Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

McPaHa sanoi:
Moi!

Mulla on tuollainen QOTOM-Q355G4 I5 5250U pfsensellä palomuurina... Kun olette kokeneemmat näiden kanssa pelailleet niin löytyykö noihin Qotomeihin Bios päivityksiä ja onko edes syytä?

Toinen mikä tuli mieleen:

AES-NI CPU Crypto: Yes (inactive)

Nyt en ole katsonut mutta pitäisi varmaan... mistä bioksesta löytyy tuon vipu?
Napsauta laajentaaksesi...

Olisiko näistä apua?

27113866-427fb642-50f2-11e7-8426-b1cb4f293466.PNG

ljSei.png
 
Uuden koneen kanssa ensimmäinen tehtävä on käydä kaikki BIOS-valikot läpi, ja hyvä sääntö on, että älä muuta, jos et tiedä.
 
escalibur sanoi:
Toimiiko teillä pfBlockerNG:n kaikki servicet kun Traffic Shaper on käytössä? Ilmeisesti se ei toimi oikein tämän kanssa.
Napsauta laajentaaksesi...
pfb_filter ei minulla pfSensen alkuruudun mukaan ole käynnissä. Ei liity traffic shaperiin vaan on bugi joka korjaantuu seuraavassa pfblockNG:n versiossa. Tuo service kuitenkin oikeasti on käynnissä.
 
Nopealla testaamisella tuo 2.4.4. puhtaana asennuksena ex-ser rauta2:seen meni ihan plug and play tyyliin.
 
et328 sanoi:
pfb_filter ei minulla pfSensen alkuruudun mukaan ole käynnissä. Ei liity traffic shaperiin vaan on bugi joka korjaantuu seuraavassa pfblockNG:n versiossa. Tuo service kuitenkin oikeasti on käynnissä.
Napsauta laajentaaksesi...
Nyt oli tullut uusi pfblockNG versio jossa tuo on korjattu.
 
user9999 sanoi:
Jos on Shuttle XPC Slim purkkeja pfSense käytössä niin löytyy uusi bios.

Release Date: 2018/10/03 Checksum: 46CD
1. Update uCode.
2. Fix HDMI w/ Secure Boot enabled issue.

DS77U
Shuttle Global - DS77U SERIES

DS68U
Shuttle Global - DS68U
Napsauta laajentaaksesi...
Saiskohan tuon jotenkin päivitettyä ilman näytön ja näppiksen kytkemistä laitteeseen ts. etänä? Laiskottaisi irrottella laitteen paikoiltaan pelkän Bios-päivityksen vuoksi.
 
escalibur sanoi:
Saiskohan tuon jotenkin päivitettyä ilman näytön ja näppiksen kytkemistä laitteeseen ts. etänä? Laiskottaisi irrottella laitteen paikoiltaan pelkän Bios-päivityksen vuoksi.
Napsauta laajentaaksesi...
En tiedä.
Itse tappelin tuon päivityksen kanssa varmaan tunnin. Ekaksi tein rufuksella usb tikun ja ei buutannut siltä kun oli biossissa Boot Mode Select UEFI tilassa :facepalm:
Mukava päivitellä tuota konetta kun netti poikki. Piti kännykkää käyttää hotspottina :)
 
user9999 sanoi:
En tiedä.
Itse tappelin tuon päivityksen kanssa varmaan tunnin. Ekaksi tein rufuksella usb tikun ja ei buutannut siltä kun oli biossissa Boot Mode Select UEFI tilassa :facepalm:
Mukava päivitellä tuota konetta kun netti poikki. Piti kännykkää käyttää hotspottina :)
Napsauta laajentaaksesi...
Just sen takia laiskottaa repiä laitteen pois linjoilta. Noh pitää katsoa joku päivä kun jaksaa. :)
 
Työpaikan SER:riin on ilmestynyt Watchguard Firebox X55e pari kappaletta eli ilmeisesti IT osasto uudistaa vehkeitään niin tekeekö tollasella laitteella mitään? Jos saan luvan sen sieltä ottaa...

Minun tietotaso tällä hetkellä näistä vehkeistä on melko vähäistä eli onko kuinka hankala konffata jne jne? Vai jättääkö suosiolla väliin? Tarkoitus oli kyllä jossain vaiheessä vähän opiskella asiaa, mutta onko tämä huono kohde siihen?
 
857 kuittaa sanoi:
Työpaikan SER:riin on ilmestynyt Watchguard Firebox X55e pari kappaletta eli ilmeisesti IT osasto uudistaa vehkeitään niin tekeekö tollasella laitteella mitään? Jos saan luvan sen sieltä ottaa...

Minun tietotaso tällä hetkellä näistä vehkeistä on melko vähäistä eli onko kuinka hankala konffata jne jne? Vai jättääkö suosiolla väliin? Tarkoitus oli kyllä jossain vaiheessä vähän opiskella asiaa, mutta onko tämä huono kohde siihen?
Napsauta laajentaaksesi...

En tutkinut tarkemmin tuotta Fireboxin tapausta, mut muistaakseni noissa tais olla yleensä lisenssi maksu, joka pitää maksaa että se toimii. Vai olikohan se päivityksistä? Joku paremmin tietävä varmaan korjailee toivon mukaan mun mutuilua :).
 
Jos saat tunnukset siihen Watchguardiin niin sitten sitä ehkä pystyy käyttää. Jos lisenssi on ummessa ja resetoit laitteen, et pysty ottamaan sitä käyttöön ennen kuin ostat uuden lisenssin. Ja lisenssit on kalliita, yleensä uusi laite + 3v lisenssi on halvempi kuin pelkkä lisenssi vanhaan laitteeseen.

Conffailu riippuu kuinka vanha softa sinne on jäänyt, vanhempia piti confata erillisellä Windows sovelluksella (minkä saa kun on se lisenssi..) tai uudemmissa firmiksissä on web gui. x55 on aika vanha tosin.
 
Obi-Lan sanoi:
Jos saat tunnukset siihen Watchguardiin niin sitten sitä ehkä pystyy käyttää. Jos lisenssi on ummessa ja resetoit laitteen, et pysty ottamaan sitä käyttöön ennen kuin ostat uuden lisenssin. Ja lisenssit on kalliita, yleensä uusi laite + 3v lisenssi on halvempi kuin pelkkä lisenssi vanhaan laitteeseen.

Conffailu riippuu kuinka vanha softa sinne on jäänyt, vanhempia piti confata erillisellä Windows sovelluksella (minkä saa kun on se lisenssi..) tai uudemmissa firmiksissä on web gui. x55 on aika vanha tosin.
Napsauta laajentaaksesi...

Nyt ku tuli sopivasti asiasta tietävä paikalle, niin pakko kysyä: Onko noiden ns. rautapalomuurien kaikki ominaisuudet lissun takana, vai annetaanko jotain ilmatteeksi? Itellä on joku hämärä kuva jostain Tietokone-lehden jutusta että joitain perustoimintoja tulis ilmatteeksi, mut se on tosiaan todella kaukainen ja hämärä muisto... Ja sekin tais olla jostain advanced muurista, johon kuulu vir.torjuntaa + muuta härpäkettä samaan masiinaan.
 
FireExit sanoi:
Nyt ku tuli sopivasti asiasta tietävä paikalle, niin pakko kysyä: Onko noiden ns. rautapalomuurien kaikki ominaisuudet lissun takana, vai annetaanko jotain ilmatteeksi? Itellä on joku hämärä kuva jostain Tietokone-lehden jutusta että joitain perustoimintoja tulis ilmatteeksi, mut se on tosiaan todella kaukainen ja hämärä muisto... Ja sekin tais olla jostain advanced muurista, johon kuulu vir.torjuntaa + muuta härpäkettä samaan masiinaan.
Napsauta laajentaaksesi...

Yleensä vai Watchguardissa? Yleisesti anti-virus, anti-spam, ips yms ovat maksullisia tilauslisenssejä ja perus porttipalomuuri, nat yms ominaisuudet kuuluvat siihen peruslaitteeseen. VPN kanssa käytäntö myös vaihtelee, esim. client vpn voi olla maksullinen mutta site-to-site ilmainen jne.

WG taas on melkoisen mulkero lisenssinsä kanssa ja vastaan tulee tilanteita missä laite on tiiliskivi ilman toimivaa lisenssiä. Olen niitä töikseni joskus asentanut ja jossain kohtaa niitä oli kellarissa melkoinen kasa mikä kipattiin SERriin koska ilman lisenssejä olivat arvottomia.
 
Obi-Lan sanoi:
Yleensä vai Watchguardissa? Yleisesti anti-virus, anti-spam, ips yms ovat maksullisia tilauslisenssejä ja perus porttipalomuuri, nat yms ominaisuudet kuuluvat siihen peruslaitteeseen. VPN kanssa käytäntö myös vaihtelee, esim. client vpn voi olla maksullinen mutta site-to-site ilmainen jne.

WG taas on melkoisen mulkero lisenssinsä kanssa ja vastaan tulee tilanteita missä laite on tiiliskivi ilman toimivaa lisenssiä. Olen niitä töikseni joskus asentanut ja jossain kohtaa niitä oli kellarissa melkoinen kasa mikä kipattiin SERriin koska ilman lisenssejä olivat arvottomia.
Napsauta laajentaaksesi...

Ihan yleisesti ajattelin. Ja kiitos vastauksesta!
 
Obi-Lan sanoi:
Jos saat tunnukset siihen Watchguardiin niin sitten sitä ehkä pystyy käyttää. Jos lisenssi on ummessa ja resetoit laitteen, et pysty ottamaan sitä käyttöön ennen kuin ostat uuden lisenssin. Ja lisenssit on kalliita, yleensä uusi laite + 3v lisenssi on halvempi kuin pelkkä lisenssi vanhaan laitteeseen.

Conffailu riippuu kuinka vanha softa sinne on jäänyt, vanhempia piti confata erillisellä Windows sovelluksella (minkä saa kun on se lisenssi..) tai uudemmissa firmiksissä on web gui. x55 on aika vanha tosin.
Napsauta laajentaaksesi...

Joo taidan suosiolla jättää tän väliin :).
 
Eikös jossain vanhoissa WG:issä hallinta vaadi Windows-konetta, kun Policy-manageria ei saada muille käyttiksille? :think: Saatika että se toimisi suoraan selaimella. :)
 
@escalibur kyllä, tarkemmin muistellen noissa pikkupurkeissa taisi olla joku webbi guikin, isompia confattiin sit pelkästään sillä softalla. Sinällänsä "ihan ok" kun sai ajaa koko configsen kerralla sisään. Ei ihan niin kauaa sitten totesin jonkun buginkin, asetus ei toiminut web gui:lla mutta policy managerin kautta laitettuna kyllä.
 
Viimeksi muokattu:
user9999 sanoi:
Asennettu ilman ongelmia. Muokkasin noita FQ_Codel juttuja niin täytyy testailla jossain vaiheessa...

Edit:
u8GrpsJ.png
Napsauta laajentaaksesi...


Testasin itsekin (1G/100MB kuitu):

cSUmyyi.png


Poistin kaikista ECN:n ja Queue length:n Loin samalla myös IPv6 säännöt.
 
Täälläkin testailua 100/10Mbps -yhteydellä:
44363093.png


En tiä kuvittelenko vai rupesko sivut nyt jonteki aukeemaan nopeempaa kuin aikasemmin itsellä? Noh väliäkö tuolla kunhan toimii :).
 
Tarkoituksena olisi vaihtaa uudempaan nykyinen 10 vuotta vanha 1U blade, joka toimii kodin palomuurina. Himassa on Telian 1Gbit/s liittyma ja speedtestin mukaan alas tulee kamaa yli 900Mbit/s. Nykyinen palomuuri ei siis ole pullonkaulana, koska putkesta tulee kaytannossa teoreettiset maksimit.

Haluaisin vaihdella vanhoja raakkejani hiljaisempiin ja vahemman lammittaviin vaihtoehtoihin. Eli kaytannossa tarvitsisin:

1. 2x 1GbE NIC
2. Kyky koneelta puskea 1Gbit/s kummastakin NIC:sta samaan aikaan.
3. Vahan sahkoa kuluttava (4-core ARM esim., ei Intel NUC)

Onkohan markkinoilla jo jotain, joka tayttaa nama vaatimukset? Aika vahan tuntuu olevan saatavilla koneita, joissa kaksi verkkokorttia. Muistia ei paljoa tarvitse. Nykyisessa palomuurissa on OpenBSD ja PF, joten varmaan laitan siihen PF:n jossain muodossa (OpenBSD, FreeBSD tai pfSense).

Onko siis jotain 4 core ARM rasiaa noin 100e hinnalla, joka hoitaisi homman? Intel NUC -sarjassa loytyy toki Core i3 -laitteita, jotka hoitaisivat homman, mutta tavoitteena olisi loytaa joku viela vahemman virtaa kuluttava.
 
eof sanoi:
Haluaisin vaihdella vanhoja raakkejani hiljaisempiin ja vahemman lammittaviin vaihtoehtoihin. Eli kaytannossa tarvitsisin:

1. 2x 1GbE NIC
2. Kyky koneelta puskea 1Gbit/s kummastakin NIC:sta samaan aikaan.
3. Vahan sahkoa kuluttava (4-core ARM esim., ei Intel NUC)

Onkohan markkinoilla jo jotain, joka tayttaa nama vaatimukset?
Napsauta laajentaaksesi...

On. Shuttle XPС slim DS77U, hinta 239€ tai fitlet2 (molemmat ovat äänettömiä). Nnoihin pfSense sisään, niin ei tule vanhaa muuria ikävä. :)
 
escalibur sanoi:
On. Shuttle XPС slim DS77U, hinta 239€ tai fitlet2 (molemmat ovat äänettömiä). Nnoihin pfSense sisään, niin ei tule vanhaa muuria ikävä. :)
Napsauta laajentaaksesi...

Hmm... olin hiukkasen jo toivonut, etta alkaisi ARM-pohjaisissa laitteissa loytya tahan sopivaa purkkia. Tuossa on kuitenkin tuommoisia PC-osia jonkun verran ja virrankulutus on siksi suurempaa (tarkoituksena olisi siirtaa myos laitteet pieneen tilaan, jossa ei ole ilmanvaihtoa... siksi virrankulutus on suht oleellinen).
 
eof sanoi:
Hmm... olin hiukkasen jo toivonut, etta alkaisi ARM-pohjaisissa laitteissa loytya tahan sopivaa purkkia. Tuossa on kuitenkin tuommoisia PC-osia jonkun verran ja virrankulutus on siksi suurempaa (tarkoituksena olisi siirtaa myos laitteet pieneen tilaan, jossa ei ole ilmanvaihtoa... siksi virrankulutus on suht oleellinen).
Napsauta laajentaaksesi...
Atom-fitlet2 ei käy? Itsellä on Shuttle DS68U ollut lähes kaksi vuotta suljetussa sähkökaapissa ilman minkälaista ongelmaa. Prossun lämmöt olivat tasaisesti noin 38C. Kannattaa tarkistaa suosittelemieni laitteiden todellisen kulutuksen. Kyseessä eivät siis ole mitkään peli-PC:t. :)
 
escalibur sanoi:
Atom-fitlet2 ei käy? Itsellä on Shuttle DS68U ollut lähes kaksi vuotta suljetussa sähkökaapissa ilman minkälaista ongelmaa. Prossun lämmöt olivat tasaisesti noin 38C. Kannattaa tarkistaa suosittelemieni laitteiden todellisen kulutuksen. Kyseessä eivät siis ole mitkään peli-PC:t. :)
Napsauta laajentaaksesi...

Toi nayttaa oikeastaan aika hyvalta. Atom tuntuu vetavan maksimissaan 6,5W ja tuo Cellu versio 10W. Jaksaakohan tuo Atom vetaa 1Gbit/s korttien lapi? Cellu ainakin varmasti tuohon pystyy. Ehka tuommoisen Cellu version max 15W virrankulutksella voisi viela elaa. :)
 
eof sanoi:
Jaksaakohan tuo Atom vetaa 1Gbit/s korttien lapi?
Napsauta laajentaaksesi...

Varmasti jaksaa. Atomin rajat luultavasti tulevat VPN:n kohdalla (yhteyksien määrä + salausavaimien suuruudet). Olen sitä mieltä että noiden kulutusten wattiero on varsin olematon käytännössä. Joka tapauksessa, onneksi on vaihtoehtoja mistä valita. :)
 
Sophos julkaisi pari kuukautta sitten uuden version Sophos XG-muurista: v17.5.

Nyt tuo versio näkyy olevan saatavilla myös kotikäytössä ilmaisen Home-version kanssa. Edelleenkin tämä on loistava ratkaisu kotikäyttöön Fitlet2-raudan kanssa.

Viimeksi on tullut otettua käyttöön Sophoksen ilmainen dynaaminen DNS, joka on näppärä yhdistelmä sisään tulevan VPN-yhteyden kanssa.

SFOS 17.5 GA Released
 
Kuinka rakettitiedettä pfSensen konfigurointi on?
Alkanut kovasti tuo houkuttelemaan ja korvaamaan Asusin 68U:n mikä on nykyinen reititin.

Alkuun ei viitsi mitään yli 200€ vähävirtaista rautaa tuohon ostaa vaan testailla olemassa olevalla vaikka NUC:lla ja siihen löytyy USB-ethernet dongle toiseksi NIC:ksi (Voi olla hazardi, jos ylipäätään ajurit löytyvät..)
Nettiyhteys tällä hetkellä 200/20 ja ihan perusjutut pitäisi saada hoidettua. OpenVPN myös.

Toinen vaihtoehto on myös Sophos XG ja jättää olemassa oleva reititiin käytöön tai ostaa joku uusi.
 
juhaa sanoi:
Toinen vaihtoehto on myös Sophos XG ja jättää olemassa oleva reititiin käytöön tai ostaa joku uusi.
Napsauta laajentaaksesi...

Et tarvitse reititintä sophoksen kanssa. Se hoitaa kyllä reitityksen. Tosin millään usb ethernetkortilla turha lähteä koittamaan. Muutenkin taitaa olla tosi nirso ja toimii vaan intelin piireillä.
 
kuukie sanoi:
Et tarvitse reititintä sophoksen kanssa. Se hoitaa kyllä reitityksen. Tosin millään usb ethernetkortilla turha lähteä koittamaan. Muutenkin taitaa olla tosi nirso ja toimii vaan intelin piireillä.
Napsauta laajentaaksesi...

Jaa, no tuo muuttaa peliä :)
Sophos lienee enemmän out-of-the-box ratkaisu ja sitä myöden ´helpompi´?

Joku vanhempi i3 vai i5 OptiPlex pitäisi hyllystä myös löytyä, täytyy katsoa sen virrankulutus ja siihen sitten PCI verkkokortti kaveriksi, sellainen ei taida pariakymppiä enempää kustantaa. Jos sillä sitten aloittelisi ja jos enemmän innostuu tai virrankulutus hirvittää, niin sitten katsella jotain toista rautaa.

Uskoisin, että (lähi) tulevaisuudessa 1000/100 netti on se nopein mitä tulee käytettyä, mutta todennäköisesti tuo 200/20 on ja pysyy, koska tuo hyppäys melkein tuplaa kuukausimaksun ja todellista tarvetta ei ole.

edit: WiFi on jo hoidettu Ubiquitin AP-AC:illä.
 
Päivitinpä itsekin oman muurin softan ja on muuten vakaa yhteys nyt. Purkkikin vakaa kun mikä. Hyvä päivitys imho. Vaikka wifissä olis kännykällä kiinni, niin että 802.11N wifissä kännykkä saa puskettua vain 65Mbps läpi, silti bufferbloat puuttuu ja pelkkää A luokkaa tuloksiin. Nami!
 
@juhaa Kyllä siin pfsensessä säädettää riittää ja voi alkuun olla sekavakin. Youtubesta löytyy paljon videoita joita voi katsella ennen kuin asentelee...
Myös ipfireä voi koittaa, toimii myös usb-korteilla, riippuen toki kortin piiristä. https://ipfire.org
 
juhaa sanoi:
Joku vanhempi i3 vai i5 OptiPlex pitäisi hyllystä myös löytyä
Napsauta laajentaaksesi...

Tässä kannattaa varmistaa, että jos i3 prossulla niin Ivy Bridge prossuista vain yhdessä mallissa AES-NI tuki ja Sandyissä ei ollenkaan. Haswellista lähtien myös kaikissa i3 prossuissa mukana. Ainakin uudet pfSense versiot taitaa sen vaatia, Sophoksen XG:stä en ole varma vaikka se itsellä käytössä.
 
juhaa sanoi:
Jaa, no tuo muuttaa peliä :)
Sophos lienee enemmän out-of-the-box ratkaisu ja sitä myöden ´helpompi´?
Napsauta laajentaaksesi...
pfSensestä löytyy enemmän "näin teet...asian X"-oppaita niin YouTubesta, kuin Googlestakin. Lisäksi Sophos on suljettua koodia + rajoitettu lisenssisyistä.

Suosittelen tutustumaan pfSenseen, koska se on varmasti varmempi valinta. Oikein säädettynä pfSenseen ei juurikaan tarvitse koskea. Muistat vain olla asentelematta lisäreitä mitä et oikeasti tarvitse. Alkuun suosittelen ainoastaan pfBlockerNG:ta mm. mainosten ja malwaren suodattamiseen. Squidit, Snortit, Suricatat yms lisärit kannattaa suosiolla jättää väliin.
 
escalibur sanoi:
pfSensestä löytyy enemmän "näin teet...asian X"-oppaita niin YouTubesta, kuin Googlestakin. Lisäksi Sophos on suljettua koodia + rajoitettu lisenssisyistä.

Suosittelen tutustumaan pfSenseen, koska se on varmasti varmempi valinta. Oikein säädettynä pfSenseen ei juurikaan tarvitse koskea. Muistat vain olla asentelematta lisäreitä mitä et oikeasti tarvitse. Alkuun suosittelen ainoastaan pfBlockerNG:ta mm. mainosten ja malwaren suodattamiseen. Squidit, Snortit, Suricatat yms lisärit kannattaa suosiolla jättää väliin.
Napsauta laajentaaksesi...
Sophos antaa XG-palomuurinsa ilmaiseksi käyttöön kotikäyttäjille. Ainoat rajoitukset Home-versiossa on tuki enintään 4 corelle sekä 6 GB RAMia. Jos muistia on enemmän, jää loput käyttämättä. Oma muurilaite on Fitlet 2 J3455, jossa on 4 corea ja 8 GB RAMia. Tällä laitteistokoonpanolla menee muurista läpi noin 900 Mbit/s Web-skannaus ja IPS päällä.

Se, että Sophos XG on suljettua koodia, ei kotikäyttäjän kannalta merkitse yhtään mitään.

Kaikkiin niihin asioihin, joihin olen kaivannut "näin teet"-oppaita, olen sellaisen löytänyt. Ainakin VPN-yhteyksien sekä ilmaisen Dynaamisen DNS:n asetuksista olen tällaista opasta lukenut. Jälkimmäisen "opas" on tosin aika tylsä, koska se ei vaadi juuri muuta kuin yhden raksin asettamisen päälle.

Pidän kaupallisesta tuotteesta, jota ei tarvitse "säätää" millään tavoin. Kun Sophos on asetettu toimimaan oikein, se ei tarvitse minkäänlaista "säätöä". Kunhan parin kuukauden välein käy katsomassa onko uutta softaversiota tullut ja klikkaa yhtä nappulaa muurin päivittämiseksi.
 
kuukie sanoi:
Tässä kannattaa varmistaa, että jos i3 prossulla niin Ivy Bridge prossuista vain yhdessä mallissa AES-NI tuki ja Sandyissä ei ollenkaan. Haswellista lähtien myös kaikissa i3 prossuissa mukana. Ainakin uudet pfSense versiot taitaa sen vaatia, Sophoksen XG:stä en ole varma vaikka se itsellä käytössä.
Napsauta laajentaaksesi...

Kone oli OptiPlex 790 ja prossuna i5-2400 (TDP 95W) eli ei se mikään virtapihein ollut. En googlella löytänyt todellista kulutusta, löytyi jostain i5-2400s prossulla olevasta mallista, mutta sitä ei oikein voi verrata.
AES-NI näytti olevan.

escalibur sanoi:
pfSensestä löytyy enemmän "näin teet...asian X"-oppaita niin YouTubesta, kuin Googlestakin. Lisäksi Sophos on suljettua koodia + rajoitettu lisenssisyistä.

Suosittelen tutustumaan pfSenseen, koska se on varmasti varmempi valinta. Oikein säädettynä pfSenseen ei juurikaan tarvitse koskea. Muistat vain olla asentelematta lisäreitä mitä et oikeasti tarvitse. Alkuun suosittelen ainoastaan pfBlockerNG:ta mm. mainosten ja malwaren suodattamiseen. Squidit, Snortit, Suricatat yms lisärit kannattaa suosiolla jättää väliin.
Napsauta laajentaaksesi...

Pitää molemmat kyllä vilkaista, että kumpi tuntuu "luonnollisemmalta" itselle.
 
MOS6510 sanoi:
Sophos antaa XG-palomuurinsa ilmaiseksi käyttöön kotikäyttäjille. Ainoat rajoitukset Home-versiossa on tuki enintään 4 corelle sekä 6 GB RAMia. Jos muistia on enemmän, jää loput käyttämättä. Oma muurilaite on Fitlet 2 J3455, jossa on 4 corea ja 8 GB RAMia. Tällä laitteistokoonpanolla menee muurista läpi noin 900 Mbit/s Web-skannaus ja IPS päällä.

Se, että Sophos XG on suljettua koodia, ei kotikäyttäjän kannalta merkitse yhtään mitään.

Kaikkiin niihin asioihin, joihin olen kaivannut "näin teet"-oppaita, olen sellaisen löytänyt. Ainakin VPN-yhteyksien sekä ilmaisen Dynaamisen DNS:n asetuksista olen tällaista opasta lukenut. Jälkimmäisen "opas" on tosin aika tylsä, koska se ei vaadi juuri muuta kuin yhden raksin asettamisen päälle.

Pidän kaupallisesta tuotteesta, jota ei tarvitse "säätää" millään tavoin. Kun Sophos on asetettu toimimaan oikein, se ei tarvitse minkäänlaista "säätöä". Kunhan parin kuukauden välein käy katsomassa onko uutta softaversiota tullut ja klikkaa yhtä nappulaa muurin päivittämiseksi.
Napsauta laajentaaksesi...
Sophos XG ei tee mitään mikä ei onnistuisi pfSensellä. Muistelisin että lisenssirajoituksiin rajoittuu myös maksimiyhteyksien määräkin. Lisäksi Sophoksessa voi olla rajoituksia VPN:n suhteen jne.

Suljettu koodi viittaa yksityisyyteen, jota pfSensen kohdalla ei tarvitse huolia. Toiset välittää toiset ei. Niin kuin kaikessa.
 
Samaa mieltä kuin MOS6510 edellä. Vaikka työn puolesta pitää pyöritellä useiden vendoreiden muureja, niin kyllä ns. kaupallinen toimiva ratkaisu kotonakin on mukavampi kuin hankalasti pystytettävä ja itse plugineilla asennettavat ominaisuudet. Jotka sitten kaikki vielä logittavat ilmeisesti hankalasti eri logeihin kaiken eli suoraa korrelaatiota vaikea etsiä esimerkiksi verkkoliikenteen logeista ja sitten erillisestä IDS logista.

MOS6510 sanoi:
Oma muurilaite on Fitlet 2 J3455, jossa on 4 corea ja 8 GB RAMia. Tällä laitteistokoonpanolla menee muurista läpi noin 900 Mbit/s Web-skannaus ja IPS päällä.
Napsauta laajentaaksesi...

Itsellä sama kokoonpano mutta ilmeisesti olet tuunannut enemmän IPS-säännöstöä kun tuollaiseen läpäisyyn pääset? Itsellä jää n.50% yksittäisellä sessiolla vai onko tuo läpäisy testattu rinnakkaisilla sessioilla. IPS käyttää kuitenkin yhteen sessioon vain yhtä corea niin en ole keksinyt miten saisin vähän enemmän vielä irti.
 
Viimeksi muokattu:
escalibur sanoi:
Muistelisin että lisenssirajoituksiin rajoittuu myös maksimiyhteyksien määräkin. Lisäksi Sophoksessa voi olla rajoituksia VPN:n suhteen jne.
Napsauta laajentaaksesi...

Lisenssirajoituksissa vain tuo hardware rajoitus, ei yhteyksien määrä joka oli rajoitettu vanhassa utm 9 versiossa IP rajoituksen lisäksi. Tosin Sandstorm lisenssiä ei kuulu home versioon eikä voi siihen edes ostaa (pilvipohjainen uhkatarkastus tiedostoille/url)
 
escalibur sanoi:
Sophos XG ei tee mitään mikä ei onnistuisi pfSensellä. Muistelisin että lisenssirajoituksiin rajoittuu myös maksimiyhteyksien määräkin. Lisäksi Sophoksessa voi olla rajoituksia VPN:n suhteen jne.

Suljettu koodi viittaa yksityisyyteen, jota pfSensen kohdalla ei tarvitse huolia. Toiset välittää toiset ei. Niin kuin kaikessa.
Napsauta laajentaaksesi...
Ei Sophos XG Home-versiossa ole mitään muita rajoituksia kuin nuo core- ja muistirajoitukset. Sotket vanhempaan Sophos UTM-versioon, jossa oli mm. rajoituksia sisäverkossa tuetun IP-osoitteiden määrän suhteen.

VPN toimii Sophos XG:ssä upeasti. Itse olen käyttänyt sisään tulevaa tunnelia Iphonesta sekä Windows 10-työasemasta. Molemmissa yhteys toimii natiivilla clientilla ilman mitään lisäasennuksia.
 
Viimeksi muokattu:
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
259 121
Viestejä
4 502 688
Jäsenet
74 329
Uusin jäsen
Bopperhopper

Hinta.fi

Back
Ylös Bottom