Hi. Ich will mir nen leistungsfähigen Homerouter mit gewissen Serverfunktionen (Proxy/FTP/VPN) aufsetzen. Mein WRT hat Jahrelang treue Dienste geleistet, aber er ist schon längere Zeit an seiner Leistungsgrenze mit dem schnellen Internetanschluss. Er wird zukünftig seinen Dienst als Sub-Router fortsetzen. Als Hauptrouter wollte ich ein x86 basiertes Embedded oder ITX Board verwenden. Rein theoretisch könnte ich es selbst aufsetzen, aber so schlank und gleichzeitig Leistungsfähig wie die "ready to use" Firewall Distris bekomme ich das nicht hin. Ich bin auf IP-Fire gestoßen. Es hört sich ja ganz gut an, was das alles so kann. Oder gibts bessere, kostenfreie Alternativen?
Da gibt es: pfSense m0n0wall IPCop Endian Firewall SME Server fli4l und bestimmt noch einige mehr Was davon am geeignetsten ist kann ich nicht sagen.
Nico --- schrieb: > Rein theoretisch könnte ich es selbst aufsetzen, aber so schlank und > gleichzeitig Leistungsfähig wie die "ready to use" Firewall Distris > bekomme ich das nicht hin. OpenBSD ist sehr schlank und im Security-Umfeld stark. fchk
Ist nicht m0n0wall auf OpenBSD aufgebaut, oder war das FreeBSD?
Rufus Τ. Firefly schrieb: > Ist nicht m0n0wall auf OpenBSD aufgebaut, oder war das FreeBSD? FreeBSD (was weder für noch gegen mOnOwall spricht) ;)
Hi. Muntangle kostet Geld. M0n0wall sieht ganz gut aus. Mal testen, was besser ist. M0n0wall oder ipfire. Ich habe jetzt IPfire installiert. Ihr gleibt gar nicht, wie viel Arbeit es ist, diverse Seten von Ads zu befreien. Wenn man ein Werbenetzwerk gesperrt hat, kommt das nächste. Einige Seiten habe da richtig große "fallback" listen. Und wenn Banner gesperrt sind, schicken sie popups als Alternative raus usw. Google, amazon und ebay ist auch eklig. Deren ads sind sehr "aggresiv", das komplett auszusperren ist ziemlich aufwand. Vor allem, wenn man die normale Seite nicht mit aussperren will.
Wäre mit zu viel Aufwand überall die Werbung auszusperren. Ist doch wie in der Zeitung, da sieht man sie und wandert mit den Augen (meistens) gleich weiter.
Naja, es ist momentan für mich ehr ein experimentierfeld. Und ich habs nicht nur auf Werbung abgesehen, sondern auch auf verschiedene Webtracher und vor allem Google AdWords. Ich habe google so ausgesperrt, dass nicht nir die Werbung (also die Ausgabe) verworfen wird, sondern erst gar nichts an google raus geht. Die folge ist, dass selbst Mikrocontroller.net den Dienst quittiert. Blockt mal apis.google.com und leitet es auf einen eigenen Dummy Webserver um, der nur eine leere Seite ausliefert. Dann ist auf Mikrocontroller.net genau 0,0 zu sehen. Nämlich eine weiße, leere Seite. Und nicht nur da. Schon erschreckend, wo die Datenkrake Google überall ihre Tentakeln drin hat. Ohne Google ist das Internet gleich massiv ausgedünnt. Neben der Möglichkeit, uneingeschränkte Kontrolle über den Internetzugang zu erhalten, ist mein Server auch sehr Nett, um die Geschwindigkeit dank transparentem Cache Proxy massiv zu erhöhen und Traffic einzusparen. Der Content Analyzer ist auch nett, damit kann ich wirkungsvoll verschiedene Sachen unterbinden. Z.B. kann ich Onlineshopping unterbinden. Und zwar so, dass man zwar in den Shops schauen kann, aber keinen Bestellvorgang erfolgreich abschließen kann. Bei ebay und Amazon habe ich mir wirklich die Zähne ausgebissen, aber ich habs letzten Endes geschafft, dass man nur schauen, aber nicht kaufen kann. Illegale oder kritische Downloads habe ich per content analyzer ebenfalls gut eingeschränkt. Mittels Accounting kann ich für mich selbst die Sperren wieder umgehen, wenn ich z.B was bei ebay kaufen will. Im Moment gehts nur drum, mir das KnowHow anzueignen, und zu sehen, wie weit man gehen kann, was technisch möglich ist. Ein Anwendungsfall für das KnowHow habe ich schon. Da hätte zwar auch ein SOHO router mit whitelist / blacklist funktion gereicht. Aber mittels Contentfilter kann man schon wesentlich mehr freigeben, als nur mit einer einfachen Whitelist. Bei einer einfachen Whitelist Lösung wären einfach nur ca 20-30 Seiten fest freigegeben worden, und amazon und ebay wären da nicht dabei gewesen.
Ich setze für sowas IPCop ein, sehr schlank, einfach und die Firewall lässt sich mit BOT-Addon und Black/Whitelist sehr einfach, schnell und zuverlässig aufbauen.
IPCOP ist ja der Vorläufer von IPFIRE. Momentan habe ich Ipfire auf einem 1,6 GHz DualCore System mit 3 GB Ram laufen. Trotz extrem ausufernder Filterregeln hat das System noch deutlich Reserven Ich plane die Anschaffung eines ITX passivgekühlten Boards in ähnlicher Leistungsklasse für den späteren Live Betrieb. Im Live Betrieb werde ich die Filterregeln nicht so eng gesteckt einrichten, da es auch Nachteile hat. Das gibt auf vielen Seiten Probleme, wo man gar nicht dran dachte. (z.B. uc.net geht nicht wenn man das google werbenetzwerk und google api - netzwerk aussperrt) Das Filtersystem braucht noch einige Überarbetungen, gerade mit der Badwordfilter - Greylist gibts Probleme, da sie zu viele palse positives bringt. Im Live Betrieb werde ich den Filter wieder etwas abspecken. "Pflichtporgramm" ist nur, den Filter so weit auszubauen, dass kritische Downloads wenn möglich vermieden werden und Abofallen o.ä vermieden werden. Gesperrt werden auf jeden Fall die ganzen Micropayment Anbieter, damit man erst gar nicht die Facebook Games + Browsergames Premium Sachen in Anspruch nehmen kann. Ich werde wahrscheinlich auf Accounting gehen, so dass ich nur eine Whitelist für allgemein verfügbare Seiten einrichte, und auf andere Seiten nur mittels Passwort zugegriffen werden kann. Und nur die "ganz bösen" Sachen werden fest gesperrt bzw als Badword definiert. Das sollte sicher genug für mein Vorhaben sein. Das Vorhaben lautet: Internetsharing mit einer Person, von Computern nicht viel Ahnung hat und jeden Mist runter lädt (incl Filesharing) und gerne an Abofallen oder an Abzocker (z.B. Browsergames, Ringtones usw) gerät, den computer schonmal durch AdWare "geschrottet" hat usw. Hier sollen zum Schutz die Filter installiert werden. Ein transparenter Cache Proxy steht auf jeden Fall auf der Todo Liste, da es sehr praktisch ist. Genauso wie QOS, Trafficlimit usw. Als nächstes werde ich noch die anderen Firewall systeme mal testweise aufspielen. Jenachdem, für welches System ich mich entscheide, wird die Hardware ausgewählt.
Nico --- schrieb: > IPCOP ist ja der Vorläufer von IPFIRE. Ganz so kann man das nicht sehen, IPFire ist/war ein Fork von IPCop, mittlerweise ist IPFire eine komplett eigene Firewall Distribution die mit IPCop so gut wie nichts mehr gemeinsam hat. Das Betriebssystem, der Zweck und ein wenig von der Bedienung, aber das wars dann auch schon. IPCop wird trotzdem noch weiterentwickelt, wenns auch die letzte Zeit über mit den Releases ein wenig stockte, aber er läuft stabil. > Momentan habe ich Ipfire auf einem 1,6 GHz DualCore System mit 3 GB Ram > laufen. > Trotz extrem ausufernder Filterregeln hat das System noch deutlich > Reserven Die Filterregeln fallen gar nicht mal so ins Gewicht, eher noch hohe Web-Nutzung, da jede Seite von Proxy zwischengespeichert wird, beobachtet/gesperrt/erlaubt und dann evtl. weitergerreicht wird. Exzessiv Filme laden oder hunderte Regeln bringen den Rechner nicht so ins Schwitzen wie hunderte Seiten öffnen. Der letzten IPCop, den ich gebaut habe, steht in einem Jugendhaus/Veranstaltungshalle. Dort sind unter der Woche so gut wie immer zwischen 6 und 10 Rechnern/Laptops der Mitarbeiter am Netz und es wird fleissig gesurft und gezogen, sowie 5 öffentliche PCs, die jeden Tag die 8 Stunden Öffnungszeiten durchwegs besetzt sind. Am Wochenende sinds dann noch 2-3 Rechner der Technik, die Kassensysteme und vor Konzerten usw. vielleicht noch 2-3 Leute einer Band. Man sieht dort in der durchschnittlichen CPU-Belastung eine erhebliche Stufe. Wochenende <5%, unter der Woche 20%...30%. Der Rechner dahinter ist ein Athlon XP 2000+, 1GB RAM, mit 4* Intel e1000 Karten drin, eine 8139 zum DSL-Modem.
Soweit bin ich mit ipfire ganz zufrieden, der einzigste Nachteil ist, dass man bei der Firewall im Webinterface nicht gleichzeitig accept und deny regeln machen kann, sondern nur entweder oder. Und zwar jenachdem welche Standard Policy man wählt, kann man dann nochmal extra sachen freigeben oder sperren (die manuell eingestellen regeln sind dann der "gegenläufer" der Vorgabe) Man kann es nur per Konsole direkt so fein einstellen, wie man das haben will.
Also beim Proxy selbst bin ich so langsam an den systembedingten Grenzen angelangt. Nicht leistungsmäßig, sondern an der Softwarestruktur. Da müsste ich ein bisschen umbauen.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.