Palomuuri kotiin

Yleinen keskustelu
1

Oli vaihteeksi aika rakentaa kotiin Linux palomuuri, vaatimuksina oli seuraavat:

  • äänetön
  • riittävästi ethernet liitäntöjä
  • pieni koko
  • www-hallinta

Ostin käytetyn muuripurkin linux.fi tori alueelta, melkein vastaavia saa uudenakin:
http://www.mini-itx.com/store/?c=40

Speksit: n. 1Ghz via prossu, 256MB, prossussa käsittääkseeni on padlock kryptokiihdytin:

root@efw-1232762035:~ # cat /proc/cpuinfo
processor : 0
vendor_id : CentaurHauls
cpu family : 6
model : 9
model name : VIA Nehemiah
stepping : 8
cpu MHz : 997.463
cache size : 64 KB
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 1
wp : yes
flags : fpu vme de pse tsc msr cx8 mtrr pge cmov pat mmx fxsr sse up rng rng_en ace ace_en
bogomips : 1996.98
clflush size : 32

Käyttikseksi valitsin Endian Firewall distron, Fedora pohjainen (http://www.endian.com/en/community/)

Ja tältä se näyttää takaapäin

Tältä edestä:

Hallinta:

Hallinta toimii www-selaimella ja laitteessa on proxy, spam blockkeri, content filtteri, virusscannaus ja dual wan tuki.
Nyt enää odotellaan kotia sitä welhon 110/5 linjaa, että laiteen tehot saisi käyttöön.

Hintakaan ei ollut paha: 250e (purkki) + 20cf (sandisk cf extreme III muistikortti,http://www.verkkokauppa.com/popups/prodinfo.php?id=10881) + puolipäivää omaa vapaa-aikaa.
Kattelin vastaavia kaupallisia purkkeja, niin alle 1500e ei saa vastaavilla ominaisuuksilla mitään vastaavaa, todennäköisesti
kaupallinen tuote maksaisi lähelle 2500e + ylläpitomaksut.

Lisää kokemuksia tulee, kun päivitän nettiyhteyteni.

Tälläinen laite riittää yrityskäytössäkin erittäin pitkälle, ainut mikä on että endian firewall ei community versiossa tue klusterointia, jos sitä tarvitsee niin http://www.pfsense.org on valinta.

Näin Linux säästäisi rahaa sinunkin firmassasi/kotonasi/yhdistyksessä ja suorituskyky ei lopu kesken ja jos loppuu,
niin järeämpää rautaa vaan alle.

Kommentteja: koska käytössä on compact flash kortti, niin swappia ei kannata käyttää. Suosittelen sandiskin kortteja, sillä ne ovat “parhaita”. Jos haluaa hieman enemmän tehoa, niin kannattaa investoida ssd kiintolevyyn. (nopeampi, äänetön, kestävämpi)

Kommenttina nopeudesta, nyt kun welho 110/5 on saapunut:

lftp ftp.funet.fi:/dev> mget 1GBnull
1073741824 bytes transferred in 155 seconds (6.60M/s)
lftp ftp.funet.fi:/dev>


Eero

2

Näyttää hienolta, tukeeko IPv6 (stateful) filtteröintiä? Tiedän että BSD:ssä on tukea (itselläni käytössä NetBSD 5.0 ja IPF) mutta miten on Linuxissa?

3

Linux tukee ipv6 palomuurausta, endian firewall ei vielä taida tukea käyttöliittymässään.


Eero

4

Itse olen pari kertaa rakentanut 100+ hengen lanpartyille palomuurin Ipcop-jakelulla kun ei ole ollut käytettävissä hallittavia reitittimiä. Tällä tavalla saatiin liikenne toimimaan tasaisesti ja portteja blokkaamalla/rajoittamalla myös kaistakäyttöä kuriin P2P-sovelluksilta. Lan-tapahtumissa on internet niin tärkeä osa sitä, että sen täytyy toimia.