Посоветуите Firewall/NAT - hardware/software?

[Siberian Cableman]

Привет народ,

У меня имеется вопрос, и хотелось бы получить грамотную консультацию от ALL.
Нужен Firewall/NAT сервер для домашней сети + экспериментального бизнесс проекта.

Вот что-бы хотелось, что бы этот Firewall/NAT сервер умел делать, из специфических вещей:

1) Имел бы возможност управлять полосой ( квоторованиа интернета ??? ) на соответствующем интерфэйсе, т.е. я бы хотел сделать следуюшую топологию сети:

два, или лучше 3 внутренних интерфэйса, на которых висят:
a) бизнесс проект - две машини с IIS 6.0 и SQL 2000 cерверами
b) домашная сеть: несколко моих компютеров, компютер жены и 7-и месячной дочки
c) W2K машина с еMule-ом.

Хотелось бы, что бы еМule (собака), не жрал весь траффик, т.е. существовала возможность его (траффик) уменьшить для данного интерфэса, за счет чего увеличится скорость на другом интерфэсе. Ну почти как водопровод


2) Работал VPN сервером, что бы с работы можно было бы заходить в любую из 3-х выше перечисленных сетей.

3) Делал бы redirect, по следуюшему правилу:
запрос на server1.com, redirect на 10.1.1.40 порт 80
запрос на server2.com, redirect на 10.1.1.50 порт 80

Кто что может порекомендовать? Как я понимаю всегда сушествует возможност поставить Линух box с 4 карточками.
Но, во- первых хотелось-бы какое-то более простое решение, во-вторых, у меня и так огромная нагрузка, пробки вышибает на ура, при включении пылесоса не в ту розетку , да и количество машин, которие надо администрировать хоть как-то, уже зашкалило за разумние пределы.

Так что хотелось бы какое-нибудь hardware based решение.

Спасибо,
Алех

[mbabayan]

И все же я бы поставил (на самом деле и поставил ) бокс, правда с FreeBSD. Понадобится в дальнейшем нарастить сервисы - будет такая возможность, а железное решение с такими же возможностями будет стоить, думаю, минимум на порядок дороже.

[A. Fig Lee]

И все же я бы поставил (на самом деле и поставил ) бокс, правда с FreeBSD. Понадобится в дальнейшем нарастить сервисы - будет такая возможность, а железное решение с такими же возможностями будет стоить, думаю, минимум на порядок дороже.

FreeBSD - остальной мир 2:0!

[SkyWalker]

Вообще NAT+VPN+Firewall+Virtual Server в одном из разряда до 400$
если для бытовых нужд.

Для тех задач, которые Вы описали подойдет DLink DFL-300
http://www.dlink.com/products/?pid=66
Ему нужен будет еще HUB потому как там только 3 порта: internal/external/dmz

Из этой же категории можно посмотреть SonicWall SOHO3
http://www.sonicwall.com/products/soho3.html#features

CISCO PIX 501
http://www.cisco.com/en/US/products/hw/ ... index.html
Вообще NAT+VPN+Firewall+Virtual Server

На что надо обращать внимание:
1. Наличие load balancing. Вы написали что хотите зажимать канал. Хотя если Вам необходимо просто зажать eMule, это можно сделать в самом eMul'e.
2. Наличие и стоимость VPN лицензий. Скажем в D-Link - unlimited и по умолчанию. А вот в CISCO уже надо проверять - зависит от поставки.
3. Простоту настроек. В этом смысле D-Link и SonicWall предпочтительнее.
CISCO более гибок, но требует определенных дополнительных знаний при установке.

Еще один момент. Подумайте хорошо так ли Вам необходим load balancing и VPN. Скажем доступ к локальным машинам можно организовать посредством VNC, Terminal Server просто настраивая проброс портов в локальную сеть.
Минус - сеть менее защищена, плюс - Вы сможете купить простенький Router до 100$.

[Aka]

Для домашней сети железо с GUI - это sonic, d-link или watchguard...
А если есть желание все это еше держать под контролем (типа там бизнес проект) - pix501 + router 2514 все вместе около $ 550...

[Siberian Cableman]

Спасибо большое за информацию. Вот сижу изучаю.
Мне не очень понятно что имеется в виду под "+Virtual Server".
Это то что я писал про redirect:

запрос на server1.com, redirect на 10.1.1.40 порт 80
запрос на server2.com, redirect на 10.1.1.50 порт 80.

Стронником FreeBSD:
Обьясните почему Вы считаете это лучшим решением чем Linux.
Не хотелось бы правда религиозных войн. Я как прилежный ученик, весь во внимании

[mbabayan]

Ну, вероятно дело вкуса
Я вообще не юниксоид, так что все ИМХО , но насколько понимаю, реализация ТСР стека в БСД считается эталонной.

Bottomline, в моем слухае это больше симпатия/антипатия Думаю что Линукс будет работать не хуже.

[Aka]

Спасибо большое за информацию. Вот сижу изучаю.
Мне не очень понятно что имеется в виду под "+Virtual Server".

ИМХО, это тот который лоад балансинг для вебсерверов делает..
То что вам надо - простая трансляция, может он и в этом режиме работает , но простую трансляцию можете настроить на любом раутере или nix подобной машине...

[Hatih]

А кто покритикует следующий firewall/NAT (Linux)?
Как мне кажется, так непробиваем....

Code: Select all

#/bin/sh

# Internet connection interface
INET_IFACE="ppp0"

# LAN interface
LAN_IFACE="eth1"

# ASDL modem interface
ADSL_IFACE="eth0"

# Modules
modprobe ipt_MASQUERADE

# Close all
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

# Clean up
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Masquerade
iptables -t nat -A POSTROUTING -o ${INET_IFACE} -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# Input
iptables -A INPUT -m state --state ESTABLISHED,RELATED -i ${INET_IFACE} -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -i ${ADSL_IFACE} -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -i ${LAN_IFACE} -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -i lo -j ACCEPT
iptables -P INPUT DROP

# Output
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -o ${INET_IFACE} -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -o ${ADSL_IFACE} -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -o ${LAN_IFACE} -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -o lo -j ACCEPT
iptables -P OUTPUT DROP

[KYKAH]

А кто покритикует следующий firewall/NAT (Linux)?
Как мне кажется, так непробиваем....

Что, даже синим американским паспортом непробиваем?

Я не супер какой спец по iptables, но я все же не могу понять почему на FORWARD стоит default ACCEPT?
Почему вообше все правила только на INPUT и OUTPUT?

man iptables:

filter
This is the default table. It contains the built-in chains INPUT (for packets coming into the box itself), FORWARD (for packets being routed through the box), and OUTPUT (for locally-generated packets).

Это для proxy? или для SSH?

Аааа, или эта конфигурация для локальной машины?
Тогда это вообще wrong topic (и нафига тогда ip_forward включать?)

[KYKAH]

И все же я бы поставил (на самом деле и поставил ) бокс, правда с FreeBSD. Понадобится в дальнейшем нарастить сервисы - будет такая возможность, а железное решение с такими же возможностями будет стоить, думаю, минимум на порядок дороже.

FreeBSD - остальной мир 2:0!

Кажися PF под OpenBSD покруче всех Фрей будет.
Хотя он вроде бы портирован под фри, но чо-то мне его не удалось найти

Интересно как *BSD с H.323 справлятся будут...

[hooch]

Привет народ,

У меня имеется вопрос, и хотелось бы получить грамотную консультацию от ALL.
Нужен Firewall/NAT сервер для домашней сети + экспериментального бизнесс проекта.

Вот что-бы хотелось, что бы этот Firewall/NAT сервер умел делать, из специфических вещей:

1) Имел бы возможност управлять полосой ( квоторованиа интернета ??? ) на соответствующем интерфэйсе, т.е. я бы хотел сделать следуюшую топологию сети:

два, или лучше 3 внутренних интерфэйса, на которых висят:
a) бизнесс проект - две машини с IIS 6.0 и SQL 2000 cерверами
b) домашная сеть: несколко моих компютеров, компютер жены и 7-и месячной дочки
c) W2K машина с еMule-ом.

Хотелось бы, что бы еМule (собака), не жрал весь траффик, т.е. существовала возможность его (траффик) уменьшить для данного интерфэса, за счет чего увеличится скорость на другом интерфэсе. Ну почти как водопровод


2) Работал VPN сервером, что бы с работы можно было бы заходить в любую из 3-х выше перечисленных сетей.

3) Делал бы redirect, по следуюшему правилу:
запрос на server1.com, redirect на 10.1.1.40 порт 80
запрос на server2.com, redirect на 10.1.1.50 порт 80

Кто что может порекомендовать? Как я понимаю всегда сушествует возможност поставить Линух box с 4 карточками.
Но, во- первых хотелось-бы какое-то более простое решение, во-вторых, у меня и так огромная нагрузка, пробки вышибает на ура, при включении пылесоса не в ту розетку , да и количество машин, которие надо администрировать хоть как-то, уже зашкалило за разумние пределы.

Так что хотелось бы какое-нибудь hardware based решение.

Спасибо,
Алех

Look at Netgear FVS318 - VPN firewall 8-port router. $120 and $10 mail-in rebate.

[A. Fig Lee]

И все же я бы поставил (на самом деле и поставил ) бокс, правда с FreeBSD. Понадобится в дальнейшем нарастить сервисы - будет такая возможность, а железное решение с такими же возможностями будет стоить, думаю, минимум на порядок дороже.

FreeBSD - остальной мир 2:0!

Кажися PF под OpenBSD покруче всех Фрей будет.

Вполне возможно. Я остальными BSD не занимался.

[A. Fig Lee]

Стронником FreeBSD:
Обьясните почему Вы считаете это лучшим решением чем Linux.
Не хотелось бы правда религиозных войн. Я как прилежный ученик, весь во внимании

FreeBSD systema более консервативная, более железобетонная - если выходит новый релиз, то как правило все работает. При чем последующая версия является развитием предыдущей. Концентрация в развитии BSD происходит в основном на уровне написания лучшего кернела, окружения и т.д. Основной терминал - бай дефоулт - все еще чернобелый VT-100. Мне за несколько лет ни разу не удавалось ни уронить ни freeze FreeBSD. К тому же - отличная документация на вебсайте.
В Линухе разработчиков много, каждый тянет в свою сторону и не всегда получается готовый продукт - в смысле бывают сыроватые вещи. Например, EXT3 file system. Линух у меня фреезался неоднократно на разных машинах. Кроме того мы подхватили 3 вируса, чего никогда не было на FreeBSD. Сыстема цонфигурационных файлов на Линух более громоздкая. Отсутствуют некоторые удобные для работы мелочи - скажем sockstat, truncate (!!), и некоторые другие. Зато цветной терминал, работает TAB и т.д. В общем, я на работе я работаю с Linuxom, дома с FreeBSD - впечатление, что Linux больше подходит для конечного юзера - больше удобств натыкано, но в плане контроля за системой для девелопера и администратора проигрывает железо-бетонному FreeBSD.
Кроме того, в Линухе если shell script file с Windows-style lines "\r\n" - он не работает, а ви показывает нормальный техт - "\r" не видно, в результате мучался и думал - почему не работает. На FreeBSD сразу ^М видно. Может ето чисто настройки или терминал - у меня все бай дефоулт. Ну и такие мелочи постоянны, что под руку вспомнилось...

[Волчара]

И все же я бы поставил (на самом деле и поставил ) бокс, правда с FreeBSD. Понадобится в дальнейшем нарастить сервисы - будет такая возможность, а железное решение с такими же возможностями будет стоить, думаю, минимум на порядок дороже.

FreeBSD - остальной мир 2:0!

Кажися PF под OpenBSD покруче всех Фрей будет.
Хотя он вроде бы портирован под фри, но чо-то мне его не удалось найти

Интересно как *BSD с H.323 справлятся будут...

PF крут, но если к примеру надо сделать файрвол для фтп - то совсем не крут, айпитаблы лучше будут

[Волчара]

Стронником FreeBSD:
Обьясните почему Вы считаете это лучшим решением чем Linux.
Не хотелось бы правда религиозных войн. Я как прилежный ученик, весь во внимании

FreeBSD systema более консервативная, более железобетонная - если выходит новый релиз, то как правило все работает. При чем последующая версия является развитием предыдущей. Концентрация в развитии BSD происходит в основном на уровне написания лучшего кернела, окружения и т.д. Основной терминал - бай дефоулт - все еще чернобелый VT-100. Мне за несколько лет ни разу не удавалось ни уронить ни freeze FreeBSD. К тому же - отличная документация на вебсайте.
В Линухе разработчиков много, каждый тянет в свою сторону и не всегда получается готовый продукт - в смысле бывают сыроватые вещи. Например, EXT3 file system. Линух у меня фреезался неоднократно на разных машинах. Кроме того мы подхватили 3 вируса, чего никогда не было на FreeBSD. Сыстема цонфигурационных файлов на Линух более громоздкая. Отсутствуют некоторые удобные для работы мелочи - скажем sockstat, truncate (!!), и некоторые другие. Зато цветной терминал, работает TAB и т.д. В общем, я на работе я работаю с Linuxom, дома с FreeBSD - впечатление, что Linux больше подходит для конечного юзера - больше удобств натыкано, но в плане контроля за системой для девелопера и администратора проигрывает железо-бетонному FreeBSD.
Кроме того, в Линухе если shell script file с Windows-style lines "\r\n" - он не работает, а ви показывает нормальный техт - "\r" не видно, в результате мучался и думал - почему не работает. На FreeBSD сразу ^М видно. Может ето чисто настройки или терминал - у меня все бай дефоулт. Ну и такие мелочи постоянны, что под руку вспомнилось...

майсиквел пробовал ставить на фре? Я на опесбсд ставил - млин, какой геморрой. ИМНСХО в бсд хорошо сделано свое, родное, но если ставишь что-то третье, то рискуешь поиметь много геморроя. Хотя как повезет

[A. Fig Lee]

Стронником FreeBSD:
Обьясните почему Вы считаете это лучшим решением чем Linux.
Не хотелось бы правда религиозных войн. Я как прилежный ученик, весь во внимании

FreeBSD systema более консервативная, более железобетонная - если выходит новый релиз, то как правило все работает. При чем последующая версия является развитием предыдущей. Концентрация в развитии BSD происходит в основном на уровне написания лучшего кернела, окружения и т.д. Основной терминал - бай дефоулт - все еще чернобелый VT-100. Мне за несколько лет ни разу не удавалось ни уронить ни freeze FreeBSD. К тому же - отличная документация на вебсайте.
В Линухе разработчиков много, каждый тянет в свою сторону и не всегда получается готовый продукт - в смысле бывают сыроватые вещи. Например, EXT3 file system. Линух у меня фреезался неоднократно на разных машинах. Кроме того мы подхватили 3 вируса, чего никогда не было на FreeBSD. Сыстема цонфигурационных файлов на Линух более громоздкая. Отсутствуют некоторые удобные для работы мелочи - скажем sockstat, truncate (!!), и некоторые другие. Зато цветной терминал, работает TAB и т.д. В общем, я на работе я работаю с Linuxom, дома с FreeBSD - впечатление, что Linux больше подходит для конечного юзера - больше удобств натыкано, но в плане контроля за системой для девелопера и администратора проигрывает железо-бетонному FreeBSD.
Кроме того, в Линухе если shell script file с Windows-style lines "\r\n" - он не работает, а ви показывает нормальный техт - "\r" не видно, в результате мучался и думал - почему не работает. На FreeBSD сразу ^М видно. Может ето чисто настройки или терминал - у меня все бай дефоулт. Ну и такие мелочи постоянны, что под руку вспомнилось...

майсиквел пробовал ставить на фре? Я на опесбсд ставил - млин, какой геморрой. ИМНСХО в бсд хорошо сделано свое, родное, но если ставишь что-то третье, то рискуешь поиметь много геморроя. Хотя как повезет

MySQL? Стоит. С полтычка поставил. А, да, помню кая-то проблема была с сокетом - не создал УНИХ сокет, что ли. Ну быстренько нашел в ФАКе - популярный вопрос. Ето все больше проблем не было.

[Волчара]

MySQL? Стоит. С полтычка поставил. А, да, помню кая-то проблема была с сокетом - не создал УНИХ сокет, что ли. Ну быстренько нашел в ФАКе - популярный вопрос. Ето все больше проблем не было.

Потом он отваливается по необъяснимым причинам. Ага
С другими софтинами тоже примерно такие же проблемы имел. То не компилируется, то отваливается. Не со всеми конечно, но 5-10%

[f_evgeny]

Стронником FreeBSD:
Обьясните почему Вы считаете это лучшим решением чем Linux.
Не хотелось бы правда религиозных войн. Я как прилежный ученик, весь во внимании

FreeBSD systema более консервативная, более железобетонная - если выходит новый релиз, то как правило все работает. При чем последующая версия является развитием предыдущей. Концентрация в развитии BSD происходит в основном на уровне написания лучшего кернела, окружения и т.д. Основной терминал - бай дефоулт - все еще чернобелый VT-100. Мне за несколько лет ни разу не удавалось ни уронить ни freeze FreeBSD. К тому же - отличная документация на вебсайте.
В Линухе разработчиков много, каждый тянет в свою сторону и не всегда получается готовый продукт - в смысле бывают сыроватые вещи. Например, EXT3 file system. Линух у меня фреезался неоднократно на разных машинах. Кроме того мы подхватили 3 вируса, чего никогда не было на FreeBSD. Сыстема цонфигурационных файлов на Линух более громоздкая. Отсутствуют некоторые удобные для работы мелочи - скажем sockstat, truncate (!!), и некоторые другие. Зато цветной терминал, работает TAB и т.д. В общем, я на работе я работаю с Linuxom, дома с FreeBSD - впечатление, что Linux больше подходит для конечного юзера - больше удобств натыкано, но в плане контроля за системой для девелопера и администратора проигрывает железо-бетонному FreeBSD.
Кроме того, в Линухе если shell script file с Windows-style lines "\r\n" - он не работает, а ви показывает нормальный техт - "\r" не видно, в результате мучался и думал - почему не работает. На FreeBSD сразу ^М видно. Может ето чисто настройки или терминал - у меня все бай дефоулт. Ну и такие мелочи постоянны, что под руку вспомнилось...

Не люблю обижать хороших людей, но практически по всем пунктам Вы категорически неправы.
С Линуксовым приветом!

[A. Fig Lee]

MySQL? Стоит. С полтычка поставил. А, да, помню кая-то проблема была с сокетом - не создал УНИХ сокет, что ли. Ну быстренько нашел в ФАКе - популярный вопрос. Ето все больше проблем не было.

Потом он отваливается по необъяснимым причинам. Ага
С другими софтинами тоже примерно такие же проблемы имел. То не компилируется, то отваливается. Не со всеми конечно, но 5-10%

Ну не знаю. В крайнем случае 50 долларов в час меня устроит.

[A. Fig Lee]

Стронником FreeBSD:
Обьясните почему Вы считаете это лучшим решением чем Linux.
Не хотелось бы правда религиозных войн. Я как прилежный ученик, весь во внимании

FreeBSD systema более консервативная, более железобетонная - если выходит новый релиз, то как правило все работает. При чем последующая версия является развитием предыдущей. Концентрация в развитии BSD происходит в основном на уровне написания лучшего кернела, окружения и т.д. Основной терминал - бай дефоулт - все еще чернобелый VT-100. Мне за несколько лет ни разу не удавалось ни уронить ни freeze FreeBSD. К тому же - отличная документация на вебсайте.
В Линухе разработчиков много, каждый тянет в свою сторону и не всегда получается готовый продукт - в смысле бывают сыроватые вещи. Например, EXT3 file system. Линух у меня фреезался неоднократно на разных машинах. Кроме того мы подхватили 3 вируса, чего никогда не было на FreeBSD. Сыстема цонфигурационных файлов на Линух более громоздкая. Отсутствуют некоторые удобные для работы мелочи - скажем sockstat, truncate (!!), и некоторые другие. Зато цветной терминал, работает TAB и т.д. В общем, я на работе я работаю с Linuxom, дома с FreeBSD - впечатление, что Linux больше подходит для конечного юзера - больше удобств натыкано, но в плане контроля за системой для девелопера и администратора проигрывает железо-бетонному FreeBSD.
Кроме того, в Линухе если shell script file с Windows-style lines "\r\n" - он не работает, а ви показывает нормальный техт - "\r" не видно, в результате мучался и думал - почему не работает. На FreeBSD сразу ^М видно. Может ето чисто настройки или терминал - у меня все бай дефоулт. Ну и такие мелочи постоянны, что под руку вспомнилось...

Не люблю обижать хороших людей, но практически по всем пунктам Вы категорически неправы.
С Линуксовым приветом!

А где неправ? Есть truncate? sockstat?
Сервиcы какие-то ...
ДИмон запустил - да и ладно..

[f_evgeny]

А где неправ? Есть truncate? sockstat?
Сервиcы какие-то ...
ДИмон запустил - да и ладно..

Этими штучками (truncate? sockstat?) не пользуюсь, так что не буду по ним спорить, хотя что-то наверняка есть.
А вот многие из Ваших претензий относятся вовсе не к Линуксу, а к дефолтным настройкам универсального юниксового софта, типа вима, каковые в разных дистрибутивах разные.
Так же и со стартовыми скриптами, есть и ATT и BSD-style дистрибутивы.

[bison]

Аааа, или эта конфигурация для локальной машины?
Тогда это вообще wrong topic (и нафига тогда ip_forward включать?)

без ip_forward iptables не будут работать ...

Я бы повесил на FORWARD то же самое, что и на INPUT

[bison]

А где неправ? Есть truncate? sockstat?
Сервиcы какие-то ...
ДИмон запустил - да и ладно..

Ну в sockstat точно ....
был же здесь разговор насчёт netstat -p

[A. Fig Lee]

А где неправ? Есть truncate? sockstat?
Сервиcы какие-то ...
ДИмон запустил - да и ладно..

Ну в sockstat точно ....
был же здесь разговор насчёт netstat -p

И где там номер порта в netsat -p ??
в упор не вижу!