Firewall / router

[Nolfi]

Hei.
Jeg har skiftet fra Telenor til Ventelo bredbånd grunnet jobbskifte og er nå i den situasjon at jeg ikke har en router mere (Ventelo leverer kun bredbåndsmodem).
Hos Telenor hadde jeg en Zyxel router med en, til mitt bruk, god firewall i. Den kunne allow/deny/drop på protokoll-/portnivå, den hadde (selvfølgelig) vanlig routerfunksjonalitet og den hadde trådløs funksjonalitet også.

Jeg (husstanden) har en NAS, en nettverksprinter, et par telefoner, en laptop, en Xtreamer, en Xbox 360 og 2 stasjonære PC'er og med et bredbåndsmodem som gir offentlige IP-adresser (nei, ingen NAT-/router-funksjonalitet i dette modemet) er jeg ikke så glad for tiden. For det første er jeg ikke veldig glad for å gi mine enheter (spesielt ikke NAS'en) offentlige IP-adresser. For det andre er det et h*****e å finne de andre maskinene når man ikke kjenner adressene de får (ingen faste IP-adresser her).

Spørsmålet er nå:
Hvilken firewall oppfylder kravene mine, som er som følger:

• Firewall - må kunne sette opp regler på port + protokollnivå
• NAT/PAT - Må kunne NAT'e/PAT'e fra offentlig til privat nett.
• DHCP - må kunne fungere som DHCP-server

Fysiske porte (Bortsett fra WAN/LAN) er ikke noe issue, da jeg har en HP ProCurve 10/100/1000 MBit switch på innsiden.

• DMZ er ikke et krav, men sikkert greit å ha.
• Trådløst nett er ikke et krav, hvis firewall'en ellers er god til det den kan. Man får kjøpt en ny trådløs router for en slikk og ingenting.
• Hardware VPN/tunneling er også greit, men heller ikke noe egentlig krav.

Jeg har sett på følgende på finn.no:

• Linksys RV042
• Zyxel Zywall 5
• Cisco PIX 501 (sikkert en gammel sak)

Det er disse 3 som er interessante for tiden. Det finnes sikkert andre firewalls derute, men hvilke? Er ikke fjern for å bestille fra Ebay / andre steder på nettet.

På forhånd takk

-Nolfi.

 

[Slabbedask]

Satte opp en Fortigate på jobb for en tid tilbake, husker ikke modellbetegnelse i farta. Den dekker alle de behovene du lister pluss en del til.

Kom seg på ca 2500-3000 kr.

http://www.fortinet.com/

 

[trex]

Her er også en masse greie bokser i den prisklassen du måtte ønske. De fleste gjør det du ønsker.

http://www.komplett.no/k/kl.aspx?bn=10275

Denne virker som en grei sak: http://www.komplett.no/k/ki.aspx?sku=307216#extra til nesten ingen penger.

 

[bambadoo]

Paloalto. Ingen over ingen ved siden. Men så var det prisen da
Drifter selv en slik i drift, men rimelig overkill for privat bruk kan man si

 

[vta]

Hos Telenor hadde jeg en Zyxel router med en, til mitt bruk, god firewall i.

Har du levert denne tilbake til Telenor? Hvis ikke så skal du greit kunne bruke den selv om at du har byttet til Ventelo, men det kan være at du først må foreta en "factory reset".

 

[Nolfi]

Takk for svar.
Cisco er vel etterhvert == Linksys?
Den Cisco SB Dual WAN VPN router det linkes til er nok samme som Linksys RV042 jeg har sett på. Cisco var/er jo kjent for bra nettverksutstyr, men gjør det seg kun gjeldende i high-end området eller også som entry level?
vta: Jeg har stadig Zyxel'en, men jeg regner med å levere den tilbake, jeg har jo ikke kjøpt den.. ( ???)
Skal iøvrig nok ikke over 1000-1500 kr, tror jeg, men det er jo også en del å velge mellom her.

 

[Just4Fun]

Hva med en Linksys router som en kan legge in custom firmware som DD-WRT på.
Bruker dette selv og kuttet ut Nextgentel modemet da Linksys routeren støtter PPPOE.

DD-WRT/Open-WRT eller Tomato firmware kan absolutt anbefales.

 

[marsboer]

Omtrent alt som kan krype og gå av moderne trådløse routere oppfyller jo kravene dine. Selv har jeg en Linksys WRT610N som har alt dette (jeg har slått av alt siden jeg benytter den kun som aksesspunkt).

En dedikert Linux-maskin er jo selvfølgelig ultimate (eller f.eks pfSense) om man har en maskin til overs.

 

[tweakMan]

En slik linksys burde jo også kunne "sette" adresser til de forskjellige apparatene på nettverket slik at man lett kan finne de...
Uansett, på mitt nettverk bruker jeg bare "navna" til apparatene jeg, går så fint atte...
Jeg kan route via navn, mac adresser, ip adresser + at om man slår på alle apparatene, så finner routeren min alle sammen og "lister dem i en liste for meg, easy as pie!

http://compnetworking.about.com/od/workingwithipaddresses/qt/staticipaddress.htm // En Guide, burde gi svar tror jeg.

Microsoft sin egen Guide, ganske brukbar den... http://www.microsoft.com/windowsxp/using/networking/default.mspx
W7 utgaven... : http://windows.microsoft.com/en-US/windows7/help

På min router er det en egen opsjon som heter "koblede enheter"... som i: finn dem for meg takk!
Jeg har en Netgear wndr3700,men jeg tipper at Linsys 610 kan akkurat det samme den!

mvh

 

[LydGeir]

Linksys er vel kjøpt opp av Cisco og blitt privatdelen fra den kanten. Du har jo også Cisco SA520, dog litt i overkant av prisen du antyder.

Zywall 5 med en MTBF på 41,7 år er en gjennomprøvd modell og bør være interessant.

 

[marsboer]

En slik linksys burde jo også kunne "sette" adresser til de forskjellige apparatene på nettverket slik at man lett kan finne de...
Uansett, på mitt nettverk bruker jeg bare "navna" til apparatene jeg, går så fint atte...
Jeg kan route via navn, mac adresser, ip adresser + at om man slår på alle apparatene, så finner routeren min alle sammen og "lister dem i en liste for meg, easy as pie!

http://compnetworking.about.com/od/workingwithipaddresses/qt/staticipaddress.htm // En Guide, burde gi svar tror jeg.

Microsoft sin egen Guide, ganske brukbar den... http://www.microsoft.com/windowsxp/using/networking/default.mspx
W7 utgaven... : http://windows.microsoft.com/en-US/windows7/help

På min router er det en egen opsjon som heter "koblede enheter"... som i: finn dem for meg takk!
Jeg har en Netgear wndr3700,men jeg tipper at Linsys 610 kan akkurat det samme den!

mvh

Routeren finner dem fordi den har gitt ut adresser til dem via DHCP og hostname på klientene blir da utvekslet. Om du setter fast manuell IP-addresse på f.eks en server eller nettverksswitch er du avhengig av å kunne legge til en manuell oppføring i routerens DNS for å kunne slå opp enheten på navn.

Dette med DNS finner jeg å være den største mangelen på dagens hjemmeroutere. De har til nød en DNS-cache med DNS-forwarding men de gir ingen kontroll slik at man kan legge til egne MX, CNAME, A og PTR records, noe som er nærmest en forutsetning for perfekt ytelse og oppførsel i alle hjemmenettverk som inneholder noe mer enn rene internettklienter. Det vil si f.eks servere/NAS med fast IP, mailserver, Linux-maskiner som skal aksesseres via SSH, nettverkskomponenter med egen IP osv.

 

[Godmode]

Nolfi da, trodde du var sånn datamann jeg

Hør på Marsboer! Hvis Zyxel routeren din var bra nok så er nesten alt som finnes av routere på markedet bra nok. Men, hvis du først skal gå for en router så gå for all del for en DD-WRT kompatibel variant slik stejorge nevner. sjekk kompatibilitetslisten http://www.dd-wrt.com/wiki/index.php/Supported_Devices eller søk på dd-wrt.com De har stort sett alt av features(pluss litt til) som svindyrt bedriftsutstyr.

Har du behov for trådløst? Hvis ikke så ser jeg at Linksys RV042 som du nevner er på listen over kompatibelt utstyr, og da er den en no-brainer. Kjøp, flash med DD-WRT: http://www.dd-wrt.com/wiki/index.php/Linksys_RV042 så har du en ok greie som kan gjøre det meste.

[Edit]: Ser ikke ut til at RV042 har ferdig DD-WRT støtte enda allikevel. Da ville jeg strøket den fra listen. og heller kjøpt en simplere enhet. Softwaren fra Linksys/Cisco er skikkelig dritt i forhold... [/Edit]

Det er klart, har du plass til en liten pc er jo det veldig mye kulere og kraftigere. Ta en gratis gammel desktop pc som it-avdelingen skal kassere, smekk inn et ekstra gigabit netverkskort fra Intel(ca 150,- hvis du ikke finner et) installer pfSense og du har en bunnsolid firewall/router basert på freeBSD som kan kjøre alt du trenger av relaterte tjenester som vpn(openVPN eller PPTP) snort, squid, load balancing, traffic shaping, dyndns osv osv osv. Oppetiden vil være ca tiden mellom hver gang du mister strømmen pga strømbrudd(med mindre du har UPS) eller flytter den. Anbefales! Og får du problemer kan du spørre meg, for jeg har en slik som du kanskje skjønner, hehe

 

[LydGeir]

Jeg må tilstå at jeg aldri helt har skjønt den voldsomme begeistringen for dd-wrt. Hvilke nyttige features finnes på denne som ikke en ok bedriftsbrannmur kan gi, på normalt bedre hardware enn billigruterne som folk flest ser ut til å foretrekke? Og hva sier butikkene/produsentene når man skal reklamere på en ruter med annen software enn produsentens?

 

[vredensgnag]

Jeg har stadig Zyxel'en, men jeg regner med å levere den tilbake, jeg har jo ikke kjøpt den.. ( ???)

Telenor spør aldri etter disse. De får dem inn for en tier.

 

[nb]

Jeg må tilstå at jeg aldri helt har skjønt den voldsomme begeistringen for dd-wrt. Hvilke nyttige features finnes på denne som ikke en ok bedriftsbrannmur kan gi, på normalt bedre hardware enn billigruterne som folk flest ser ut til å foretrekke? Og hva sier butikkene/produsentene når man skal reklamere på en ruter med annen software enn produsentens?

Garanti er unødvendig på slike billigsaker uansett. Er jo en viss sjanse for at routeren klikker når man flasher firmwaren også, da er den i enkelte tilfeller defekt.

Jeg har forstått det slik at hardwaren faktisk er ganske kapabel, bare at softwaren som finnes på billigroutere utnytter lite av mulighetene. Jeg bruker selv dd-wrt, men det var kun for å kunne bruke det ene aksesspunktet mitt som trådløs repeater siden jeg ikke lengre har kablet nett mellom de.

Det sagt, så er det få privatpersoner som har særlig bruk for den ekstra funksjonaliteten som dd-wrt gir, og det er også en del mer uoversiktelig å sette opp enn den simple firmwaren som følger med. Men den har en del nyttige funksjoner for enkelte som ikke finnes på rimelige routere.

 

[LydGeir]

Jeg kan gjerne være med på at dd-wrt sikkert utnytter ruterens hardware vel så bra som produsentens egen software, men den kan vel ikke gjøre mirakler med en svak prosessor og lite minne i forhold til en ok brannmur for bedriftsmarkedet som vanligvis er satt opp med bedre hardware? Gir dd-wrt økt throughput for VPN? Hva med oppdaterte IPS-signaturer, leverer dd-wrt noe slikt? Jeg har ikke opplevd problemer med å sette opp hardware brannmurer, og jeg har heller aldri savnet noen form for funksjonalitet.

Men spørsmålene i forrige innlegg knyttet seg først og fremst til påstanden nedenfor. Og hva er svindyrt i denne sammenhengen?

hvis du først skal gå for en router så gå for all del for en DD-WRT kompatibel variant slik stejorge nevner. sjekk kompatibilitetslisten http://www.dd-wrt.com/wiki/index.php/Supported_Devices eller søk på dd-wrt.com De har stort sett alt av features(pluss litt til) som svindyrt bedriftsutstyr.

 

[tweakMan]

Cisco connect virker å være rimelig brukandes til oppsett og.
evt... Er en linux basert ruter... kan bruke http://dd-wrt.com/wiki/index.php/Linksys_E2000

Den er også forresten den ABSOLUTT raskeste trådløse routeren der ute akkurat nå...
Nesten 100Mbps (80 sekunder pr Gigabyte med data..) i trådløs kapasitet og fremdeles 70 Mbps 30 meter fra den!! (5Ghz båndet)
100 Mbps
= 750.00 MB/min
= 12.50 MB/s
= 100.00 Mbps
= 11.92 MiB/s
= 45.00 GB/h
70 og 50 ca i 2.4ghz båndet..
Dette er akkurat dobbelt så fort, all over som Apple sitt råeste alternativ..

mvh

 

[Just4Fun]

E2000 er det vel enten eller på A eller G/N bånd, med E3000 kan du kjøre begge simultant.
Eller har jeg missforstått spesifikasjonene???

 

[tweakMan]

Stemmer, man må velge bånd med E2000, E3000 kjører begge samtidig, men er endel langsommere...
Nå virker det jo som Nolfi skal sitt apparat bare kablet da, så uansett.

For rett under 1000 lappen virker det jo til å være bare å velge å vrake for Nolfi, det kryr med bra apparater til hans bruk ser det ut til.

Uansett, det smarte for Nolfi er jo å velge routeren til Marsboer da! Online support... ;D Kanke kimse av det!

mvh

 

[Godmode]

Jeg kan gjerne være med på at dd-wrt sikkert utnytter ruterens hardware vel så bra som produsentens egen software, men den kan vel ikke gjøre mirakler med en svak prosessor og lite minne i forhold til en ok brannmur for bedriftsmarkedet som vanligvis er satt opp med bedre hardware? Gir dd-wrt økt throughput for VPN? Hva med oppdaterte IPS-signaturer, leverer dd-wrt noe slikt? Jeg har ikke opplevd problemer med å sette opp hardware brannmurer, og jeg har heller aldri savnet noen form for funksjonalitet.

Men spørsmålene i forrige innlegg knyttet seg først og fremst til påstanden nedenfor. Og hva er svindyrt i denne sammenhengen?

Var ikke meningen å presse avansert funksjonalitet på noen, men hvis du har erfaring med bruk av DD-WRT eller kanskje Tomatoe(har ikke brukt denne) så kan jeg ikke skjønne at du ikke ser forskjellen vs "stock" firmware. En gammel og god Linksys WRT54GL til snaut 400,- (har vært billigere også) kan tilby omtrent alt av funksjonalitet som "svindyre" dvs høy ende kommersielle routere gjør. Det er klart, den har ikke all verdens hardware, så du kan ikke bruke "alt" av features samtidig men til vanlig bruk er det helt sinnsykt hva de kan. Støtte for ting som f.eks vpn tunnelering(PPTP) finner du vel normalt ikke i forbruker routere? Må vel fort betale 2-3K for det?

En annen sak som man heller ikke skal kimse av er at disse entusiast firmwarene er mer stabile, det er i allefall min erfaring. på min gamle asus 500g funket de mer avanserte trådløskrypteringene veldig dårlig, og ingen fiks kom fra asus. Først når jeg la inn "Olegs" opensource firmware funket absolutt alt, i tillegg til at jeg fikk tilgang til mer features.

Derfor ser jeg virkelig ingen grunn til ikke å benytte slike apparater da det gir deg svært mye "gratis" funksjonalitet.

 

[Class]

Jeg har en Alix med m0n0wall, litt kostbar kanskje men det er topp kvalitet.

 

[marsboer]

Jeg elsker strongswan (IPsec VPN) og iptables (absolutt alt firewall-relatert), så her går det merkelig nok i Debian installert på en server med dual Intel gigabit server NIC ;D

 

[Nolfi]

Takk for tips.
Jeg er ikke blitt klokere. Tvertom...
Jeg bruker min gamle Zyxel fra Telenor inntil videre. Den er såpass avansert at jeg får den firewallfunksjonalitet jeg ønsker meg.
Vurderer en gammel PC med et par nic's i. Burde være til å få for ingenting, ca.
PfSense er vel kun firewall og lar meg ikke bruke pc'n til annet, f.eks. webserver, dns osv? I så fall er det vel smartere med en Linux-distro i en eller annen form..?

 

[LydGeir]

Jeg kan gjerne være med på at dd-wrt sikkert utnytter ruterens hardware vel så bra som produsentens egen software, men den kan vel ikke gjøre mirakler med en svak prosessor og lite minne i forhold til en ok brannmur for bedriftsmarkedet som vanligvis er satt opp med bedre hardware? Gir dd-wrt økt throughput for VPN? Hva med oppdaterte IPS-signaturer, leverer dd-wrt noe slikt? Jeg har ikke opplevd problemer med å sette opp hardware brannmurer, og jeg har heller aldri savnet noen form for funksjonalitet.

Var ikke meningen å presse avansert funksjonalitet på noen, men hvis du har erfaring med bruk av DD-WRT eller kanskje Tomatoe(har ikke brukt denne) så kan jeg ikke skjønne at du ikke ser forskjellen vs "stock" firmware. En gammel og god Linksys WRT54GL til snaut 400,- (har vært billigere også) kan tilby omtrent alt av funksjonalitet som "svindyre" dvs høy ende kommersielle routere gjør. Det er klart, den har ikke all verdens hardware, så du kan ikke bruke "alt" av features samtidig men til vanlig bruk er det helt sinnsykt hva de kan. Støtte for ting som f.eks vpn tunnelering(PPTP) finner du vel normalt ikke i forbruker routere? Må vel fort betale 2-3K for det?

En annen sak som man heller ikke skal kimse av er at disse entusiast firmwarene er mer stabile, det er i allefall min erfaring. på min gamle asus 500g funket de mer avanserte trådløskrypteringene veldig dårlig, og ingen fiks kom fra asus. Først når jeg la inn "Olegs" opensource firmware funket absolutt alt, i tillegg til at jeg fikk tilgang til mer features.

Derfor ser jeg virkelig ingen grunn til ikke å benytte slike apparater da det gir deg svært mye "gratis" funksjonalitet.

Jeg tror vi snakker om forskjellige ting. En av hovedpoengene til trådstarter var god brannmur-funksjonalitet. Det jeg kan finne på dd-wrt på dette området er omtrent like middelmådig som de fleste hjemmerutere jeg har sett specs på. Samme gjelder routing. Ytelse på disse to etter min mening viktigste funksjonene er normalt nært knyttet til hardware, ikke software. PPTP er det vel ingen som bruker i dag?

Det må være trådløsfunksjonaliteten som er grunnen til at mange sidestiller dd-wrt med alt annet man kan få kjøpt i butikk uansett pris. Men de to aksesspunktene jeg har brukt (med fabrikkfirmware) har hatt all funksjonalitet jeg har hatt behov for, og jeg har aldri hatt problem med stabilitet. Jeg har for øvrig ikke en eneste gang opplevd problem med firmware på brannmurer, switcher eller aksesspunkt.

Jeg er fortsatt litt usikker på hva du anser som svindyrt, men jeg ser du nevner 2-3000. Ovennevnte Zyxel Zywall 5 er et godt produkt til en etter min mening rimelig pris; jeg finner den nå til drøyt 3000 på nett (for ikke lenge siden var prisen nærmere 5000). Zyxel oppgir en MTBF på gode 41,7 år, og denne vil trolig være billigere over tid en det meste annet du kan finne.

 

[nb]

Zyxel oppgir en MTBF på gode 41,7 år, og denne vil trolig være billigere over tid en det meste annet du kan finne.

Om MTBF er 10 eller 50 år er neppe så nøye, er nok utdatert lenge før den tid uansett.

 

[LydGeir]

Zyxel oppgir en MTBF på gode 41,7 år, og denne vil trolig være billigere over tid en det meste annet du kan finne.

Om MTBF er 10 eller 50 år er neppe så nøye, er nok utdatert lenge før den tid uansett.

Det var kanskje det minst viktige poenget i mitt innlegg, men greit nok. Om driftssikkerhet er et tema er det likevel et punkt jeg mener man bør være opptatt av.

 

[Class]

PfSense er vel kun firewall og lar meg ikke bruke pc'n til annet, f.eks. webserver, dns osv?
I så fall er det vel smartere med en Linux-distro i en eller annen form..?

Det er definitivt ikke smart å kjøre andre tjenester enn nødvendig på en router/gw.
Pfsense har caching DNS server og DHCP server men ikke webserver, nei.

Jeg har brukt ClarkConnect (Nå ClearOS) i mange år og liker den godt, kanskje det hadde vært en Linux distro for deg? Sett 2+ NICs i en utrangert PC og du har en fin alt-i-ett server.

 

[marsboer]

DNS-serveren pfSense har er ekstremt begrenset. Den baserer seg på dnsmasq som gjør tilbyr både enkel DNS-funksjonalitet og DHCP og ikke minst enkel samhandling mellom disse (legge til DHCP-klientenes navn og tildelte IP i DNS automatisk), men den mangler svært mye standard DNS-server funksjonalitet. dnsmasq er laget for å være et direkte og enkelt alternativ til den typen tjeneste som er konfigurert i en typisk hjemmerouter, ikke som en fullblods servertjeneste. dnsmasq forholder seg ikke til zone-filer slik DNS-servere gjør, men enkel manipulasjon av /etc/hosts fila. Om man ønsker å lage alias i form av CNAME og tilsvarende så er ikke dette mulig på en skikkelig måte. Mangel på en skikkelig DNS-løsning er en av årsakene til at jeg har gått bort i fra pfsense her hjemme, siden jeg synes det er drøyt å måtte ha en egen dedikert DNS-server bare til hjemmebruk. pfSense er forøvrig helt ultimate i mine øyne, men til alt annet enn den enkleste hjemmebruk må man ha egen DNS-server.

Så om du går for Linux så hold deg unna dnsmasq. Den kan være grei i begynnelsen til du forstår bind9 (DNS), isc-dhcp-server (DHCP) og samhandlingen mellom disse via (et slikt oppsett kalles Dynamic DNS).
dnsmasq er også nokså treg til å gi ut IP-adresser etter min erfaring, så du vil også merke en forbedring her når du setter opp den fullverdige "enterprise" DHCP-serveren i Linux i stedet.

 

[Class]

DNS-serveren pfSense har er ekstremt begrenset. [...]

Jeg har lest postene til OP flere ganger uten å se antydning til at han trenger/ønsker funksjonaliteten til en full bind installasjon :

Det kan godt være du er kunnskapsrik marsboer men det hadde vært greit om du lar være å forvirre folk med - i mine øyne - tøyseposter som dette.

Forøvrig, har du brukt dnsmasq på BSD? Den er lynrask, noe helt annet enn på Linux.

 

[xerxes]

Takk for tips.
Jeg er ikke blitt klokere. Tvertom...
Jeg bruker min gamle Zyxel fra Telenor inntil videre. Den er såpass avansert at jeg får den firewallfunksjonalitet jeg ønsker meg.
Vurderer en gammel PC med et par nic's i. Burde være til å få for ingenting, ca.
PfSense er vel kun firewall og lar meg ikke bruke pc'n til annet, f.eks. webserver, dns osv? I så fall er det vel smartere med en Linux-distro i en eller annen form..?

Jeg kjører ClearOS (tidligere Clark Connect). Ferdigpakket brannmur, server, webserver etc etc. Prøv den!

 

[Just4Fun]

Å si at du får samme funksjonalitet i en hvilken som helst router med stock firmware sammenlignet med DD_WRT blir feil.

DD-WRT sammen med Firewallbuilder overgår ihvertfall alle stock routere jeg har prøvd.
http://www.dd-wrt.com/wiki/index.php/Firewall_Builder
http://www.fwbuilder.org/
Etter at jeg gikk over til Linksys router med custom firmware, la in PPPOE og fjernet Nextgentel modemet har jeg aldri opplevd problemer. For sikkerhets skyld er den satt til automatisk reboot 0300 hver natt.


MTBF er en side av saken, men det går vel oftest på HW siden, der stock routere får problemer er på software siden spesielt ved feks bruk av torrent og mange peers.

 

[marsboer]

DNS-serveren pfSense har er ekstremt begrenset. [...]

Jeg har lest postene til OP flere ganger uten å se antydning til at han trenger/ønsker funksjonaliteten til en full bind installasjon :

Det kan godt være du er kunnskapsrik marsboer men det hadde vært greit om du lar være å forvirre folk med - i mine øyne - tøyseposter som dette.

Forøvrig, har du brukt dnsmasq på BSD? Den er lynrask, noe helt annet enn på Linux.

Jeg har brukt (og bruker) dnsmasq på pfSense i lang tid som jo kjører på FreeBSD. Regner jo med at dette er en rimelig optimal dnsmasq installasjon.
Jeg brukte også dnsmasq i begynnelsen på min Debian firewall, men jeg fikk ikke gjort det jeg skulle DNS-messig og det var da jeg fant ut hvor begrenset dnsmasq egentlig er.

Og dersom du mener skikkelig DNS er tøys så aner du ikke hva du snakker om. Jeg vet utmerket godt at OP ikke har stilt noen krav til dette. Faktisk er de færreste klar over hvor mye en god DNS og DHCP server har å si for den opplevde responsen i en rekke daglige oppgaver. Mine innlegg er ment kun for å faktisk belyse dette for de som ikke har tenkt på dette siden også systemadministratorer sliter veldig med dette.

Eksempler på ting som oppleves vanskelig/tregere uten korrekt oppsatt fullverdig DNS:
- Man trenger muligheten for å definere MX-records om man skal ha en mailserver
- Her hjemme har jeg en server som heter merkur.nixuser.net. som også kjører firewall tjenesten. Derfor ønsker jeg at denne skal svare på forespørsler til firewall.nixuser.net. også. Dette gjøres ved å definere alias i form av CNAME records som peker på den ekte A record oppføringen, dvs merkur.nixuser.net. på en gitt IP. Det samme gjør jeg med aliasene ntp.nixuser.net., ssh.nixuser.net., vpn.nixuser.net., sftp.nixuser.net. mail.nixuser.net, slik at jeg abstraherer bort hostname til fordel for tjenestenavn som ikke forandres selv om hostname/server byttes. Dette gjør at konfigurasjonsfiler og oppsett for smarthost for mail, synkronisering av tid o.l. aldri trenger å endres uavhengig av om serverene endres.
I dnsmasq/routere kan man gjerne definere flere oppføringer som peker på samme IP, men dette er feil bruk av records, prinsipielt feil og bad practice. En host skal kun ha én A record, og det skal være det reelle hostname.
- En initiell delay ved pålogging på SSH. Når man logger på en SSH server skal brukernavn, passord og login dukke opp umiddelbart. Typisk i de fleste hjemmenett når man logger inn på en moderne SSH-server er en delay på 3-10 sekunder når man skal logge inn. Dette skyldes at IP-adressen til klienten du logger inn fra ikke finnes i reverse lookup zone i DNS i form av en PTR-record. SSH-serveren gjør et reverse lookup for IPen som logger seg på og da oppstår dette problemet.
- Feilmeldinger: når det oppstår feilmeldinger prøver operativsystemet gjerne å mappe en eventuell IP-adresse som feilet til et DNS-navn for å kunne presentere en mer folkelig melding. Om man ikke finner en PTR-record for denne serveren eller DNS-serveren ikke evner å time ut til vettug tid vil man oppleve lange forsinkelser hvor applikasjonen "henger" før det plutselig popper opp en feilmelding. Jeg opplevde f.eks dette for noen måneder siden i forbindelse med mailoppsett på Mac OSX. Serveren var en lokal server med fast IP. Forskjellen med og uten PTR-record i DNS var kanskje 30 sekunder venting uten, til umiddelbar feilmelding med. Rett og slett fordi OSet ønsket å presentere servernavnet i feilmeldingen.

- Responstid når en oppføring ikke finner eller feiler. Bind9 er ekstremt rask til å gi tilbakemelding når en oppføring ikke finnes eller feiler.
- VPN: Om man ønsker å bruke VPN er DNS en meget god måte å distribuere public keys på

I bunn og grunn er det man oppnår med en skikkelig oppsatt DNS/DHCP konfigurasjon kontra f.eks dnsmasq kjappere respons og mer fleksibilitet

Selv om en person ikke vet han trenger noe, så betyr det ikke at han ikke har et reellt behov. Slik jeg kjenner folk så tar de det meste for gitt på en PC. Om noe er tregt så aksepteres dette "fordi det sikkert bare er slik". Det å bruke mangel på kunnskap om noe som et argument for at man ikke trenger noe er søkt i min verden.

 

[marsboer]

Jeg ønsker også å belyse andre bruksområder for brannmurer som mange sannsynligvis ikke er klar over.

Ett eksempel fra her hjemme:

Jeg har en SSH-server tilgjengelig på nett slik at jeg kan administrere serverene når jeg er borte. Det man vil legge merke til er at så fort man tilgjengeliggjør en passordbeskyttet tjeneste på nett, så formelig strømmer det på med passordangrep. (sjekk cat /var/log/auth.log på den internettilgjengelige SSH-serveren og få deg en overraskelse) Dette gjelder spesielt ftp, ssh i dag. Vi snakker opp mot hundrevis om dagen her, ikke et par i uka. Bare sjekk loggene deres.

Med Linux IPtables kan man gjøre følgende, beskrevet med ord:

1. Når en ny tilkobling kommer inn mot SSH-porten lagres IP-adressen i en tabell sammen med tidspunkt for tilkobling.
2. For hver nye tilkobling lagres en ny oppføring. Regelsettet defineres slik at IP-adressen skal blokkeres dersom det kommer mer enn 3 tilkoblinger i løpet av 10 minutter (et eksempel). Om man vil banne IP-adressen permanent (ikke anbefalt) eller bare sjekke 10-minutters regelen kontinuerlig er opp til deg. Du kan godt velge å NAT'e den til afrika også.

Dette gjør at passordangrep blokkeres etter 3 forsøk, mens din bruk forblir upåvirket. Passordangrepene er som regel automatisert og med høy frekvens så disse vil blokkeres ut angrepets varighet. Etablerte tilkoblinger vil tillates ut hele tilkoblingens varighet siden kun nye tilkoblinger "logges" og sjekkes.

Denne funksjonaliteten (recent i iptables) er ekstremt nyttig siden den er protokolluavhengig. De fleste tenker bare på brannmurer som åpne/lukke en port og ferdig med det, men de kan så mye mer. Funksjonalitet som dette er årsaken til at jeg er så glad i iptables.

 

[xerxes]

DNS-serveren pfSense har er ekstremt begrenset. [...]

Jeg har lest postene til OP flere ganger uten å se antydning til at han trenger/ønsker funksjonaliteten til en full bind installasjon :

Det kan godt være du er kunnskapsrik marsboer men det hadde vært greit om du lar være å forvirre folk med - i mine øyne - tøyseposter som dette.

Forøvrig, har du brukt dnsmasq på BSD? Den er lynrask, noe helt annet enn på Linux.

Jeg har brukt (og bruker) dnsmasq på pfSense i lang tid som jo kjører på FreeBSD. Regner jo med at dette er en rimelig optimal dnsmasq installasjon.
Jeg brukte også dnsmasq i begynnelsen på min Debian firewall, men jeg fikk ikke gjort det jeg skulle DNS-messig og det var da jeg fant ut hvor begrenset dnsmasq egentlig er.

Og dersom du mener skikkelig DNS er tøys så aner du ikke hva du snakker om. Jeg vet utmerket godt at OP ikke har stilt noen krav til dette. Faktisk er de færreste klar over hvor mye en god DNS og DHCP server har å si for den opplevde responsen i en rekke daglige oppgaver. Mine innlegg er ment kun for å faktisk belyse dette for de som ikke har tenkt på dette siden også systemadministratorer sliter veldig med dette.

Eksempler på ting som oppleves vanskelig/tregere uten korrekt oppsatt fullverdig DNS:
- Man trenger muligheten for å definere MX-records om man skal ha en mailserver
- Her hjemme har jeg en server som heter merkur.nixuser.net. som også kjører firewall tjenesten. Derfor ønsker jeg at denne skal svare på forespørsler til firewall.nixuser.net. også. Dette gjøres ved å definere alias i form av CNAME records som peker på den ekte A record oppføringen, dvs merkur.nixuser.net. på en gitt IP. Det samme gjør jeg med aliasene ntp.nixuser.net., ssh.nixuser.net., vpn.nixuser.net., sftp.nixuser.net. mail.nixuser.net, slik at jeg abstraherer bort hostname til fordel for tjenestenavn som ikke forandres selv om hostname/server byttes. Dette gjør at konfigurasjonsfiler og oppsett for smarthost for mail, synkronisering av tid o.l. aldri trenger å endres uavhengig av om serverene endres.
I dnsmasq/routere kan man gjerne definere flere oppføringer som peker på samme IP, men dette er feil bruk av records, prinsipielt feil og bad practice. En host skal kun ha én A record, og det skal være det reelle hostname.
- En initiell delay ved pålogging på SSH. Når man logger på en SSH server skal brukernavn, passord og login dukke opp umiddelbart. Typisk i de fleste hjemmenett når man logger inn på en moderne SSH-server er en delay på 3-10 sekunder når man skal logge inn. Dette skyldes at IP-adressen til klienten du logger inn fra ikke finnes i reverse lookup zone i DNS i form av en PTR-record. SSH-serveren gjør et reverse lookup for IPen som logger seg på og da oppstår dette problemet.
- Feilmeldinger: når det oppstår feilmeldinger prøver operativsystemet gjerne å mappe en eventuell IP-adresse som feilet til et DNS-navn for å kunne presentere en mer folkelig melding. Om man ikke finner en PTR-record for denne serveren eller DNS-serveren ikke evner å time ut til vettug tid vil man oppleve lange forsinkelser hvor applikasjonen "henger" før det plutselig popper opp en feilmelding. Jeg opplevde f.eks dette for noen måneder siden i forbindelse med mailoppsett på Mac OSX. Serveren var en lokal server med fast IP. Forskjellen med og uten PTR-record i DNS var kanskje 30 sekunder venting uten, til umiddelbar feilmelding med. Rett og slett fordi OSet ønsket å presentere servernavnet i feilmeldingen.

- Responstid når en oppføring ikke finner eller feiler. Bind9 er ekstremt rask til å gi tilbakemelding når en oppføring ikke finnes eller feiler.
- VPN: Om man ønsker å bruke VPN er DNS en meget god måte å distribuere public keys på

I bunn og grunn er det man oppnår med en skikkelig oppsatt DNS/DHCP konfigurasjon kontra f.eks dnsmasq kjappere respons og mer fleksibilitet

Selv om en person ikke vet han trenger noe, så betyr det ikke at han ikke har et reellt behov. Slik jeg kjenner folk så tar de det meste for gitt på en PC. Om noe er tregt så aksepteres dette "fordi det sikkert bare er slik". Det å bruke mangel på kunnskap om noe som et argument for at man ikke trenger noe er søkt i min verden.

Jeg forvirres gjerne ytterligere! Kjør på!

 

[Godmode]

DNS-serveren pfSense har er ekstremt begrenset. [...]

Jeg har lest postene til OP flere ganger uten å se antydning til at han trenger/ønsker funksjonaliteten til en full bind installasjon :

Det kan godt være du er kunnskapsrik marsboer men det hadde vært greit om du lar være å forvirre folk med - i mine øyne - tøyseposter som dette.

Forøvrig, har du brukt dnsmasq på BSD? Den er lynrask, noe helt annet enn på Linux.

Hehe, du må ikke kjefte på Marsboer for å være en genuin nerd ;-)

Men, jeg er jo enig med deg i at Marsboer sine invendinger som skyter solid over mål. Det er ingenting i Nolfi sin post som indikerer at han ønsker seg(eller har behov for) en komplett bind installasjon. Eller hva Nolfi?

Hvis jeg skal trekke fram grunnen til at jeg anbefaler pfSense igjen må det være nettop kombinasjonen av ytelse, stabilitet, sikkerhet og ikke minst enkelhet. Min (begrensede) erfaring er at en fullblods Linux installasjon krever mer vedlikehold enn pfSense. All config av pfSense gjøres via et temmelig enkelt og greit web GUI, og oppdateringer osv kommer _kanskje_ en gang i året. Resten av tiden kan du bare la den stå og gå, It just works.

Når det kommer til features har den ikke webserver, er du ute etter det bør du kanskje gå for en Debian/Ubuntu eller lignende Linux distro. Utover det så står jeg for at pfSense ol(f.eks m0n0wall) er rimelig spekket med de features man trenger pluss en haug ekstra. Gidder ikke kopiere alt ut her men se: http://www.pfsense.org/index.php?option=com_content&task=view&id=40&Itemid=43 for detaljer.

Den har definitivt dhcp, selv om Marsboer synes dette blir for tynt ;-)

 

[marsboer]

pfSense er svinbra. Definitivt min favorittfirewalldistro og jeg har brukt den i 5 år. Jeg tester den i jobbsammenheng for å dra en hotspotløsning med den nye captive portal og voucher støtten. Om man går inn på den "manuelle" Linux/iptables/bind9/isc-dhcp-server veien, kanskje ispedd krydder som StrongSwan (ipsec) og ntp-server så må man være forberedt på en dramatisk læringskurve. Men man har jo også en fantastisk god forståelse av nettverk når man kommer ut i andre enden. pfSense er imidlertid eksemplarisk bra når det gjelder administrerbarhet og funksjonalitet via GUI. Den kan også grafe alt som er, noe som selvfølgelig er grisetøft!
Jeg tror de fleste innser hvor amatørmessige mange hjemmeroutere er etter å ha browset litt i pfSenses webgrensesnitt.

Forøvrig velger jeg pfSense fremfor min private løsning i jobbsammenheng rett og slett fordi den er så enkel å administere også for andre som ikke har samme interessenivå som meg. Dette er et viktig poeng i et jobbmiljø, men heldigvis ikke her hjemme hvor jeg kan velge den aller beste løsningen uavhengig av krav til kompetanse og læringskurver.

Jeg benytter imidlertid ikke pfSense som hovedfirewall i jobbsammenheng. Da går det i Cisco ASA for alle penga, en naturlig konsekvens av at utelukkende Cisco benyttes til alt av nettverk, fra trådløst til IDS. Jeg er faktisk instruktør på Cisco også som en konsekvens av alt utstyret vi omgir oss med.

 

[LydGeir]

Å si at du får samme funksjonalitet i en hvilken som helst router med stock firmware sammenlignet med DD_WRT blir feil.

Jeg antar at det er mitt innlegg du viser til, men hvis du klarte å lese dette ut fra innlegget er du god. Jeg sa at dd-wrt ser like middelmådig ut som hjemmerutere når det gjelder brannmur og ruting, de funksjoner som trådstarter la vekt på. Jeg har aldri hatt, og kommer aldri til å ha, en hjemmeruter, så alt er ut fra specs oppgitt av produsent. Det er mulig dd-wrt gir økt funksjonalitet for trådløst, men de aksesspunktene jeg har brukt har gitt meg alt jeg har hatt behov for i ordinær programvare. Du kunne kanskje fortelle hva dd-wrt etter din mening gjør så bra på disse områdene?

DD-WRT sammen med Firewallbuilder overgår ihvertfall alle stock routere jeg har prøvd.
http://www.dd-wrt.com/wiki/index.php/Firewall_Builder
http://www.fwbuilder.org/
Etter at jeg gikk over til Linksys router med custom firmware, la in PPPOE og fjernet Nextgentel modemet har jeg aldri opplevd problemer. For sikkerhets skyld er den satt til automatisk reboot 0300 hver natt.

MTBF er en side av saken, men det går vel oftest på HW siden, der stock routere får problemer er på software siden spesielt ved feks bruk av torrent og mange peers.

Jeg aner ikke hvilke rutere du har sammenlignet med, men siden du nevner Linksys antar jeg at det tale om billige hjemmerutere, og at de kneler når det er stor trafikk, som jeg antar torrents og peers skaper, bør ikke overraske noen. Det kan godt være at at dd-wrt utnytter den svake hardwaren bedre, som også nb skrev. Men den bedre hardwaren (og softwaren) som finnes i dyrere brannmurer gir stor forbedring når det gjelder ytelse.

 

[xerxes]

pfSense er svinbra. Definitivt min favorittfirewalldistro og jeg har brukt den i 5 år. Jeg tester den i jobbsammenheng for å dra en hotspotløsning med den nye captive portal og voucher støtten. Om man går inn på den "manuelle" Linux/iptables/bind9/isc-dhcp-server veien, kanskje ispedd krydder som StrongSwan (ipsec) og ntp-server så må man være forberedt på en dramatisk læringskurve. Men man har jo også en fantastisk god forståelse av nettverk når man kommer ut i andre enden. pfSense er imidlertid eksemplarisk bra når det gjelder administrerbarhet og funksjonalitet via GUI. Den kan også grafe alt som er, noe som selvfølgelig er grisetøft!
Jeg tror de fleste innser hvor amatørmessige mange hjemmeroutere er etter å ha browset litt i pfSenses webgrensesnitt.

Forøvrig velger jeg pfSense fremfor min private løsning i jobbsammenheng rett og slett fordi den er så enkel å administere også for andre som ikke har samme interessenivå som meg. Dette er et viktig poeng i et jobbmiljø, men heldigvis ikke her hjemme hvor jeg kan velge den aller beste løsningen uavhengig av krav til kompetanse og læringskurver.

Jeg benytter imidlertid ikke pfSense som hovedfirewall i jobbsammenheng. Da går det i Cisco ASA for alle penga, en naturlig konsekvens av at utelukkende Cisco benyttes til alt av nettverk, fra trådløst til IDS. Jeg er faktisk instruktør på Cisco også som en konsekvens av alt utstyret vi omgir oss med.

Ser de snakker om "Embedded > 128 MB Compact Flas Card".
har du kjørt fra CF? I tilfelle hvordan kobler du til?

 

[marsboer]

Ja, jeg kjørte faktisk pfSense fra CF-card her hjemme en god stund (i tillegg til FreeNAS). I min firewall benyttet jeg et CF til IDE-kort. Det vil si at systemet så CF-kortet som en ordinær IDE-disk.

Jeg vil imidlertid fraråde CF-løsningen på det sterkeste. Kort sagt er CF-kortet read only og all dynamisk aktivitet skjer mot RAM-disk. Dette inkluderer at logger ikke skrives til disk og at grafer og annen langtidsstatistikk ikke lagres mellom reboots.
En annen svært irriterende ting med CF-card løsningen er at man ikke kan oppgradere den uten å skrive kortet på nytt (som også er tungvint). Med en diskbasert installasjon kan man bare velge å oppgradere helautomatisk fra webgrensesnittet, hvor den så henter ned ny versjon automatisk fra nett og tar seg av alt selv. CF-versjonen støtter ikke dette i det hele tatt.
Du får heller ikke installert plugins om jeg ikke husker helt feil. Det er svært synd siden det finnes utrolig mye bra plugins for å utvide funksjonaliteten i pfSense.

CF-løsningen gir bare ulemper og ingen fordeler. Kjør heller en gammel/billig harddisk eller alternativt en SSD om du har behov for CF-egenskapene i form av null lyd, teoretisk sett høyere pålitelighet eller motstandsdyktighet mot støt (i en beltevogn f.eks)

 

[Just4Fun]

Det kan godt være at at dd-wrt utnytter den svake hardwaren bedre, som også nb skrev. Men den bedre hardwaren (og softwaren) som finnes i dyrere brannmurer gir stor forbedring når det gjelder ytelse.

Nå ser jeg ikke noe poeng i å starte en krangel om noe så trivielt. Poenget mitt med å nevne DD-WRT var at det er en enkel å billig løsning med funksjonalitet utover stock hjemmeroutere på stort sett alle områder. Jeg er også klar over at en egen løsning med pfsense el Clark Conect vil være en bedre løsning hvis en ser på spec alene. Men det krever en ekstra boks/PC og vil for de fleste hjemme situasjoner være overkill. Vi snakker i 99.9% av tilfellene om minimal trafikk her. Men klart hvis intensjonen er å hoste web sider med stor trafikk så ville jeg også uten tvil valgt en egen firewall løsning.