Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 334
Laitetaan tälläinenkin keskustelu pystyyn. Eli mitä (ja miksi juuri se) itse-tehtyjä palomuureja porukka käyttää? :think:

Vaihtoehtoja on moneen lähtöön ja itselle tällä hetkellä mielenkiintoisimmat ovat: pfSense (parhaillaan käytössä), Sophos UTM ja Simplewall.

pfSense mietteitä tähän asti

- Ei ole rajattu millään maksullisilla vaihtoehdoilla (poislukien teknisen tuen)
- Selkeä GUI
- Tumma GUI-teema
- Hyvä OpenVPN-tuki
- Perustuu avoimeen lähdekoodiin (FreeBSD), eli takaporttien yms asioiden koodaus lähes mahdotonta
- Konfiguroittavissa myös IDS/IPS tutkaksi (Suricata / Snort)


Sophos UTM

- Tämä on vielä kokeilematta
- Netin tarinoiden perusteella vaikuttaa melko lupaavalta
- Sisältää mm. AV-skannauksen (Avira + Sophos) joita voi käyttää yhtäaikaisesti.

- Miinuksena ilmaisversion rajoitukset (mm. yhtäaikaisten yhteyksien määrä 32 000 vs. esim pfSense 800 000 8GB RAM:lla)


Itselle GUI on must siksi perus linuxit ja VyOS:t eivät napostele.
 
Itelläkin pyörii pfSensen uusin versio virtuaalisena HP:n Z400 koneessa Ubuntu KVM/QEMU alustalla. OpenVPNki on käytössä ja sen sai käyttöön suht helposti verrattuna aikasempiin kokemuksiin
 
Itelläkin pyörii pfSensen uusin versio virtuaalisena HP:n Z400 koneessa Ubuntu KVM/QEMU alustalla. OpenVPNki on käytössä ja sen sai käyttöön suht helposti verrattuna aikasempiin kokemuksiin

Joo. Nähtävästi versiossa 2.3 tuo parantui huomattavasti uuden GUI:n myötä. Wizard on varsin kätevä, jos ei kiinnosta säätää kaiken "käsin". :)

 
pfSenseen liittyen niiltä on tullut ulos mielenkiintoinen kapistus

sg-1000-exploded.png

Netgate SG-1000 microFirewall

Ei ol liian pahanhintainen (149$) ja ei syö sähköä niin että sillä olisi mitään merkitystä ja tekee sen mitä kotikäytössä tarvii (ts ei valtavasti porttteja tms).
 
Itse käytän perus iptables webmin yhdistelmä. Mutta toi pfsense vaikutaa aika kypäsältä nykyään mutta pitäs VM kun serverillä on muuta käyttö kun vaan FWnä.
 
Itse käytän perus iptables webmin yhdistelmä. Mutta toi pfsense vaikutaa aika kypäsältä nykyään mutta pitäs VM kun serverillä on muuta käyttö kun vaan FWnä.

Tässä on pätevä video pfSensen pystyttämisestä ESXi:n päälle:

 
pfSenseä tuli jokunen vuosi takaperin käytettyä ja varmaan käyttäisin nykyäänkin, jos olisi sopivampaa rautaa. Ja ei mokkula nettiä.

pfSenseen liittyen niiltä on tullut ulos mielenkiintoinen kapistus
sg-1000-exploded.png
Netgate SG-1000 microFirewall

Ei ol liian pahanhintainen (149$) ja ei syö sähköä niin että sillä olisi mitään merkitystä ja tekee sen mitä kotikäytössä tarvii (ts ei valtavasti porttteja tms).
 
Meneekös tuo pfsensen konfis eri rautaan jos joutuu vaihtamaan esim raudan hajotessa?

Sent from my ONEPLUS A3003 using Tapatalk
 
Kyllä menee.


Wendellin pointteja pfSensesta:




Tässä on kenties paras ja kattavin videosarja uusille käyttäjille liittyen pfSenseen. "Mitä ja miksi?"-asiaa jne..



Sarja sisältää myös joitakin vinkkejä eri asetuksista ja selityksiä mitä ne tekee. Mielestäni todella hyvin toteutettu ja uskon että pätkistä löytyy uutta tietoa lähes jokaiselle. :)
 
Viimeksi muokattu:

Juu tasan 100€ järkevämpi ;-p ja siitä huolimatta siinä ei ole kunnollista langatonta verkkoa joten tarvii kuminkin sen yhden langattomanreittitimen lisää eli ei ole yhtä sen parempi loppupeleissä kuin tuo 100€ halvempi versio sen langattmanreittitimen kanssa.

Tuo n.150€ kapistus on hyvä kun sen lisää sulla jo olemassa olevaan verkoon hoitaman sen reitityksen/palomuurin paremmin kuin nykyiset toteutukset hoitaa, sen idea ei olekkaan toimia yksin ilman jo olemassa olevaa infraa.

...
Tässä on kenties paras ja kattavin videosarja uusille käyttäjille liittyen pfSenseen. "Mitä ja miksi?"-asiaa jne..



Sarja sisältää myös joitakin vinkkejä eri asetuksista ja selityksiä mitä ne tekee. Mielestäni todella hyvin toteutettu ja uskon että pätkistä löytyy uutta tietoa lähes jokaiselle. :)

Tämän tyyliset jutut on se mikä tekee tuosta 150€ vehkestä järkevän lisän omaan jo olemassaolevaa verkkoon kun se tekee kaiken opettelun ja ymmärtämisen helpommaksi (verratuna siihen kaupasta ostettuun tai palveluntarjoajalta saatuun reitittimeen jokan toimintoista kunnolla perillepääsy ei ole helppoa) kun pfsenselle on löydettävissä niin paljon infoa ymmärrettävässä muodossa.


Edit:

Katsoin tuon linkittämäsi "pFsense sg-1000 microfirewall review and speed test" tuben niin siitä ilmeni yksi seikka jonka toinen lähde oli ilmoittanut väärin se toinen lähde väitti että kysessä olisi ollut 4 ydin prosessori kun taas tuo sanoo sen olevan yksi ytiminen se tietenkin tekee hurjan eron siihen miten oletin sen pärjäävän reititys nopeuden suhteen.
 
Viimeksi muokattu:
Itsellä pyörii HP:n microserverissä Sophoksen XG home edition (sama tuote kuin maksullinen sophos/hw appliance, mutta käyttää vain 4coree / 6Gb muistia maksimissaan).

On raportointia, web filtteriä, jne. Viikon on ollut nyt käytössä ja todella hyvälle vaikuttaa. Työn puolesta on Watchguardin muureista paljonkin kokemusta, ja tämä Sophos tuntuu vaan paremmalta.

Pfsenseä tullu käytettyä aikaana mutta jotenkin nuo kaupalliset vaan vakuuttaa enempi.

Tuo appliance asentuu melkolailla mihin tahansa "tuoreeseen" pc-rautaan. Pl. tuo edellämainittu proliant. Se ei jostain syystä HP:n biossin (pugi?) vuoksi suoraan suostu boottaamaan, sanoo vain että no system disk, mutta usb-tikulle asennettu Grub joka käynnistää ensimmäiseltä kovalevyltä boottaa XG:n sit käyntiin ok.

M.
 
Itsellä oli vuosikaudet käytössä pcengines wrap + m0n0wall -kombinaatio. Myöhemmin vaihtui rauta sitten saman valmistajan tuoreempaan alix-boardiin. Softa pysyi samana, ja toimivuudessa ei ollut kyllä valittamista kun pisin uptime 821 vuorokautta joka katkesi vasta kun muutin uuteen asuntoon :)

Alix jäi sitten hieman pullonkaulaksi 100/10 yhteydellä joten nykysin sitten pcengines Apu 2c2 + pfsense otettu koekäyttöön. Eiköhän tuo omat tarpeet täytä varsinkin kun tuon läpi tulee liikenne maksimivauhtia.
 
Pfsensessä mitään komentorivipohjaista configin editointitilaa, muutosten commitointia kerralla tai confisten versiohistoriaa/rollbackia?
 
Juu tasan 100€ järkevämpi ;-p ja siitä huolimatta siinä ei ole kunnollista langatonta verkkoa joten tarvii kuminkin sen yhden langattomanreittitimen.

Älä sekoita reititintä ja tukiasemaa. :) pfSensen logiikka onkin siinä että se hoitaa palomuurin ja reittitimen tehtävän sotkematta langattomuutta asiaan. Lagattomuuden muutenkin kannattaa hoitaa esim. halpispurkeilla kytkemällä muurin + tukarit kytkimeen. Näin homma pysyy hallinnassa ja huonon tukarin on helppo vaihtaa vaihtamatta "koko infraa". :)

Pfsensessä mitään komentorivipohjaista configin editointitilaa, muutosten commitointia kerralla tai confisten versiohistoriaa/rollbackia?

Ei taida olla. (Kenties johtuu FreeBSD:n syntaksista? Mene ja tiedä.) Huhujen mukaan "on tulossa" versiossa 3, kenties "pfCenterin" kera. SSH-tuki löytyy jos haluaa muutella perus asetuksia.

Koodi:
0) Logout (SSH only)                  9) pfTop
 1) Assign Interfaces                 10) Filter Logs
 2) Set interface(s) IP address       11) Restart webConfigurator
 3) Reset webConfigurator password    12) pfSense Developer Shell
 4) Reset to factory defaults         13) Update from console
 5) Reboot system                     14) Disable Secure Shell (sshd)
 6) Halt system                       15) Restore recent configuration
 7) Ping host                         16) Restart PHP-FPM
 8) Shell

Jos GUI tylsistyttää VyOS voi olla kokeilemisen arvoinen. :)


ps. Tässä on oma pfSense-rauta:

ttjoC1V.png



Lisää aiheesta vähän myöhemmin. :)
 
Viimeksi muokattu:
En yllättynyt luovuin Netgearin kaapelimodeemista jo ylivuosisitten kun siitä köytyi takaovi jota eivät suostuneet täysin poistamaan (vaihtoivan vain salasanan toiseen yhtähelposti arvattavaan).

Netgear on juuri esimerkki, miksi monet alkaa panostamaan näihin pfSenseihin yms vaihtoehtoihin. Myös avoin lähdekoodi on suuri etu, koska silloin uteliaat voivat varmistaa ettei käyttikseen ole viritelty ties mitä pasketta. Kotipurkkien haitaksi muodostuu myös valmistajan bisnesajattelu, jolloin vanhoja malleja ei enää päivitellä vaikka olisivat kuinka reikäisiä.
 
Netgear on juuri esimerkki, miksi monet alkaa panostamaan näihin pfSenseihin yms vaihtoehtoihin. Myös avoin lähdekoodi on suuri etu, koska silloin uteliaat voivat varmistaa ettei käyttikseen ole viritelty ties mitä pasketta. Kotipurkkien haitaksi muodostuu myös valmistajan bisnesajattelu, jolloin vanhoja malleja ei enää päivitellä vaikka olisivat kuinka reikäisiä.
Juu tuo bisnesajattelu vaan potkii sitä firmaa kintuille kun en takuuvarmasti osta selleiselta firmalta mitään jolta olen kerran hankinut tuotteen jossa on myyntihetkellä ollut pahoja turva puutteita (varsinkin sellaisia jotka joku on siihen tahallaan laitanut) ja joita ei ole korjattu vaikka ne ovat paljastuneet vain parivuotta tuotteen myyntiin tulon jälkeen.

Kun jos se firma on kerran tehnyt sen tempun mikä muka takaisi sen että siinä uudessa tuotteessa ei ole vastaavaa perseilyä.
 
Alix jäi sitten hieman pullonkaulaksi 100/10 yhteydellä joten nykysin sitten pcengines Apu 2c2 + pfsense otettu koekäyttöön. Eiköhän tuo omat tarpeet täytä varsinkin kun tuon läpi tulee liikenne maksimivauhtia.
tässä pähkäilen raudan ostoa, tuo shuttle on turhan kallis jos ei vaikka napeksi säätää palomuuria. plussana siinä on että sitä pystyy hyödyntämään vaikka normi työpöytäkäyttöön, lisäämällä muistia ja vaihtamalla isompaa levyä.
APUssa (2c2) arveluttaa ettei pysty lisäämään muistia tai vaihtamaan jos vaikka muistit hajoaa. ja sitä ei pysty kyllä oikein muuhun käyttöön käyttämään
mutta taidan tovin ajella vmwaren päällä tuota pfsenseä jotta näkee miten sen kanssa pärjää..
 
No Ei kyllä [emoji3]
Nojuu ehkäpä tuosta pääsee eroon jossei napeksi säätää..
 
Viimeksi muokattu:
Minulla on ollu IPFire käytössä jo pidempään. www.ipfire.org - Welcome to IPFire
pfSenseäkin olen kokeillut mutta en ole siinä saanut toimimaan lanin ja wlanin siltausta vaikka siellä gui:ssa on ihan valinnat sitä varten, jäi ne testailut sitten siihen.
 
Joo, joskus tuli pikaisesti koitettua pfsenseä, mutta toiminta oli jotenkin vaikeasti kategorisoitu ja muutenkin jotenkin sekaisen oloinen...
Palasin vanhaan tuttuun ja turvaliseen ipfireen, tämä on toimiva ja hyvä, vaikka gui on vähän vanhahtavan kökkö...
 
Ihan hyvä purkki sekin. Siinä taitaa olla vahemmat Intelin ethernet-piirit vrt. mm Shuttle DS68U ja yllämainittuun.
 
Ite oon laineilla jakanu nettiä IpFirellä ja varsin toimivaksi havaittu. Ainoastaan satunnaiset ihmeelliset lagipiikit/yhteyskatkokset ihmetyttää tuossa. Ajettu on eri raudalla, eri yhteyksillä jne. mutta sama satunnainen katkoilu tuntuu esiintyvän aina. QoS ja Squid (webproxy) käytössä, mutta lähes olemattomalla liikennemäärilläkin noita lageja esiintyy. IpFire on hyvällä tahdilla kehittyvä distro johon on kohtuu hyvät ohjeet ja ilmeisesti käyttäjien toiveita myö kuunnellaan.

Aiemmin oli käytössä Zeroshell mutta sen ominaisuudet ja todella hidas kehitys ajoi vaihtamaan toisiin distroihin. Tätä ilmeisesti kehittää vain yksi kaveri, joka ei edes halua apuja kehitykseen. Käytettävyys ja hallinta on melko sekavaa myös. Plussaa on multi WAN tuki loadbalancella.
 
Ihan hyvä purkki sekin. Siinä taitaa olla vahemmat Intelin ethernet-piirit vrt. mm Shuttle DS68U ja yllämainittuun.
Joo, niinpäs näkyy olevan...
En tiedä paljonko on eroa käytännössä?.. Varmaan perus adsl/mokkula yhteyksillä ei taida huomata... Sama prossu ja muutenkin aika sama kone..
 
Joo, niinpäs näkyy olevan...
En tiedä paljonko on eroa käytännössä?

Tuskin merkittävästi. Ainut realistinen asia mikä tulee mieleen on FreeBSD:n ajurituki jatkossa ja ehkä sitä kautta "paremmin optimoitu" rauta uusien mallien myötä.
 
Tuossa Pfsensessä ei taida olla viela Openvpn 2.4?

Tuossahan tulee LZ4 pakkaus ja GCM cipherit…
 
Ainut realistinen asia mikä tulee mieleen on FreeBSD:n ajurituki jatkossa ja ehkä sitä kautta "paremmin optimoitu" rauta uusien mallien myötä.
Intel on tukenut "aina" myös FreeBSD:tä hyvin ja em ajuri on tietääkseni Intelin omaa käsialaa ja edelleen aktiivisessa kehityksessä eli ajurituessa ei ole puutteita. Ominaisuuksia yms. uudemmissa piireissä on toki enemmän ja energiapuoli on melko varmasti parempi vaikkei nuo muutenkaan ihmeitä kuluta.
 
sainpa edistettyä omaa palomuurin viritystä. hommasin HP microserver GEN8:n ja siihen laitoin vmware esxi 6.5:n jälkeen päin tulossa i5 cpu.
päädyin tuohon kun tuo sama rauta pyörii tuolla nas4freen alustana ennestään ja olen ollut tyytyväinen. vmware päätyi valinnaksi kun tuota tarvii opiskella niin hyvää harjoitusta tulee tästäkin..
kysymys tai onko kommentteja,
kannattaako tuohon nas4freessä pyörivässä virtualboxissa pitää rinnalla toista pfsenseä mihin synkkailisi tästä "pää" pfsensestä asetukset ?
kun tuo näkyy olevan mahdollista, liekö enempi hankaluuksien kerjäämistä :)
kotona nyt ei niiin ole tärkeää tuo vikasietoisuus etteikö riitä että olisi valmiina virtuaali jonka nostaa tarvittaessa ylös ja palauttaa backupit...
yhteyksiä ei kuitenkaan ole kuin yksi ainoa spederan 4g
 
Hyper-V:ssä tullut pfSenseä muutama vuosi pyöriteltyä. Hyvin pelaa.
 
Itekki päädyin ja sain aikaiseksi pfsensen laitettua vmware esx 6.5:en. Hyvin pelittää huawei e5286n perässä. Pitäisi vielä openvpn siirtää pfsenseen. Tosin hyvin se pelaa samassa vmwaressa pyörivässä debian serverissä.
Opnsenseäkin testasin ja samalla tapaa pelaa mutta on vaan karkimpi. Samat ohjeet pätee kuitenkin molempiin pienellä soveltamisella.
 
Kuvissa ilmeisesti Shuttle DS67U tai DS68U? Jakaisitko hieman kokemuksia pfsense-käytössä? Erityisesti OpenVPN suorituskyky kiinnostaa.

DS68U:han tämä. Laitan tästä jonkinlaista tarinaa heti kun saan tekstin kirjoitettua. Nyt on muita kiireitä niin homma venyy jonkun aikaa.
 
Minulla on myös käytössä pfSense sekä siinä lisäpalikkana pfBlockerNG erinäisillä haitake-estolistoilla höystettynä. Tämä paketti pyörii vanhassa i3-2100:ssa. Mokkulanettiyhteys tulee pfSenselle sillattuna Dovado Tiny AC:n kautta. Ihan hyvin on tämä kokonaisuus pelittänyt. pfSensen valitsin sen takia, koska se oli ilmainen, selkeä GUI, Traffic Shaper, estolistat sekä se että asetukset saa talteen. Muutenkin pfSense tuntuu taipuvan aika moneen asiaan, jos joskus on tarvetta.
 
Virittelitkö pfblockerng:n jonkun ohjeen avulla vai kokeilemalla? Olen itse sitä vähän suunnitellut myös..
 
Viimeksi muokattu:
Virittelitkö pfblockerng:n jonkun ohjeen avulla vai kokeilemalla? Olen itse sitä vähän suunnitellut myös..

Sent from my ONEPLUS A3003 using Tapatalk

Kaivoin ohjeita siihen pääosin pfSensen foorumeilta. Juurikin nuo IP-estolistat ja nyt uutena unbound (DNSBL)-estolistat. Muutaman listan olen lisännyt myös Googlettamalla.

Tuo selkeä ohjeistus on kyllä pfSensen yksi ongelma.
 

Statistiikka

Viestiketjuista
261 170
Viestejä
4 530 969
Jäsenet
74 770
Uusin jäsen
kofeiinitonpepsi

Hinta.fi

Back
Ylös Bottom