää toiset ei. Niin kuin kaikessa.

 

[kuukie]

Samaa mieltä kuin MOS6510 edellä. Vaikka työn puolesta pitää pyöritellä useiden vendoreiden muureja, niin kyllä ns. kaupallinen toimiva ratkaisu kotonakin on mukavampi kuin hankalasti pystytettävä ja itse plugineilla asennettavat ominaisuudet. Jotka sitten kaikki vielä logittavat ilmeisesti hankalasti eri logeihin kaiken eli suoraa korrelaatiota vaikea etsiä esimerkiksi verkkoliikenteen logeista ja sitten erillisestä IDS logista.

Oma muurilaite on Fitlet 2 J3455, jossa on 4 corea ja 8 GB RAMia. Tällä laitteistokoonpanolla menee muurista läpi noin 900 Mbit/s Web-skannaus ja IPS päällä.

Itsellä sama kokoonpano mutta ilmeisesti olet tuunannut enemmän IPS-säännöstöä kun tuollaiseen läpäisyyn pääset? Itsellä jää n.50% yksittäisellä sessiolla vai onko tuo läpäisy testattu rinnakkaisilla sessioilla. IPS käyttää kuitenkin yhteen sessioon vain yhtä corea niin en ole keksinyt miten saisin vähän enemmän vielä irti.

 

[kuukie]

Muistelisin että lisenssirajoituksiin rajoittuu myös maksimiyhteyksien määräkin. Lisäksi Sophoksessa voi olla rajoituksia VPN:n suhteen jne.

Lisenssirajoituksissa vain tuo hardware rajoitus, ei yhteyksien määrä joka oli rajoitettu vanhassa utm 9 versiossa IP rajoituksen lisäksi. Tosin Sandstorm lisenssiä ei kuulu home versioon eikä voi siihen edes ostaa (pilvipohjainen uhkatarkastus tiedostoille/url)

 

[MOS6510]

Sophos XG ei tee mitään mikä ei onnistuisi pfSensellä. Muistelisin että lisenssirajoituksiin rajoittuu myös maksimiyhteyksien määräkin. Lisäksi Sophoksessa voi olla rajoituksia VPN:n suhteen jne.

Suljettu koodi viittaa yksityisyyteen, jota pfSensen kohdalla ei tarvitse huolia. Toiset välittää toiset ei. Niin kuin kaikessa.

Ei Sophos XG Home-versiossa ole mitään muita rajoituksia kuin nuo core- ja muistirajoitukset. Sotket vanhempaan Sophos UTM-versioon, jossa oli mm. rajoituksia sisäverkossa tuetun IP-osoitteiden määrän suhteen.

VPN toimii Sophos XG:ssä upeasti. Itse olen käyttänyt sisään tulevaa tunnelia Iphonesta sekä Windows 10-työasemasta. Molemmissa yhteys toimii natiivilla clientilla ilman mitään lisäasennuksia.