Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Viestiketju alueella 'Internet, tietoliikenne ja tietoturva' , aloittaja escalibur, 27.01.2017.

  1. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
    Laitetaan tälläinenkin keskustelu pystyyn. Eli mitä (ja miksi juuri se) itse-tehtyjä palomuureja porukka käyttää? :think:

    Vaihtoehtoja on moneen lähtöön ja itselle tällä hetkellä mielenkiintoisimmat ovat: pfSense (parhaillaan käytössä), Sophos UTM ja Simplewall.

    pfSense mietteitä tähän asti

    - Ei ole rajattu millään maksullisilla vaihtoehdoilla (poislukien teknisen tuen)
    - Selkeä GUI
    - Tumma GUI-teema
    - Hyvä OpenVPN-tuki


    Sophos UTM

    - Tämä on vielä kokeilematta
    - Netin tarinoiden perusteella vaikuttaa melko lupaavalta
    - Sisältää mm. AV-skannauksen (Avira + Sophos) joita voi käyttää yhtäaikaisesti.

    - Miinuksena ilmaisversion rajoitukset (mm. yhtäaikaisten yhteyksien määrä 32 000 vs. esim pfSense 800 000 8GB RAM:lla)


    Itselle GUI on must siksi perus linuxit ja VyOS:t eivät napostele.
     
  2. FireExit

    FireExit

    Viestejä:
    784
    Rekisteröitynyt:
    08.11.2016
    Itelläkin pyörii pfSensen uusin versio virtuaalisena HP:n Z400 koneessa Ubuntu KVM/QEMU alustalla. OpenVPNki on käytössä ja sen sai käyttöön suht helposti verrattuna aikasempiin kokemuksiin
     
  3. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
    Joo. Nähtävästi versiossa 2.3 tuo parantui huomattavasti uuden GUI:n myötä. Wizard on varsin kätevä, jos ei kiinnosta säätää kaiken "käsin". :)

     
  4. IcePen

    IcePen Typo Generaatroti ;-)

    Viestejä:
    5 215
    Rekisteröitynyt:
    17.10.2016
    pfSenseen liittyen niiltä on tullut ulos mielenkiintoinen kapistus

    [​IMG]
    Netgate SG-1000 microFirewall

    Ei ol liian pahanhintainen (149$) ja ei syö sähköä niin että sillä olisi mitään merkitystä ja tekee sen mitä kotikäytössä tarvii (ts ei valtavasti porttteja tms).
     
  5. iGMAS

    iGMAS

    Viestejä:
    146
    Rekisteröitynyt:
    17.10.2016
    Itse käytän perus iptables webmin yhdistelmä. Mutta toi pfsense vaikutaa aika kypäsältä nykyään mutta pitäs VM kun serverillä on muuta käyttö kun vaan FWnä.
     
  6. Pertti Kosunen

    Pertti Kosunen Basic Input/Output System

    Viestejä:
    3 114
    Rekisteröitynyt:
    19.10.2016
    Onko muuten pfSense käännetty nykyään GCC:llä vai Clangilla?
     
  7. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
    Tässä on pätevä video pfSensen pystyttämisestä ESXi:n päälle:

     
  8. Dudem

    Dudem

    Viestejä:
    865
    Rekisteröitynyt:
    17.10.2016
    pfSenseä tuli jokunen vuosi takaperin käytettyä ja varmaan käyttäisin nykyäänkin, jos olisi sopivampaa rautaa. Ja ei mokkula nettiä.

     
  9. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
  10. timop

    timop

    Viestejä:
    339
    Rekisteröitynyt:
    11.11.2016
    Meneekös tuo pfsensen konfis eri rautaan jos joutuu vaihtamaan esim raudan hajotessa?

    Sent from my ONEPLUS A3003 using Tapatalk
     
  11. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
    Kyllä menee.


    Wendellin pointteja pfSensesta:




    Tässä on kenties paras ja kattavin videosarja uusille käyttäjille liittyen pfSenseen. "Mitä ja miksi?"-asiaa jne..



    Sarja sisältää myös joitakin vinkkejä eri asetuksista ja selityksiä mitä ne tekee. Mielestäni todella hyvin toteutettu ja uskon että pätkistä löytyy uutta tietoa lähes jokaiselle. :)
     
    Viimeksi muokattu: 31.01.2017
    timop tykkää tästä.
  12. IcePen

    IcePen Typo Generaatroti ;-)

    Viestejä:
    5 215
    Rekisteröitynyt:
    17.10.2016
    Juu tasan 100€ järkevämpi ;-p ja siitä huolimatta siinä ei ole kunnollista langatonta verkkoa joten tarvii kuminkin sen yhden langattomanreittitimen lisää eli ei ole yhtä sen parempi loppupeleissä kuin tuo 100€ halvempi versio sen langattmanreittitimen kanssa.

    Tuo n.150€ kapistus on hyvä kun sen lisää sulla jo olemassa olevaan verkoon hoitaman sen reitityksen/palomuurin paremmin kuin nykyiset toteutukset hoitaa, sen idea ei olekkaan toimia yksin ilman jo olemassa olevaa infraa.

    Tämän tyyliset jutut on se mikä tekee tuosta 150€ vehkestä järkevän lisän omaan jo olemassaolevaa verkkoon kun se tekee kaiken opettelun ja ymmärtämisen helpommaksi (verratuna siihen kaupasta ostettuun tai palveluntarjoajalta saatuun reitittimeen jokan toimintoista kunnolla perillepääsy ei ole helppoa) kun pfsenselle on löydettävissä niin paljon infoa ymmärrettävässä muodossa.


    Edit:

    Katsoin tuon linkittämäsi "pFsense sg-1000 microfirewall review and speed test" tuben niin siitä ilmeni yksi seikka jonka toinen lähde oli ilmoittanut väärin se toinen lähde väitti että kysessä olisi ollut 4 ydin prosessori kun taas tuo sanoo sen olevan yksi ytiminen se tietenkin tekee hurjan eron siihen miten oletin sen pärjäävän reititys nopeuden suhteen.
     
    Viimeksi muokattu: 31.01.2017
  13. mikkoho

    mikkoho

    Viestejä:
    37
    Rekisteröitynyt:
    21.10.2016
    Itsellä pyörii HP:n microserverissä Sophoksen XG home edition (sama tuote kuin maksullinen sophos/hw appliance, mutta käyttää vain 4coree / 6Gb muistia maksimissaan).

    On raportointia, web filtteriä, jne. Viikon on ollut nyt käytössä ja todella hyvälle vaikuttaa. Työn puolesta on Watchguardin muureista paljonkin kokemusta, ja tämä Sophos tuntuu vaan paremmalta.

    Pfsenseä tullu käytettyä aikaana mutta jotenkin nuo kaupalliset vaan vakuuttaa enempi.

    Tuo appliance asentuu melkolailla mihin tahansa "tuoreeseen" pc-rautaan. Pl. tuo edellämainittu proliant. Se ei jostain syystä HP:n biossin (pugi?) vuoksi suoraan suostu boottaamaan, sanoo vain että no system disk, mutta usb-tikulle asennettu Grub joka käynnistää ensimmäiseltä kovalevyltä boottaa XG:n sit käyntiin ok.

    M.
     
  14. McPupu

    McPupu Pehmeä jänis

    Viestejä:
    18
    Rekisteröitynyt:
    16.10.2016
    Itsellä oli vuosikaudet käytössä pcengines wrap + m0n0wall -kombinaatio. Myöhemmin vaihtui rauta sitten saman valmistajan tuoreempaan alix-boardiin. Softa pysyi samana, ja toimivuudessa ei ollut kyllä valittamista kun pisin uptime 821 vuorokautta joka katkesi vasta kun muutin uuteen asuntoon :)

    Alix jäi sitten hieman pullonkaulaksi 100/10 yhteydellä joten nykysin sitten pcengines Apu 2c2 + pfsense otettu koekäyttöön. Eiköhän tuo omat tarpeet täytä varsinkin kun tuon läpi tulee liikenne maksimivauhtia.
     
  15. timop

    timop

    Viestejä:
    339
    Rekisteröitynyt:
    11.11.2016
    Mistä tilasit Apun?
     
  16. Obi-Lan

    Obi-Lan ¯\_(ツ)_/¯

    Viestejä:
    661
    Rekisteröitynyt:
    17.10.2016
    Pfsensessä mitään komentorivipohjaista configin editointitilaa, muutosten commitointia kerralla tai confisten versiohistoriaa/rollbackia?
     
  17. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
    Älä sekoita reititintä ja tukiasemaa. :) pfSensen logiikka onkin siinä että se hoitaa palomuurin ja reittitimen tehtävän sotkematta langattomuutta asiaan. Lagattomuuden muutenkin kannattaa hoitaa esim. halpispurkeilla kytkemällä muurin + tukarit kytkimeen. Näin homma pysyy hallinnassa ja huonon tukarin on helppo vaihtaa vaihtamatta "koko infraa". :)

    Ei taida olla. (Kenties johtuu FreeBSD:n syntaksista? Mene ja tiedä.) Huhujen mukaan "on tulossa" versiossa 3, kenties "pfCenterin" kera. SSH-tuki löytyy jos haluaa muutella perus asetuksia.

    Koodi:
    0) Logout (SSH only)                  9) pfTop
     1) Assign Interfaces                 10) Filter Logs
     2) Set interface(s) IP address       11) Restart webConfigurator
     3) Reset webConfigurator password    12) pfSense Developer Shell
     4) Reset to factory defaults         13) Update from console
     5) Reboot system                     14) Disable Secure Shell (sshd)
     6) Halt system                       15) Restore recent configuration
     7) Ping host                         16) Restart PHP-FPM
     8) Shell
    Jos GUI tylsistyttää VyOS voi olla kokeilemisen arvoinen. :)


    ps. Tässä on oma pfSense-rauta:

    [​IMG]


    Lisää aiheesta vähän myöhemmin. :)
     
    Viimeksi muokattu: 31.01.2017
    coixi ja FireExit tykkäävät tästä.
  18. McPupu

    McPupu Pehmeä jänis

    Viestejä:
    18
    Rekisteröitynyt:
    16.10.2016
  19. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
  20. IcePen

    IcePen Typo Generaatroti ;-)

    Viestejä:
    5 215
    Rekisteröitynyt:
    17.10.2016
  21. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
    Netgear on juuri esimerkki, miksi monet alkaa panostamaan näihin pfSenseihin yms vaihtoehtoihin. Myös avoin lähdekoodi on suuri etu, koska silloin uteliaat voivat varmistaa ettei käyttikseen ole viritelty ties mitä pasketta. Kotipurkkien haitaksi muodostuu myös valmistajan bisnesajattelu, jolloin vanhoja malleja ei enää päivitellä vaikka olisivat kuinka reikäisiä.
     
  22. IcePen

    IcePen Typo Generaatroti ;-)

    Viestejä:
    5 215
    Rekisteröitynyt:
    17.10.2016
    Juu tuo bisnesajattelu vaan potkii sitä firmaa kintuille kun en takuuvarmasti osta selleiselta firmalta mitään jolta olen kerran hankinut tuotteen jossa on myyntihetkellä ollut pahoja turva puutteita (varsinkin sellaisia jotka joku on siihen tahallaan laitanut) ja joita ei ole korjattu vaikka ne ovat paljastuneet vain parivuotta tuotteen myyntiin tulon jälkeen.

    Kun jos se firma on kerran tehnyt sen tempun mikä muka takaisi sen että siinä uudessa tuotteessa ei ole vastaavaa perseilyä.
     
  23. timop

    timop

    Viestejä:
    339
    Rekisteröitynyt:
    11.11.2016
    tässä pähkäilen raudan ostoa, tuo shuttle on turhan kallis jos ei vaikka napeksi säätää palomuuria. plussana siinä on että sitä pystyy hyödyntämään vaikka normi työpöytäkäyttöön, lisäämällä muistia ja vaihtamalla isompaa levyä.
    APUssa (2c2) arveluttaa ettei pysty lisäämään muistia tai vaihtamaan jos vaikka muistit hajoaa. ja sitä ei pysty kyllä oikein muuhun käyttöön käyttämään
    mutta taidan tovin ajella vmwaren päällä tuota pfsenseä jotta näkee miten sen kanssa pärjää..
     
  24. Pertti Kosunen

    Pertti Kosunen Basic Input/Output System

    Viestejä:
    3 114
    Rekisteröitynyt:
    19.10.2016
    Onko sinulta hajonnut muisti ikinä mistään laitteesta?
     
  25. timop

    timop

    Viestejä:
    339
    Rekisteröitynyt:
    11.11.2016
    No Ei kyllä
    Nojuu ehkäpä tuosta pääsee eroon jossei napeksi säätää..
     
    Viimeksi muokattu: 03.02.2017
  26. iccb

    iccb

    Viestejä:
    226
    Rekisteröitynyt:
    17.10.2016
  27. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016


    Kokeile pfSensea ja vaihda pois jos se ei mielytä. ;)
     
  28. Pörkyle

    Pörkyle

    Viestejä:
    21
    Rekisteröitynyt:
    26.10.2016
    Minulla on ollu IPFire käytössä jo pidempään. www.ipfire.org - Welcome to IPFire
    pfSenseäkin olen kokeillut mutta en ole siinä saanut toimimaan lanin ja wlanin siltausta vaikka siellä gui:ssa on ihan valinnat sitä varten, jäi ne testailut sitten siihen.
     
  29. pentozal

    pentozal

    Viestejä:
    198
    Rekisteröitynyt:
    14.12.2016
    Tänään asentelin PfSensen, vielä vaikuttaa hyvältä..
     
  30. iccb

    iccb

    Viestejä:
    226
    Rekisteröitynyt:
    17.10.2016
    Joo, joskus tuli pikaisesti koitettua pfsenseä, mutta toiminta oli jotenkin vaikeasti kategorisoitu ja muutenkin jotenkin sekaisen oloinen...
    Palasin vanhaan tuttuun ja turvaliseen ipfireen, tämä on toimiva ja hyvä, vaikka gui on vähän vanhahtavan kökkö...
     
  31. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
    Vielä yksi näppärä purkki:

     
  32. iccb

    iccb

    Viestejä:
    226
    Rekisteröitynyt:
    17.10.2016
  33. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
    Ihan hyvä purkki sekin. Siinä taitaa olla vahemmat Intelin ethernet-piirit vrt. mm Shuttle DS68U ja yllämainittuun.
     
  34. a85

    a85

    Viestejä:
    676
    Rekisteröitynyt:
    24.10.2016
    Ite oon laineilla jakanu nettiä IpFirellä ja varsin toimivaksi havaittu. Ainoastaan satunnaiset ihmeelliset lagipiikit/yhteyskatkokset ihmetyttää tuossa. Ajettu on eri raudalla, eri yhteyksillä jne. mutta sama satunnainen katkoilu tuntuu esiintyvän aina. QoS ja Squid (webproxy) käytössä, mutta lähes olemattomalla liikennemäärilläkin noita lageja esiintyy. IpFire on hyvällä tahdilla kehittyvä distro johon on kohtuu hyvät ohjeet ja ilmeisesti käyttäjien toiveita myö kuunnellaan.

    Aiemmin oli käytössä Zeroshell mutta sen ominaisuudet ja todella hidas kehitys ajoi vaihtamaan toisiin distroihin. Tätä ilmeisesti kehittää vain yksi kaveri, joka ei edes halua apuja kehitykseen. Käytettävyys ja hallinta on melko sekavaa myös. Plussaa on multi WAN tuki loadbalancella.
     
  35. iccb

    iccb

    Viestejä:
    226
    Rekisteröitynyt:
    17.10.2016
    Joo, niinpäs näkyy olevan...
    En tiedä paljonko on eroa käytännössä?.. Varmaan perus adsl/mokkula yhteyksillä ei taida huomata... Sama prossu ja muutenkin aika sama kone..
     
  36. Pertti Kosunen

    Pertti Kosunen Basic Input/Output System

    Viestejä:
    3 114
    Rekisteröitynyt:
    19.10.2016
    Suorituskyvyssä tuskin on eroa kunhan on PCI Express väyläinen.
     
  37. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
    Tuskin merkittävästi. Ainut realistinen asia mikä tulee mieleen on FreeBSD:n ajurituki jatkossa ja ehkä sitä kautta "paremmin optimoitu" rauta uusien mallien myötä.
     
  38. user9999

    user9999 Platinum-jäsen

    Viestejä:
    1 199
    Rekisteröitynyt:
    17.10.2016
    Tuossa Pfsensessä ei taida olla viela Openvpn 2.4?

    Tuossahan tulee LZ4 pakkaus ja GCM cipherit…
     
  39. Pertti Kosunen

    Pertti Kosunen Basic Input/Output System

    Viestejä:
    3 114
    Rekisteröitynyt:
    19.10.2016
    Intel on tukenut "aina" myös FreeBSD:tä hyvin ja em ajuri on tietääkseni Intelin omaa käsialaa ja edelleen aktiivisessa kehityksessä eli ajurituessa ei ole puutteita. Ominaisuuksia yms. uudemmissa piireissä on toki enemmän ja energiapuoli on melko varmasti parempi vaikkei nuo muutenkaan ihmeitä kuluta.
     
  40. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
  41. timop

    timop

    Viestejä:
    339
    Rekisteröitynyt:
    11.11.2016
    sainpa edistettyä omaa palomuurin viritystä. hommasin HP microserver GEN8:n ja siihen laitoin vmware esxi 6.5:n jälkeen päin tulossa i5 cpu.
    päädyin tuohon kun tuo sama rauta pyörii tuolla nas4freen alustana ennestään ja olen ollut tyytyväinen. vmware päätyi valinnaksi kun tuota tarvii opiskella niin hyvää harjoitusta tulee tästäkin..
    kysymys tai onko kommentteja,
    kannattaako tuohon nas4freessä pyörivässä virtualboxissa pitää rinnalla toista pfsenseä mihin synkkailisi tästä "pää" pfsensestä asetukset ?
    kun tuo näkyy olevan mahdollista, liekö enempi hankaluuksien kerjäämistä :)
    kotona nyt ei niiin ole tärkeää tuo vikasietoisuus etteikö riitä että olisi valmiina virtuaali jonka nostaa tarvittaessa ylös ja palauttaa backupit...
    yhteyksiä ei kuitenkaan ole kuin yksi ainoa spederan 4g
     
  42. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
  43. coixi

    coixi

    Viestejä:
    120
    Rekisteröitynyt:
    30.01.2017
    Kuvissa ilmeisesti Shuttle DS67U tai DS68U? Jakaisitko hieman kokemuksia pfsense-käytössä? Erityisesti OpenVPN suorituskyky kiinnostaa.
     
  44. Soakki

    Soakki

    Viestejä:
    69
    Rekisteröitynyt:
    22.10.2016
    Hyper-V:ssä tullut pfSenseä muutama vuosi pyöriteltyä. Hyvin pelaa.
     
  45. timop

    timop

    Viestejä:
    339
    Rekisteröitynyt:
    11.11.2016
    Itekki päädyin ja sain aikaiseksi pfsensen laitettua vmware esx 6.5:en. Hyvin pelittää huawei e5286n perässä. Pitäisi vielä openvpn siirtää pfsenseen. Tosin hyvin se pelaa samassa vmwaressa pyörivässä debian serverissä.
    Opnsenseäkin testasin ja samalla tapaa pelaa mutta on vaan karkimpi. Samat ohjeet pätee kuitenkin molempiin pienellä soveltamisella.
     
  46. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016
    DS68U:han tämä. Laitan tästä jonkinlaista tarinaa heti kun saan tekstin kirjoitettua. Nyt on muita kiireitä niin homma venyy jonkun aikaa.
     
    Razarnet tykkää tästä.
  47. Aronia

    Aronia

    Viestejä:
    21
    Rekisteröitynyt:
    04.04.2017
    Minulla on myös käytössä pfSense sekä siinä lisäpalikkana pfBlockerNG erinäisillä haitake-estolistoilla höystettynä. Tämä paketti pyörii vanhassa i3-2100:ssa. Mokkulanettiyhteys tulee pfSenselle sillattuna Dovado Tiny AC:n kautta. Ihan hyvin on tämä kokonaisuus pelittänyt. pfSensen valitsin sen takia, koska se oli ilmainen, selkeä GUI, Traffic Shaper, estolistat sekä se että asetukset saa talteen. Muutenkin pfSense tuntuu taipuvan aika moneen asiaan, jos joskus on tarvetta.
     
  48. timop

    timop

    Viestejä:
    339
    Rekisteröitynyt:
    11.11.2016
    Virittelitkö pfblockerng:n jonkun ohjeen avulla vai kokeilemalla? Olen itse sitä vähän suunnitellut myös..
     
    Viimeksi muokattu: 11.04.2017
  49. Aronia

    Aronia

    Viestejä:
    21
    Rekisteröitynyt:
    04.04.2017
    Kaivoin ohjeita siihen pääosin pfSensen foorumeilta. Juurikin nuo IP-estolistat ja nyt uutena unbound (DNSBL)-estolistat. Muutaman listan olen lisännyt myös Googlettamalla.

    Tuo selkeä ohjeistus on kyllä pfSensen yksi ongelma.
     
  50. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 565
    Rekisteröitynyt:
    17.10.2016