Portál AbcLinuxu, 10. května 2025 09:37

Dotaz: Hardwareový versus PC/linux router/firewall ... co zvolit ?

4.4.2008 17:09 Martin K.
Hardwareový versus PC/linux router/firewall ... co zvolit ?
Přečteno: 2364×
Odpovědět | Admin
Stojím před otázkou modernizace řešení sítě ve firmě a jsem ve fázi, kdy chci vyměnit jak server (FILE, MAIL, WEB, ...) a router/firewall, který dnes zastřešuje PC s distribucí Shorewall (skutečně jen routuje, z nadstandardu běží jen OpenVPN, proxy a samozřejmě firewall + QOS pro VoIP). Otázkou je, jestli je toto řešení optimální a není vhodnější zvolit hardwareový firewall a služby řešit na serveru (přesměrováním provozu jako nyní pro mail, web ...) v podstatě OpenVPN není problém přesměrovat, proxy je otázkou jestli při dnešních rychlostech k něčemu je.

Pro hardwareové řešení mluví jednoduchost, spotřeba a takřka nulová starost, naopak ale nulové zkušenosti. do teď to běželo na stařičkém serveru Primergy, který je pomalu na odpis a zvažuji přechod na něco modernějšího, ale je otázkou jestli skutečně jít do Linuxové distribuce a řešit to takto, nebo jít cestou HW řešení ... Tam ale nemám žádné zkušenosti ...

Prosím o nasměrování, zdroj vědomostí a názory bez zášti vůči HW řešení a naopak ...
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

4.4.2008 17:25 robo
Rozbalit Rozbalit vše Re: Hardwareový versus PC/linux router/firewall ... co zvolit ?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Monowall na starom PC bez HDD, system bezi z CD (pripadne z citacky kariet), konfiguracia je ulozena na FDD, ovladanie cez WebGUI. Minimalne zatazuje CPU. Po vyskusani roznych SW routerov/FW som nakoniec ostal pri monowall a som maximalne spokojny. Tiez som uvazoval nad HW riesenim, ale ked starych PC sa vsade povaluje dost, tak preco ich nevyuzit.
4.4.2008 17:45 Martin K.
Rozbalit Rozbalit vše Re: Hardwareový versus PC/linux router/firewall ... co zvolit ?
Právě, ... jenže to staré železo nebývá až tak moc spolehlivé :-( Navíc spotřeba taky není zanedbatelná. Teď mě to běží na serveříku FSC Primergy a i když to běží z RAMdisku a SCSI disky se vypnou, tak to pořád bere cca 130- 150W, alespoň to tvrdí UPS ... on asi Xeon nebude moc optimalizovaný na spotřebu :-)

A hlavně ten comp odchází, a výměna větráků u rackového modelu (nic jiného tam asi odejít nemůže) se rovná koupení zánovního serveru.
Max avatar 4.4.2008 19:37 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Hardwareový versus PC/linux router/firewall ... co zvolit ?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Proxyna není jen kvůli ušetření trafficu. Hlavně se používá kvůli restrikcím uživatelů, ochraně před zavirováním klientů bastlama z webu atd. Proxyna má podle mne ve firmách velký smysl. Udržuje o dost čistší síť.
To, zda nechat proxynu, či ne, je otázkou počtu klientů. Pokud jich je hodně, tak bych jí nechal. Pokud malý okruh, tak je zbytečná, protože je pak všechno lehce udržitelné i bez její pomoci.
To, zda přejít na HW router / firewall a na jaký je opět otázka počtu případných klientů a typů běžících služeb.
Zdar Max
Měl jsem sen ... :(
4.4.2008 21:18 Jary | skóre: 30 | blog: Jary má blog | Dům
Rozbalit Rozbalit vše Re: Hardwareový versus PC/linux router/firewall ... co zvolit ?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jednodeskáč. Spolehlivost, spotřeba, rozšiřitelnost.. super. Akorát to možná přijde oproti krabičce trochu dráž. Možná. Krabička nemusí být tak moc výkonná. Jak moc možá toto je. Další jednodeskáče.
.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky. GitHub
4.4.2008 22:00 Martin K.
Rozbalit Rozbalit vše Re: Hardwareový versus PC/linux router/firewall ... co zvolit ?
Odpovědět | | Sbalit | Link | Blokovat | Admin
No userů je do 20, standardně 15 ... webový traffic měsíčně je v průměru 6 GByte, dalších cca 4 GByte jsou maily, něco je FTP (do 10 GByte), cca 2 GByte ostatní traffic ... gateway má připojení 10MBit do veřejné sítě, takže toto musí uroutovat a odfirewallovat, ostatní datový tok je v interním rozsahu IP sítě ...

Shorewall mě nevadil, v podstatě běžel sám od sebe včetně aktualizací, ale je otázkou jestli je to skutečně nutné a není to zbytečné železo. Druhý server by ty služby navíc bez problémů zvládl, klidně i včetně té proxy, proto mě láká něco bezúdržbového, samochodícího a hlavně spolehlivého, nejlépe bez mechanických pohyblivých dílů ... prostě koupit, zkonfigurovat a neřešit. K údržbě a hraní si se serverem je tady druhý na kterém běží další služby.

Dokonce mě napadla myšlenka nechat vše na jediném serveru, ale přijde mě to z pohledu bezpečnoasti jako velké riziko (jde o mail a file server), i když by to bylo ideální ... Teoreticky by to možná zvládl i virtuální stroj, ale mám obavu, že to bych neukonfiguroval :-)
tomas789 avatar 4.4.2008 22:35 tomas789 | skóre: 15 | blog: big_blog | Litomyšl
Rozbalit Rozbalit vše Re: Hardwareový versus PC/linux router/firewall ... co zvolit ?

Decentně se vyhnu přímé odpovědi, ale zkusim popsat, jak sem tohle řešil unás na intru (mám tam status pomocného správce sítě, ale více méně je to celé v mích rukou) a tak si myslím, že je to velmi vhodné a flexibilní.

Nejprve jsem si shrnul požadavky. Potřeboval sem uživatele co nejméně omezovat v jejich práci. Každý počítač, který studenti mají k dispozici vlastní oni sami, takže mi zas až tak nevadí, když si natáhnou nějaké to svinstvo na stroj (samozřejmě pokud se nebude šířit po celé síti). Potřeboval jsem velkou flexibilitu a možná i trochu na úkor spolehlivosti (trochu). A potřeboval jsem časově závislá pravidla filtrování trafficu. Jedním z požadavků bylo také něco ve smyslu Plug & Play, jednoduše aby uživatel po registraci na serveru jednoduše bez dalšího nastavování připojil "kabel do zdi" a vše fungovalo jak má. To by byly plus mínus všechny základní požadavky.

Při volbě jsem se rozhodoval i pro platformu. Ve hře byl GNU/Linux FreeBSD a Widle. Po nedlouhé úvaze jsem vyloučil Windows. Nelíbilo se mi, že všechny potřebné nástroje mi nenabízí dostatečnou flexibilitu (uvažoval jsem řešení od fy. Kerio) FreeBSD jsem taky vyloučil kvůli nedostatku zkušeností. Volba padla na GNU/Linux (zatím se zdá jako dobré řešení)

Nastal výběr software. Jak jsem zmínil předtím, tak bylo třeba, aby vše po připojení kabelu fungovalo na sto procent. Takže volba padla na DHCP server. Zvolil jsem ISC DHCP. Poskytuje dostatečnou flexibilitu a spolehlivost. Samorřejmě IP není přiřazována jen tak náhodně, ale v závislosti na IP adrese. Další bylo rozhodování firewallu. Tady byl výběr hodně jednoduchý. IPtables. Důvodů je mnoho. Ač se to nezdá, tak je to poměrně jednoduchý firewall pro který je dostatek dokumentace. V kombinaci s CLI Linuxu, DHCP serverem a nástroji, jako je IPP2P mi poskytuje dostatečnou flexibilitu a k mému překvapení i vysokou spolehlivost. Očekával jsem problémy stylu samba atd, ale vše funguje jak má. Jsem nad míru spokojen. Zvaž toto řešení také. Je to poměrně jednoduché a rychlé řešení, které však splňuje všechny požadavky.

Při požadavcích na nízkou spotřebu elektřiny bych ti doporučil nepoužívat rack, ale klasiku. Pokud do ní investuješ ze začátku více peněz, tak se ti to jistě vrátí. 5ešil bych vše pasivně, místo točícího se disku bych volil 16GB CF kartu s redukcí na IDE. V Real IDE modu se chová stejně jako běžný HDD a je to cenově i celkem dostupné řešení.

Toť můj názor.

Začínal jsem z ničeho a většinu z toho pořád mám.
4.4.2008 23:42 Honza Beňovský
Rozbalit Rozbalit vše Re: Hardwareový versus PC/linux router/firewall ... co zvolit ?
Řešil jsem něco podobného s více usery, ale defakto podobné datové toky (ty tvé nepatří na ten počet userů k nejmenším, skutečně ti lidi jen pracují ?) a nakonec to mám vyřešeno takhle, respektive tímhle: http://www.netgear.cz/cs/produkty/pro-firemni-uzivatele/firewalls/firewall-with-25-vpn-tunnels-gigabit-connectivity-fvs124g.html. Je to jednoduché, jednoúčelové zařízení, které umožní vše co je třeba ... osobně mám tedy ještě navíc virtuální DMZ zónu, ve které je SMTP, HTTP a FTP server, tedy to co je poskytováno a co komunikuje s venkem a druhý server uvnitř s MAIL, FILE, PRINT, a záložním řešením.

Podle mého ideální věc, podle mého rozhodně lepší, než nějaké udělátko typu Routeboard kartiček, Smoothwall a dalších řešení, nehlučné zařízení, které UPS udrží takřka nekonečně dlouho, pač to skoro nic nežere (řádově do 20W).

null (Binary team): provozuješ vše na jediném stroji ?? Co takový dobře mířený DoS útok na některou ze služeb ?? Nevyřadí z chodu další věci ?? Nevím, ale při dnešních cenách je podle mého vhodnější systému předřadit firewall/router ve formě zvláštního stroje, ať již jednoúčelového nebo PC, protože pak je útok veden proti stroji, který služby pouze směruje dál, tedy z tohoto pohledu je nezranitelný. Navíc pořídit hardwareový firewall je dnes záležitostí od 5000,- Kč, za to spolehlivý rackový stroj nejde sehnat, a navíc význam rackových strojů je v konstrukci na reálný 100% chod, kde lze v racku udržet optimální proudění vzduchu (komín), což standalone stroje většinou nezvládají.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.