Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Pertti Kosunen sanoi:
Ne on kaikki melko paskoja.

Solid State Drives (SSD) mit Schnittstelle: M.2 (SATA), Formfaktor: M.2 2242/M.2 2260 Preisvergleich | geizhals.eu EU
Napsauta laajentaaksesi...
Saattaa olla, jos hakee suurinta mahdollista suorituskykyä. Mutta dedikoidussa palomuurikäytössä tuolla suorituskyvyllä nyt ei ole mitään merkitystä.

Tuolta listalta löytyy kyllä varsin suorituskykyinenkin M.2 2242-levy:
Transcend MTS420S 120GB Preisvergleich | geizhals.eu EU

Eikä hinta päätä huimaa.
 
Viimeksi muokattu:
MOS6510 sanoi:
Saattaa olla, jos hakee suurinta mahdollista suorituskykyä. Mutta dedikoidussa palomuurikäytössä tuolla suorituskyvyllä nyt ei ole mitään merkitystä.
Napsauta laajentaaksesi...
Ei suorituskyvyn vaan laadun osalta, itse kelpuutan tärkeämpiin tehtäviin vain näita, jos budjetti täytyy pitää alhaalla.
 
Pertti Kosunen sanoi:
Ei suorituskyvyn vaan laadun osalta, itse kelpuutan tärkeämpiin tehtäviin vain näita, jos budjetti täytyy pitää alhaalla.
Napsauta laajentaaksesi...
No, jokainen tekee omat päätöksensä. Fitlet2:n palomuurikäytössä pidin tärkeämpänä saada laitteeseen 4 Ethernet-porttia kuin erityisen laadukkaan levyn. Eiköhän se muuri tältäkin levyltä käynnisty nätisti ainakin seuraavat 5 vuotta. Ei sillä levyllä tässä käytössä juuri muuta funktiota olekaan.
 
Viimeksi muokattu:
Elisa 100/10 VDSL2 uppi aiheuttaa latencyn tuohon waniin :confused2:

d7QJnU4.jpg
 
Terve kaikille!

Aloittelija kysyisi tyhmiä: onko tuo ipfire "turvallinen" out of the box? Eli riittääkö Green = LAN & Red = WAN vai pitääkö säätää itse enemmän?

En näistä verkkoasioista itse juuri ymmärrä, mutta tuli ipfire-purkki nyt rakennettua kuitenkin, kun en "luottanut" pelkkään seinästä tulevaan ethernet-piuhaan.

Eli, jos joku jaksaisi vääntää rautalangasta, olisin kiitollinen.
 
HK_Blues sanoi:
Terve kaikille!

Aloittelija kysyisi tyhmiä: onko tuo ipfire "turvallinen" out of the box? Eli riittääkö Green = LAN & Red = WAN vai pitääkö säätää itse enemmän?

En näistä verkkoasioista itse juuri ymmärrä, mutta tuli ipfire-purkki nyt rakennettua kuitenkin, kun en "luottanut" pelkkään seinästä tulevaan ethernet-piuhaan.

Eli, jos joku jaksaisi vääntää rautalangasta, olisin kiitollinen.
Napsauta laajentaaksesi...

Riittää tuo Green = LAN & Red = WAN.

opCTD9u.jpg
 
HK_Blues sanoi:
Terve kaikille!

Aloittelija kysyisi tyhmiä: onko tuo ipfire "turvallinen" out of the box? Eli riittääkö Green = LAN & Red = WAN vai pitääkö säätää itse enemmän?

En näistä verkkoasioista itse juuri ymmärrä, mutta tuli ipfire-purkki nyt rakennettua kuitenkin, kun en "luottanut" pelkkään seinästä tulevaan ethernet-piuhaan.

Eli, jos joku jaksaisi vääntää rautalangasta, olisin kiitollinen.
Napsauta laajentaaksesi...

Kaikki portit on kiinni ulkoapäin tuleville yhteyksille, eli on turvallinen käyttää..
 
Kehittynyt VPNFilter-haittaohjelma saastuttanut koti- ja pienyritysreitittimiä

Haittaohjelma pystyy Symantecin mukaan saastuttamaan seuraavia laitteita:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS Cloud Core Routers: Versiot 1016, 1036, ja 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Muut QNAP NAS laitteet, joissa käytetään QTS ohjelmistoa
  • TP-Link R600VPN
Napsauta laajentaaksesi...

Hyvä että tuli tämmönen purkki konfiguroitua. Sain juuri pfBlockerin suodattamaan mainosroskaa pois..
 
Minulla on pfSensessä pfBlockerNG ja siinä DNSBL:ssä muutama lista. Olen ihmetellyt "jännää" ongelmaa (ilmeisesti javascriptin kanssa) eli jos Gigantin sivulla haluaa rajata tuoteryhmiä, ei se toimi, ei tapahdu suodatusta kun niitä valitsee. Samoin Nettiautossa auton nimen klikkaus ei toimi, kuvan toimii.

Syyllinen selvästi on tuo pfBlockerNG, sama vika kaikissa koneissa ja kaikilla selaimilla ja toimii kun tuon (DNSBL:n) kytkee pois. Mutta mikä ihmeen suodatin siinä voi noihin kahteen juuri sopivasti osua? Onko tietoa/kokemusta vai jatkanko lokien yms. tutkimuksia..?
 
Nyt toimii Gigantin tuoteryhmän valinta. Tuo piti laittaa white listille: assets.adobedtm.com
 
escalibur sanoi:
Qotom näköjään päivitti omat purkit: Qotom Q350G4Y/Q370G4Y Qotom Pfsense Firewall Little PC Core i5/i7 with 4 Gigabit LAN Support AES NI Fanless Tiny Computer-in Mini PC from Computer & Office on Aliexpress.com | Alibaba Group

Tuossa mallissa on mm. Haswell i5 ja i7 CPU ja Intelin Ethernet-piirit. Ei tuulettimia.
Napsauta laajentaaksesi...
Tuo hitaampi I5-4200Y on suunnilleen saman tehoinen kuin J3455, joka löytyy Fitlet2:sta. Fitlet2 on selvästi pienempi (= mahtuu paremmin telekaappiin) ja vie vähemmän sähköä. Fitletinkin teho riittää jo kevyesti saturoimaan 1 Gbitin Internet-yhteyden.

J3455:
PassMark - Intel Celeron J3455 @ 1.50GHz - Price performance comparison

I5-4200Y:
PassMark - Intel Core i5-4200Y @ 1.40GHz - Price performance comparison
 
Ei fitlet2:ssa ole mitään vikaa, kunhan sen saa ostettua järkevällä hinnalla.
 
escalibur sanoi:
Ei fitlet2:ssa ole mitään vikaa, kunhan sen saa ostettua järkevällä hinnalla.
Napsauta laajentaaksesi...
Tuo I5-4200Y-pohjainen Qotom-basebone maksaa halvimmillaan tuolla linkkaamallasi sivulla $205. Fitlet2 J3455 barebone maksaa $161:
Buy

Molempiin rahti ja tulli päälle. Fitlet on siis kaiken lisäksi halvempikin. Toki palomuurikäytössä Fitlettiin kannattaa tilata samalla Facet-kortti, jolla siihen saa 2 Ethernet-porttia lisää. Tämä vetää hinnat suunnilleen tasoihin.

On vaikeaa keksiä parempaa rautaa tällä hetkellä kotipalomuuriksi kuin Fitlet2 - käytät sitten PfSenseä tai vaikkapa ilmaista Sophos XG Homea.
 
Viimeksi muokattu:
et328 sanoi:
Mikä noissa päivittyi? Eikös nuo prossut ole lähes 5 vuotta vanhoja ja Qotomilla on pitkään ollut jo i5-5250U mallejakin.
Napsauta laajentaaksesi...
Ainakin silloin kun viimeksi selailin Aliexpressin tarjontaa, niin melkein jokainen purkki rajoittui joko siihen ettei prossu tue AES-NI:ta tai ettei ethernet-piirit ole Intelin valmistamia.
 
escalibur sanoi:
Ainakin silloin kun viimeksi selailin Aliexpressin tarjontaa, niin melkein jokainen purkki rajoittui joko siihen ettei prossu tue AES-NI:ta tai ettei ethernet-piirit ole Intelin valmistamia.
Napsauta laajentaaksesi...
Et taida selailla kovin usein ;) Minulla on tuollainen i5-5250U Qotom ollut jo viime syksystä lähtien, Intelin verkkopiireillä. Luulisi nyt jo olevan malleja vielä uudemmilla prossuilla, onko se sitten 6 tai 7 alkuinen tyyppinumero tuon i3/i5/i7 perässä.
 
et328 sanoi:
Et taida selailla kovin usein ;) Minulla on tuollainen i5-5250U Qotom ollut jo viime syksystä lähtien, Intelin verkkopiireillä. Luulisi nyt jo olevan malleja vielä uudemmilla prossuilla, onko se sitten 6 tai 7 alkuinen tyyppinumero tuon i3/i5/i7 perässä.
Napsauta laajentaaksesi...
Myönnän etten selaa niitä "päivittäin". :) Joka tapauksessa ihan pätevä purkki kotimuurin käyttöön.
 
Kannattaako laittaa kaksi mobiilidata yhteyttä (4G) load balancella nippuun PfSensessä, vai käykö tässä sama kuin QoS:n kanssa, että kun nopeudet heittelee ruuhkaisuuden mukaan, niin menee kaikki ihan sekaisin?
 
et328 sanoi:
Kyllä, oikein hyvä purkki eikä mitään ongelmia ole ollut. Q355G4 on tuo minulla oleva malli.
Napsauta laajentaaksesi...

Samainen Q355G4 löytyy täältäkin. Ainoastaan hämmennystä herätti se, että interfacet menee jotenkin oudossa järjestyksessä. Tästä alun ihmettelystä kun selvisi niin on hyvin toiminut.


CPU Type Intel(R) Core(TM) i7-4500U CPU @ 1.80GHz
4 CPUs: 1 package(s) x 2 core(s) x 2 hardware threads
AES-NI CPU Crypto: Yes (active)
Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICM
 
Cyrus sanoi:
Samainen Q355G4 löytyy täältäkin. Ainoastaan hämmennystä herätti se, että interfacet menee jotenkin oudossa järjestyksessä. Tästä alun ihmettelystä kun selvisi niin on hyvin toiminut.


CPU Type Intel(R) Core(TM) i7-4500U CPU @ 1.80GHz
4 CPUs: 1 package(s) x 2 core(s) x 2 hardware threads
AES-NI CPU Crypto: Yes (active)
Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICM
Napsauta laajentaaksesi...

Eikös tuo ole Q370G4 ? Minulla prossu on i5-5250U joka käsittääkseni on uudempaa mallisarjaa, 4th gen vs. 5th gen.
 
Tuli asennettua pfBlockerNG. Mitäs DNSBL ja IPv4 listoja teillä on käytössä? Noita on ihan mieletön määrä kun googlettaa. Tässäkin ketjussa mainittu joitakin.
 
user9999 sanoi:
Tuli asennettua pfBlockerNG. Mitäs DNSBL ja IPv4 listoja teillä on käytössä? Noita on ihan mieletön määrä kun googlettaa. Tässäkin ketjussa mainittu joitakin.
Napsauta laajentaaksesi...

Itsellä on seuraavat:

DNSBL:

  • D_Me_ADs
  • D_Me_Tracking
  • hpHosts_ATS
  • Cameleon
  • Malc0de
  • MDL
  • CoinBlocker_All
  • NoCoin

IPv4 (deny outbound):

  • Abuse_IPBL
    • Abuse_Zeus
  • CINS_army
  • ET_Block
  • DShield
  • Talos_BL
  • Alienvault
  • BlockListDE_All
  • MDL
  • BDS_Ban
  • CoinBlocker
  • Malc0de

Whitelistauksessa suomalaiset virastot, pankit, .apple.com, jne.
 
Ollut pfSense käytössä turhan järeä i7-7700T kokoonpano. Tuolle on nyt muuta käyttöä niin tuli tilattua

1.00 x Shuttle XP? slim DS77U Intel SoC BGA 1356 1.8GHz 3865U 1.3L kokoinen PC Musta barebone-tietokonerunko DS77U
2.00 x Samsung 4GB DDR4-2400 SO-DIMM CL17 1.2V HTK_M471A5244CB0-CRC

Koko hoito muisteineen yhteensä 286.60 EUR

Fitlet2 olisi kiinnostanut, mutta toimitusajat pitkiä.

Täytyy ajaa tuolle jossain vaiheessa iperf testit normaali käytössä ja lisäksi openvpn käytössä.
 
user9999 sanoi:
Ollut pfSense käytössä turhan järeä i7-7700T kokoonpano. Tuolle on nyt muuta käyttöä niin tuli tilattua

1.00 x Shuttle XP? slim DS77U Intel SoC BGA 1356 1.8GHz 3865U 1.3L kokoinen PC Musta barebone-tietokonerunko DS77U
2.00 x Samsung 4GB DDR4-2400 SO-DIMM CL17 1.2V HTK_M471A5244CB0-CRC

Koko hoito muisteineen yhteensä 286.60 EUR

Fitlet2 olisi kiinnostanut, mutta toimitusajat pitkiä.

Täytyy ajaa tuolle jossain vaiheessa iperf testit normaali käytössä ja lisäksi openvpn käytössä.
Napsauta laajentaaksesi...


Odottelen tuloksia mielenkiinnolla. Pitäs uus pfsense boxi hankkia ja fitletti heilunu ostoskorissa.
 
Raivo sanoi:
Odottelen tuloksia mielenkiinnolla. Pitäs uus pfsense boxi hankkia ja fitletti heilunu ostoskorissa.
Napsauta laajentaaksesi...

Sama juttu itselläni, tosin olen enimmäkseen käyttänyt ipfireä. Mietinnässä nettiyhteyden päivitys 1000/100 joten ajatuksia ehkä muutenkin raudan tasosta..
 
Mulla ei ole kuin 100/10 netti tällä hetkellä. Testaan WAN <----> LAN nopeudet kytkemällä koneet suoraan pfSensen LAN ja WAN portteihin. Tuohan on sitten giganen.

Aikaisemmat openvpn testit: Piti muokata kuvat https --> http niin toimii...

pfSense purkki: Zotac ZBox IQ01 (I7-4770T, 16GB, 2x Realtek)
Työasema1: Mac Mini Late 2014 (i7-4578U 3.00 GHz, 16GB, macOS 10.12.5)
Työasema2: Intel NUC NUC5i5RYH (i5-5250U, 16GB, Windows 10 Pro Version 1703)
Tee-se-itse: Rautapalomuurit ja UTM:t (Mitä käytätte ja miksi juuri se vaihtoehto?)

Tuolla pfSense i7-7700T kokoonpanolla ei tullu ajettua noita testejä.
 
Kiitoksia näistä, täytynee pähkäillä vielä kun saat ajeltua tolla shuttlella testit. :tup:
 
Mulla on tähän käyttöön wanha Proliant ML 110 G2, jossa Pentium IV ja 3GB RAMmia ja 2 x 680 GB rauta Raid 1. Saa välttää, vaikka on aika meluisa kone puhaltimineen. Tällä hetkellä se on ollut off, ja siinä on OPNSense jonka onnistuin konffaamaan niin ettei LANi enää toimi sen kanssa. Jossain vaiheessa laitan siihen pfSensen, kun sille tuntuu olevan enemmän kekotietämystä ainakin täällä.
 
pfSense purkki: Shuttle XPC slim DS77U Intel SoC BGA 1356 1.8GHz (8GB, SSD 256GB)
Työasema1: Mac Mini Late 2014 (i7-4578U 3.00 GHz, 16GB, macOS High Sierra 10.13.5)
Työasema2: Intel NUC NUC5i5RYH (i5-5250U, 16GB, Windows 10 Pro Version 1803)

pfSense IP:t:
WAN: 100.0.0.1
LAN: 192.168.1.1

Työasema1 (mac):
LAN: 100.0.0.2
Openvpn: 10.0.8.2

Työasema2 (nuc):
LAN: 192.168.1.18

1. WAN-LAN
Mac iperf client ja nuc server. Tässä ei nyt ole mitään ihmeellistä eli kulkee sen mitä gigasessa mahdollista. Tuossa on siis tehty port forward iperfiä varten.

j1IBY9j.jpg

szyHd9M.jpg

2. OPENVPN:

DH Parameter Length: 2048bit
ECDH Curve: default
Encryption Algorithm: AES-256-CBC
Auth digest algorithm: SHA256 (256-bit)
Hardware Crypto: Intel RDRAND engine - RAND
Compression: LZ4 Compression v2

Tunnelblick logissa:
2018-06-17 09:52:11 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2018-06-17 09:52:11 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

Mac iperf client ja nuc server:

DyjZOww.jpg

VMsApBU.jpg

Nuc iperf client ja Mac server:

leqlM5c.jpg

6x3CsHW.jpg

Mulla on joku Belkinin kulutusmittari. Tämän näköinen paske :D

pic2.jpg


Näyttää tuolle Shuttlelle seuraavia:

idle: 6.8W

Tuo WAN-LAN testi: 9.7W
CPU kuorma oli tuossa WAN-LAN testissä noin 23%

Openvpn testi: 10W
CPU kuorma tuossa openvpn testissä reilu 40%
 
Viimeksi muokattu:
Toi belkinin mittari on hyvä. En ole löytänyt vielä semmoista kuormaa millä toi näyttäisi väärin verrattuna kunnon power analyzeriin.

Muutamassa vuodessa on säästetty esim tommosen shuttelen hankintahinta sähkölaskussa jos verrokkina on kivikautinen proliant serveri. Proliantin oikea sijoituspaikka on kyllä serrilava eikä 24/7 palomuuri käyttö. :D
 
Tuo openvpn testin cpu kuorma siis näyttää vain tuon reilu 40%. Openvpn ei käsittääkseni osaa käyttää kuin yhtä ydintä. Pfsense taas näyttää vain näin.

niiYW2o.jpg


Eli tuossa openvpn cpu 40% tapauksessa voi olla, että toinen ydin huutaa hoosiannaa ja toinen idlaa ja siksi tuo reilu 40%.
 
Tuli vaihdettua pfSense ihan perinteiseen debian iptables palomuuriin jota hallitaan shorewallilla. Pelkkä komentorivi ei mitään webguita nopeampi konffata ja enemmän säätövaraa. Pystyt asentamaan mitä tahansa normaalia verkonhallinta linuxsoftaa debianiin. Pfsensessä normaalit freebst ohjelmarepositoryt eivät olleet käytössä joka esti säätämisen. Tai olisi kai tuohon saanut asennettua vaikka mitä mutta pelkona järjestelmän hajoaminen. Tuli samalla rakennettua palomuurikoneeseen raid1 kahdella ssd:llä.
 
Jäi laittamatta noita lämpötiloja tuon testin aikana. Nyt tuo purkki idlaa ja on pöydällä ja talossa 21.9 astetta.

umKDAky.jpg
 
8GB:n RAM:lla voit kevyesti ottaa myös Snortin käyttöön. :)
 
escalibur sanoi:
8GB:n RAM:lla voit kevyesti ottaa myös Snortin käyttöön. :)
Napsauta laajentaaksesi...
Juu tuo 8GB riittää vaikka mihin. Mulla ei ole vielä mitään tuossa purkissa. Uptime nyt 10 Days 17 Hours 13 Minutes 48 Seconds niin eiköhän tuo ole ihan vakaa.

Pitää virittää openvpn ja sitten tuo pfBlockerNG. Hitto kun jyräsin tuon aikaisemman koneen levyn. En huomannu ottaa pfsensestä backup konffista eli olisikohan nuo openvpn ja pfBlockerNG jutut olleet tuossa konffiksessa? Ainakin jotain sertijuttuja tuossa xml tiedostossa on kun otin tuosta perusasennuksesta.

Edit: Tai oli mulla tuo openvpn tuossa kun ajoin noita testejä. Vetäsin testien jälkeen puhtaan asennuksen.
 
Viimeksi muokattu:
FireExit sanoi:
Onko tuosta jotain etua kun pitää noi tmp- ja var-kansiot RAMissa? Mietin että kannattasko itekkin siirtää ne sinne...
Napsauta laajentaaksesi...
Eipä siitä taida olla muuta hyötyä kuin että levy säästyy "tarpeettomista" kirjoituksista. Asetus on lähinnä hifistelyä.
 
/var pitäisi kumminkin olla persistent varasto. Eli esim. käyttiksen pakettivarasto majailee siellä ja kirjanpito tehdyistä asennuksista. Tuo rakenne pitäisi kasata RAMmiin bootissa levyllä olevasta kamasta, ja sammuttaessa seivata RAM-kansiot sinne levylle.

Aivan liian hankalaa ja riskialtista!

/tmp on usein normilinuxeissakin laitettu RAM-muistiin tmpfs:llä. Se kun tyhjätään bootissa aina muutenkin.
 
Eipä sillä niinkään väliä, koska niin kauan kun palomuurin conffis on varmuuskopioituna. :) Kuten sanoin aikaisemmin, tuo on lähinnä hifistelyä.
 
user9999 sanoi:
Elisa 100/10 VDSL2 uppi aiheuttaa latencyn tuohon waniin :confused2:

d7QJnU4.jpg
Napsauta laajentaaksesi...

@user9999 Jos oikein tulkitsen tätä, niin verkon tiedonsiirto latenssi on oikeasti vain tuo 18ms. Mutta Elisa WAN linkin DHCP serverin vastauksen viive on tuo 400ms. Serveri on tod.näk. ruuhkainen ja se priorisoi tuota pingiä alaspäin ohi DHCP pyyntöjen, jotka ovat sen varsinainen palveltava osuus. Pingi on vain ns nice to know.
4G käytössä toi mun Pfsense on nyt tehnyt säännöllisesti sellaista että WAN katkeaa noin 2-3 viikon välein. Saapa nähdä jatkuuko tämä, ja jos, niin poistan ominaisuuksia joita on testikäytössä ollut. Vaihtuu kuidulle tuo yhteys tässä parin viikon sisään.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
259 119
Viestejä
4 502 646
Jäsenet
74 329
Uusin jäsen
Bopperhopper

Hinta.fi

Back
Ylös Bottom