Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

escalibur

”Tietäjät, ne tietää.”
Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
4 475
Laitetaan tälläinenkin keskustelu pystyyn. Eli mitä (ja miksi juuri se) itse-tehtyjä palomuureja porukka käyttää? :think:

Vaihtoehtoja on moneen lähtöön ja itselle tällä hetkellä mielenkiintoisimmat ovat: pfSense (parhaillaan käytössä), Sophos UTM ja Simplewall.

pfSense mietteitä tähän asti

- Ei ole rajattu millään maksullisilla vaihtoehdoilla (poislukien teknisen tuen)
- Selkeä GUI
- Tumma GUI-teema
- Hyvä OpenVPN-tuki


Sophos UTM

- Tämä on vielä kokeilematta
- Netin tarinoiden perusteella vaikuttaa melko lupaavalta
- Sisältää mm. AV-skannauksen (Avira + Sophos) joita voi käyttää yhtäaikaisesti.

- Miinuksena ilmaisversion rajoitukset (mm. yhtäaikaisten yhteyksien määrä 32 000 vs. esim pfSense 800 000 8GB RAM:lla)


Itselle GUI on must siksi perus linuxit ja VyOS:t eivät napostele.
 
Liittynyt
08.11.2016
Viestejä
784
Itelläkin pyörii pfSensen uusin versio virtuaalisena HP:n Z400 koneessa Ubuntu KVM/QEMU alustalla. OpenVPNki on käytössä ja sen sai käyttöön suht helposti verrattuna aikasempiin kokemuksiin
 

escalibur

”Tietäjät, ne tietää.”
Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
4 475
Itelläkin pyörii pfSensen uusin versio virtuaalisena HP:n Z400 koneessa Ubuntu KVM/QEMU alustalla. OpenVPNki on käytössä ja sen sai käyttöön suht helposti verrattuna aikasempiin kokemuksiin
Joo. Nähtävästi versiossa 2.3 tuo parantui huomattavasti uuden GUI:n myötä. Wizard on varsin kätevä, jos ei kiinnosta säätää kaiken "käsin". :)

 

IcePen

Typo Generaatroti ;-)
Tukijäsen
Liittynyt
17.10.2016
Viestejä
5 486
pfSenseen liittyen niiltä on tullut ulos mielenkiintoinen kapistus


Netgate SG-1000 microFirewall

Ei ol liian pahanhintainen (149$) ja ei syö sähköä niin että sillä olisi mitään merkitystä ja tekee sen mitä kotikäytössä tarvii (ts ei valtavasti porttteja tms).
 
Liittynyt
17.10.2016
Viestejä
169
Itse käytän perus iptables webmin yhdistelmä. Mutta toi pfsense vaikutaa aika kypäsältä nykyään mutta pitäs VM kun serverillä on muuta käyttö kun vaan FWnä.
 

Pertti Kosunen

Basic Input/Output System
Liittynyt
19.10.2016
Viestejä
3 109
Onko muuten pfSense käännetty nykyään GCC:llä vai Clangilla?
 

escalibur

”Tietäjät, ne tietää.”
Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
4 475
Itse käytän perus iptables webmin yhdistelmä. Mutta toi pfsense vaikutaa aika kypäsältä nykyään mutta pitäs VM kun serverillä on muuta käyttö kun vaan FWnä.
Tässä on pätevä video pfSensen pystyttämisestä ESXi:n päälle:

 
Liittynyt
17.10.2016
Viestejä
1 020
pfSenseä tuli jokunen vuosi takaperin käytettyä ja varmaan käyttäisin nykyäänkin, jos olisi sopivampaa rautaa. Ja ei mokkula nettiä.

pfSenseen liittyen niiltä on tullut ulos mielenkiintoinen kapistus
Netgate SG-1000 microFirewall

Ei ol liian pahanhintainen (149$) ja ei syö sähköä niin että sillä olisi mitään merkitystä ja tekee sen mitä kotikäytössä tarvii (ts ei valtavasti porttteja tms).
 
Liittynyt
11.11.2016
Viestejä
525
Meneekös tuo pfsensen konfis eri rautaan jos joutuu vaihtamaan esim raudan hajotessa?

Sent from my ONEPLUS A3003 using Tapatalk
 

escalibur

”Tietäjät, ne tietää.”
Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
4 475
Kyllä menee.


Wendellin pointteja pfSensesta:



Tässä on kenties paras ja kattavin videosarja uusille käyttäjille liittyen pfSenseen. "Mitä ja miksi?"-asiaa jne..


Sarja sisältää myös joitakin vinkkejä eri asetuksista ja selityksiä mitä ne tekee. Mielestäni todella hyvin toteutettu ja uskon että pätkistä löytyy uutta tietoa lähes jokaiselle. :)
 
Viimeksi muokattu:

IcePen

Typo Generaatroti ;-)
Tukijäsen
Liittynyt
17.10.2016
Viestejä
5 486
Juu tasan 100€ järkevämpi ;-p ja siitä huolimatta siinä ei ole kunnollista langatonta verkkoa joten tarvii kuminkin sen yhden langattomanreittitimen lisää eli ei ole yhtä sen parempi loppupeleissä kuin tuo 100€ halvempi versio sen langattmanreittitimen kanssa.

Tuo n.150€ kapistus on hyvä kun sen lisää sulla jo olemassa olevaan verkoon hoitaman sen reitityksen/palomuurin paremmin kuin nykyiset toteutukset hoitaa, sen idea ei olekkaan toimia yksin ilman jo olemassa olevaa infraa.

...
Tässä on kenties paras ja kattavin videosarja uusille käyttäjille liittyen pfSenseen. "Mitä ja miksi?"-asiaa jne..


Sarja sisältää myös joitakin vinkkejä eri asetuksista ja selityksiä mitä ne tekee. Mielestäni todella hyvin toteutettu ja uskon että pätkistä löytyy uutta tietoa lähes jokaiselle. :)
Tämän tyyliset jutut on se mikä tekee tuosta 150€ vehkestä järkevän lisän omaan jo olemassaolevaa verkkoon kun se tekee kaiken opettelun ja ymmärtämisen helpommaksi (verratuna siihen kaupasta ostettuun tai palveluntarjoajalta saatuun reitittimeen jokan toimintoista kunnolla perillepääsy ei ole helppoa) kun pfsenselle on löydettävissä niin paljon infoa ymmärrettävässä muodossa.


Edit:

Katsoin tuon linkittämäsi "pFsense sg-1000 microfirewall review and speed test" tuben niin siitä ilmeni yksi seikka jonka toinen lähde oli ilmoittanut väärin se toinen lähde väitti että kysessä olisi ollut 4 ydin prosessori kun taas tuo sanoo sen olevan yksi ytiminen se tietenkin tekee hurjan eron siihen miten oletin sen pärjäävän reititys nopeuden suhteen.
 
Viimeksi muokattu:
Liittynyt
21.10.2016
Viestejä
37
Itsellä pyörii HP:n microserverissä Sophoksen XG home edition (sama tuote kuin maksullinen sophos/hw appliance, mutta käyttää vain 4coree / 6Gb muistia maksimissaan).

On raportointia, web filtteriä, jne. Viikon on ollut nyt käytössä ja todella hyvälle vaikuttaa. Työn puolesta on Watchguardin muureista paljonkin kokemusta, ja tämä Sophos tuntuu vaan paremmalta.

Pfsenseä tullu käytettyä aikaana mutta jotenkin nuo kaupalliset vaan vakuuttaa enempi.

Tuo appliance asentuu melkolailla mihin tahansa "tuoreeseen" pc-rautaan. Pl. tuo edellämainittu proliant. Se ei jostain syystä HP:n biossin (pugi?) vuoksi suoraan suostu boottaamaan, sanoo vain että no system disk, mutta usb-tikulle asennettu Grub joka käynnistää ensimmäiseltä kovalevyltä boottaa XG:n sit käyntiin ok.

M.
 

McPupu

Pehmeä jänis
Liittynyt
16.10.2016
Viestejä
19
Itsellä oli vuosikaudet käytössä pcengines wrap + m0n0wall -kombinaatio. Myöhemmin vaihtui rauta sitten saman valmistajan tuoreempaan alix-boardiin. Softa pysyi samana, ja toimivuudessa ei ollut kyllä valittamista kun pisin uptime 821 vuorokautta joka katkesi vasta kun muutin uuteen asuntoon :)

Alix jäi sitten hieman pullonkaulaksi 100/10 yhteydellä joten nykysin sitten pcengines Apu 2c2 + pfsense otettu koekäyttöön. Eiköhän tuo omat tarpeet täytä varsinkin kun tuon läpi tulee liikenne maksimivauhtia.
 

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
811
Pfsensessä mitään komentorivipohjaista configin editointitilaa, muutosten commitointia kerralla tai confisten versiohistoriaa/rollbackia?
 

escalibur

”Tietäjät, ne tietää.”
Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
4 475
Juu tasan 100€ järkevämpi ;-p ja siitä huolimatta siinä ei ole kunnollista langatonta verkkoa joten tarvii kuminkin sen yhden langattomanreittitimen.
Älä sekoita reititintä ja tukiasemaa. :) pfSensen logiikka onkin siinä että se hoitaa palomuurin ja reittitimen tehtävän sotkematta langattomuutta asiaan. Lagattomuuden muutenkin kannattaa hoitaa esim. halpispurkeilla kytkemällä muurin + tukarit kytkimeen. Näin homma pysyy hallinnassa ja huonon tukarin on helppo vaihtaa vaihtamatta "koko infraa". :)

Pfsensessä mitään komentorivipohjaista configin editointitilaa, muutosten commitointia kerralla tai confisten versiohistoriaa/rollbackia?
Ei taida olla. (Kenties johtuu FreeBSD:n syntaksista? Mene ja tiedä.) Huhujen mukaan "on tulossa" versiossa 3, kenties "pfCenterin" kera. SSH-tuki löytyy jos haluaa muutella perus asetuksia.

Koodi:
0) Logout (SSH only)                  9) pfTop
 1) Assign Interfaces                 10) Filter Logs
 2) Set interface(s) IP address       11) Restart webConfigurator
 3) Reset webConfigurator password    12) pfSense Developer Shell
 4) Reset to factory defaults         13) Update from console
 5) Reboot system                     14) Disable Secure Shell (sshd)
 6) Halt system                       15) Restore recent configuration
 7) Ping host                         16) Restart PHP-FPM
 8) Shell
Jos GUI tylsistyttää VyOS voi olla kokeilemisen arvoinen. :)


ps. Tässä on oma pfSense-rauta:




Lisää aiheesta vähän myöhemmin. :)
 
Viimeksi muokattu:

escalibur

”Tietäjät, ne tietää.”
Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
4 475
En yllättynyt luovuin Netgearin kaapelimodeemista jo ylivuosisitten kun siitä köytyi takaovi jota eivät suostuneet täysin poistamaan (vaihtoivan vain salasanan toiseen yhtähelposti arvattavaan).
Netgear on juuri esimerkki, miksi monet alkaa panostamaan näihin pfSenseihin yms vaihtoehtoihin. Myös avoin lähdekoodi on suuri etu, koska silloin uteliaat voivat varmistaa ettei käyttikseen ole viritelty ties mitä pasketta. Kotipurkkien haitaksi muodostuu myös valmistajan bisnesajattelu, jolloin vanhoja malleja ei enää päivitellä vaikka olisivat kuinka reikäisiä.
 

IcePen

Typo Generaatroti ;-)
Tukijäsen
Liittynyt
17.10.2016
Viestejä
5 486
Netgear on juuri esimerkki, miksi monet alkaa panostamaan näihin pfSenseihin yms vaihtoehtoihin. Myös avoin lähdekoodi on suuri etu, koska silloin uteliaat voivat varmistaa ettei käyttikseen ole viritelty ties mitä pasketta. Kotipurkkien haitaksi muodostuu myös valmistajan bisnesajattelu, jolloin vanhoja malleja ei enää päivitellä vaikka olisivat kuinka reikäisiä.
Juu tuo bisnesajattelu vaan potkii sitä firmaa kintuille kun en takuuvarmasti osta selleiselta firmalta mitään jolta olen kerran hankinut tuotteen jossa on myyntihetkellä ollut pahoja turva puutteita (varsinkin sellaisia jotka joku on siihen tahallaan laitanut) ja joita ei ole korjattu vaikka ne ovat paljastuneet vain parivuotta tuotteen myyntiin tulon jälkeen.

Kun jos se firma on kerran tehnyt sen tempun mikä muka takaisi sen että siinä uudessa tuotteessa ei ole vastaavaa perseilyä.
 
Liittynyt
11.11.2016
Viestejä
525
Alix jäi sitten hieman pullonkaulaksi 100/10 yhteydellä joten nykysin sitten pcengines Apu 2c2 + pfsense otettu koekäyttöön. Eiköhän tuo omat tarpeet täytä varsinkin kun tuon läpi tulee liikenne maksimivauhtia.
tässä pähkäilen raudan ostoa, tuo shuttle on turhan kallis jos ei vaikka napeksi säätää palomuuria. plussana siinä on että sitä pystyy hyödyntämään vaikka normi työpöytäkäyttöön, lisäämällä muistia ja vaihtamalla isompaa levyä.
APUssa (2c2) arveluttaa ettei pysty lisäämään muistia tai vaihtamaan jos vaikka muistit hajoaa. ja sitä ei pysty kyllä oikein muuhun käyttöön käyttämään
mutta taidan tovin ajella vmwaren päällä tuota pfsenseä jotta näkee miten sen kanssa pärjää..
 
Liittynyt
11.11.2016
Viestejä
525
No Ei kyllä [emoji3]
Nojuu ehkäpä tuosta pääsee eroon jossei napeksi säätää..
 
Viimeksi muokattu:
Liittynyt
26.10.2016
Viestejä
37
Minulla on ollu IPFire käytössä jo pidempään. www.ipfire.org - Welcome to IPFire
pfSenseäkin olen kokeillut mutta en ole siinä saanut toimimaan lanin ja wlanin siltausta vaikka siellä gui:ssa on ihan valinnat sitä varten, jäi ne testailut sitten siihen.
 
Liittynyt
17.10.2016
Viestejä
354
Joo, joskus tuli pikaisesti koitettua pfsenseä, mutta toiminta oli jotenkin vaikeasti kategorisoitu ja muutenkin jotenkin sekaisen oloinen...
Palasin vanhaan tuttuun ja turvaliseen ipfireen, tämä on toimiva ja hyvä, vaikka gui on vähän vanhahtavan kökkö...
 

escalibur

”Tietäjät, ne tietää.”
Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
4 475
Vielä yksi näppärä purkki:

 

escalibur

”Tietäjät, ne tietää.”
Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
4 475
Ihan hyvä purkki sekin. Siinä taitaa olla vahemmat Intelin ethernet-piirit vrt. mm Shuttle DS68U ja yllämainittuun.
 

a85

Liittynyt
24.10.2016
Viestejä
773
Ite oon laineilla jakanu nettiä IpFirellä ja varsin toimivaksi havaittu. Ainoastaan satunnaiset ihmeelliset lagipiikit/yhteyskatkokset ihmetyttää tuossa. Ajettu on eri raudalla, eri yhteyksillä jne. mutta sama satunnainen katkoilu tuntuu esiintyvän aina. QoS ja Squid (webproxy) käytössä, mutta lähes olemattomalla liikennemäärilläkin noita lageja esiintyy. IpFire on hyvällä tahdilla kehittyvä distro johon on kohtuu hyvät ohjeet ja ilmeisesti käyttäjien toiveita myö kuunnellaan.

Aiemmin oli käytössä Zeroshell mutta sen ominaisuudet ja todella hidas kehitys ajoi vaihtamaan toisiin distroihin. Tätä ilmeisesti kehittää vain yksi kaveri, joka ei edes halua apuja kehitykseen. Käytettävyys ja hallinta on melko sekavaa myös. Plussaa on multi WAN tuki loadbalancella.
 
Liittynyt
17.10.2016
Viestejä
354
Ihan hyvä purkki sekin. Siinä taitaa olla vahemmat Intelin ethernet-piirit vrt. mm Shuttle DS68U ja yllämainittuun.
Joo, niinpäs näkyy olevan...
En tiedä paljonko on eroa käytännössä?.. Varmaan perus adsl/mokkula yhteyksillä ei taida huomata... Sama prossu ja muutenkin aika sama kone..
 

escalibur

”Tietäjät, ne tietää.”
Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
4 475
Joo, niinpäs näkyy olevan...
En tiedä paljonko on eroa käytännössä?
Tuskin merkittävästi. Ainut realistinen asia mikä tulee mieleen on FreeBSD:n ajurituki jatkossa ja ehkä sitä kautta "paremmin optimoitu" rauta uusien mallien myötä.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
1 491
Tuossa Pfsensessä ei taida olla viela Openvpn 2.4?

Tuossahan tulee LZ4 pakkaus ja GCM cipherit…
 

Pertti Kosunen

Basic Input/Output System
Liittynyt
19.10.2016
Viestejä
3 109
Ainut realistinen asia mikä tulee mieleen on FreeBSD:n ajurituki jatkossa ja ehkä sitä kautta "paremmin optimoitu" rauta uusien mallien myötä.
Intel on tukenut "aina" myös FreeBSD:tä hyvin ja em ajuri on tietääkseni Intelin omaa käsialaa ja edelleen aktiivisessa kehityksessä eli ajurituessa ei ole puutteita. Ominaisuuksia yms. uudemmissa piireissä on toki enemmän ja energiapuoli on melko varmasti parempi vaikkei nuo muutenkaan ihmeitä kuluta.
 
Liittynyt
11.11.2016
Viestejä
525
sainpa edistettyä omaa palomuurin viritystä. hommasin HP microserver GEN8:n ja siihen laitoin vmware esxi 6.5:n jälkeen päin tulossa i5 cpu.
päädyin tuohon kun tuo sama rauta pyörii tuolla nas4freen alustana ennestään ja olen ollut tyytyväinen. vmware päätyi valinnaksi kun tuota tarvii opiskella niin hyvää harjoitusta tulee tästäkin..
kysymys tai onko kommentteja,
kannattaako tuohon nas4freessä pyörivässä virtualboxissa pitää rinnalla toista pfsenseä mihin synkkailisi tästä "pää" pfsensestä asetukset ?
kun tuo näkyy olevan mahdollista, liekö enempi hankaluuksien kerjäämistä :)
kotona nyt ei niiin ole tärkeää tuo vikasietoisuus etteikö riitä että olisi valmiina virtuaali jonka nostaa tarvittaessa ylös ja palauttaa backupit...
yhteyksiä ei kuitenkaan ole kuin yksi ainoa spederan 4g
 
Liittynyt
22.10.2016
Viestejä
77
Hyper-V:ssä tullut pfSenseä muutama vuosi pyöriteltyä. Hyvin pelaa.
 
Liittynyt
11.11.2016
Viestejä
525
Itekki päädyin ja sain aikaiseksi pfsensen laitettua vmware esx 6.5:en. Hyvin pelittää huawei e5286n perässä. Pitäisi vielä openvpn siirtää pfsenseen. Tosin hyvin se pelaa samassa vmwaressa pyörivässä debian serverissä.
Opnsenseäkin testasin ja samalla tapaa pelaa mutta on vaan karkimpi. Samat ohjeet pätee kuitenkin molempiin pienellä soveltamisella.
 

escalibur

”Tietäjät, ne tietää.”
Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
4 475
Kuvissa ilmeisesti Shuttle DS67U tai DS68U? Jakaisitko hieman kokemuksia pfsense-käytössä? Erityisesti OpenVPN suorituskyky kiinnostaa.
DS68U:han tämä. Laitan tästä jonkinlaista tarinaa heti kun saan tekstin kirjoitettua. Nyt on muita kiireitä niin homma venyy jonkun aikaa.
 
Liittynyt
04.04.2017
Viestejä
25
Minulla on myös käytössä pfSense sekä siinä lisäpalikkana pfBlockerNG erinäisillä haitake-estolistoilla höystettynä. Tämä paketti pyörii vanhassa i3-2100:ssa. Mokkulanettiyhteys tulee pfSenselle sillattuna Dovado Tiny AC:n kautta. Ihan hyvin on tämä kokonaisuus pelittänyt. pfSensen valitsin sen takia, koska se oli ilmainen, selkeä GUI, Traffic Shaper, estolistat sekä se että asetukset saa talteen. Muutenkin pfSense tuntuu taipuvan aika moneen asiaan, jos joskus on tarvetta.
 
Liittynyt
11.11.2016
Viestejä
525
Virittelitkö pfblockerng:n jonkun ohjeen avulla vai kokeilemalla? Olen itse sitä vähän suunnitellut myös..
 
Viimeksi muokattu:
Liittynyt
04.04.2017
Viestejä
25
Virittelitkö pfblockerng:n jonkun ohjeen avulla vai kokeilemalla? Olen itse sitä vähän suunnitellut myös..

Sent from my ONEPLUS A3003 using Tapatalk
Kaivoin ohjeita siihen pääosin pfSensen foorumeilta. Juurikin nuo IP-estolistat ja nyt uutena unbound (DNSBL)-estolistat. Muutaman listan olen lisännyt myös Googlettamalla.

Tuo selkeä ohjeistus on kyllä pfSensen yksi ongelma.
 
Toggle Sidebar

Statistiikka

Viestiketjut
83 872
Viestejä
1 725 412
Jäsenet
37 270
Uusin jäsen
Mehujäinenmies

Hinta.fi

Ylös Bottom