DIY router - firewall

[koufs]

Ανοίγω το θέμα αυτό για συζήτηση περί routers και firewall διανομών, με τις οποίες μπορεί να στήσει κανείς router/firewall στο σπίτι του ή στη δουλειά του.

Προφανώς και είναι κάτι πιο δύσκολο από το απλό ρουτεράκι που αγοράζουμε από οποιαδήποτε αλυσίδα με ηλεκτρονικά.
Επίσης θα κοστίσει και παραπάνω, από λίγο ως πολύ, αναλόγως με τι κόστους ρούτερ το συγκρίνουμε.
Μπορεί βέβαια να μην κοστίσει και τίποτα, αν το φτιάξουμε για να πειραματιστούμε-παίξουμε, με τυχόν παλιό hardware που έχουμε να κάθεται ή αν έχουμε τη δυνατότητα να το στήσουμε σε VM.

Το ερώτημα βέβαια είναι αν χρειαζόμαστε και κατά πόσο τις πολύ μεγαλύτερες δυνατότητες που μπορεί να μας δώσει και κατά πόσο έχουμε το χρόνο-γνώσεις για να τις εκμεταλλευτούμε.


Προσωπικά έχω ελάχιστες έως καθόλου γνώσεις δικτύου. Τα περισσότερα που έμαθα, τα έμαθα προσπαθώντας να σετάρω ένα Mikrotik και ένα EdgeRouter που έχω στην κατοχή μου.

Πρόσφατα έχοντας έναν αρχαίο υπολογιστή που κάθεται, κατέβασα και δoκίμασα λίγο το Untangle και περισσότερο το Sophos XG.
Σκέφτομαι να δοκιμάσω και καμμία open source διανομή και σε δεύτερο χρόνο να αγοράσω ένα φθηνό barebone με μικρή κατανάλωση και να το κάνω το router για το σπίτι.

Θα επανέλθω με εντυπώσεις,  απορίες και για να τα πούμε περί του θέματος.

Τι λέτε; έχει νόημα ή απλά είναι χάσιμο χρόνου;
Πάντως αν θέλει κανείς να παίξει, μου φαίνεται ιδιαίτερα ενδιαφέρον.

[stringer bell]

Όπως είπες μπορεί να στοιχίσει ελάχιστα. Ενδεικτικά: http://www.banana-pi.org/r1.html

 

Μπορείς να στήσεις μια διανομή Linux επάνω και με χρήση iptables/ firewalld να φτιάξεις ένα επαγγελματικου επιπέδου firewall.

 

Σίγουρα θα χρειαστεί αρκετό χρόνο, αλλά είναι ιδανικό για να παίξεις και ίσως ο καλύτερος τρόπος για να μάθεις αν έχεις όρεξη.

[koufs]

Καλό φαίνεται αυτό στο λινκ, δεν το ήξερα, αλλά δεν κάνει για μένα. Δεν έχω τις γνώσεις ούτε το χρόνο να μπω τόσο βαθιά.

Ίσως όταν και αν βγω σε σύνταξη, ίσως κάτσω να μάθω για αυτά που μου φαίνονται αρκετά ενδιαφέροντα.....

 

Για την ώρα όπως είπα το παιχνίδι για μένα είναι το sophos XG, απίστευτες δυνατότητες, χωρίς να χρειάζεται να μπεις σε κονσόλα. Απλά με κανόνες που φτιάχνεις από drop menus και επιλογές.

 

Αξίζει να δοκιμάσετε και να παίξετε αν έχετε κάποιο παλιό pc με 2 nics ή κάποιο παλιό σκληρό.

 

Θα επανέλθω εν καιρώ με εντυπώσεις και ερωτήσεις.

 

Και μάλλον θα προσπαθήσω ν διοκιμάσω και καμμιά open source διανομή για firewall/router, είχα προσπαθήσει χωρίς επιτυχία να εγκαταστήσω το pfsense. Δεν ξέρω τι έφταιξε, αλλά εργότερα με το XG, διαπίστωσα ότι ήταν ελλατωματική η κάρτα δικτύου που είχα αγοράσει, και σούλευε μόνο στα 100 mbps, αλλοιώς κράσαρε το XG.

[giannisasini]

μπορεις να δοκιμασεις το pfsense σαν firewall εχει πολλες δυνατοτητες και τα παντα τα φτιαχνεις μεσα απο το interface του δεν χρειαζεται να πληκτρολογησεις εντολες... το μονο που χρειαζεσαι ειναι ενα παλιο pc και μια επιπλεον καρτα δικτυου για να κανεις το βασικο στησιμο αλλα μπορεις να το στησεις και σε vm αν σε εξυπηρετει βεβαια..

 

αν θελεις να το χρησιμοποιησεις για πιο advanced περιπτωσεις  οι καρτες δικτυου πυυ θα χρησιμοποιησεις καλυτερα να ειναι intel ή broadcom γιατι οι realtek εχουν καποια θεματακια που και που..

[rfc]

Εκτος απο το μικροτικ που το θεωρω εξαιρετικο σε δυνατοτητες, οχι μονο στο firewall, μπορεις να δοκιμασεις και το smoothwall firewall. Ολα αυτα ομως ειναι δεύτερα διοτι στο μικροτικ εχεις ενα τοσο δα κουτακι που δε καιει τπτ σε ρευμα και εχεις τα παντα, οχι μονο firewall

[mad-proffessor]

Εκτος απο το μικροτικ που το θεωρω εξαιρετικο σε δυνατοτητες, οχι μονο στο firewall, μπορεις να δοκιμασεις και το smoothwall firewall. Ολα αυτα ομως ειναι δεύτερα διοτι στο μικροτικ εχεις ενα τοσο δα κουτακι που δε καιει τπτ σε ρευμα και εχεις τα παντα, οχι μονο firewall

Καλα αυτά αλλά δε συγκρίνονται με ενα pc με 2GB ram, ssd, συγχρονη cpu και τις δυνατότητες μιας open source διανομής.

[rfc]

Μια χαρα συγκρινονται αν το σκεφτεις για 2 λογους.

 

1) Η μικροτικ βγαζει μηχανακια μεχρι και με 16 πυρηνες cpu

 

2) Τα εχεις ολα και οχι μονο firewall

[koufs]

μικροτικ έχω το 951, όπως έγραψα στην αρχή,

 

είναι απίστευτα μηχανάκια, με απεριόριστες δυνατότητες κυρίως στο router κομμάτι, και πολύ φθηνά,

 

πιστεύω θα μπορούσε να τα προωθήσει πολύ περισσότερο η εταιρεία, αν έφτιαχνε ένα web interface με ορισμένες ευκολίες, ειδικά στον τομέα της ασφάλειας,

 

πχ να μπορείς να κάνεις ένα firewall , με τα βασικά και γιατί όχι πιο προχωρημένα χωρίς να χρειάζεται να καταφύγεις σε scripts

 

εγώ σαν αρχάριος, κατάφερα να κάνω αρκετά στο firewall, με διάβασμα και παίρνοντας στοιχεία από εδώ και εκεί, αλλά πάντα έχω την αμφιβολία αν τα έχω κάνει σωστά

 

 

πάντως είναι φοβερό εργαλείο στα χέρια αυτού που ξέρει να το σετάρει, και φοβερό εργαλείο για αυτόν που θέλει να μάθει

μπορεις να δοκιμασεις το pfsense σαν firewall εχει πολλες δυνατοτητες και τα παντα τα φτιαχνεις μεσα απο το interface του δεν χρειαζεται να πληκτρολογησεις εντολες... το μονο που χρειαζεσαι ειναι ενα παλιο pc και μια επιπλεον καρτα δικτυου για να κανεις το βασικο στησιμο αλλα μπορεις να το στησεις και σε vm αν σε εξυπηρετει βεβαια..

 

αν θελεις να το χρησιμοποιησεις για πιο advanced περιπτωσεις  οι καρτες δικτυου πυυ θα χρησιμοποιησεις καλυτερα να ειναι intel ή broadcom γιατι οι realtek εχουν καποια θεματακια που και που..

 

 

προσπάθησα να το εγκαταστήσω, ίσως κόλλησα λόγω της ελαττωματικής κάρτας δικτύου που έγραψα πιο πάνω, είναι στα υπόψην

 

Το Sophos XG που έχω δοκιμάσει, θεωρείται επαγγελματικό προϊόν, ακριβό μάλιστα, που παίρνεις δωρεάν μία άδεια για το σπίτι με περιορισμό τα 6 Gb RAM.

 

Το θέμα είναι εμπιστευόμαστε τη Sophos ή πάμε καλύτερα για open source;

 

Όχι ότι έχω κάτι κρίσιμο, αλλά γιατί να έχεις διάφορα μάτια πάνω σου;

[giannisasini]

καλυτερα open source χρησιμοποιω pfsense για πανψ απο 4 χρονια χωρις να εχω καποιο ιδιαιτερο προβλημα...

 

επισης το χρησιμοποιω και σε ξενοδοχεια λογω της λειτουργιας του captive portal χωρις να εχω προβλημα...

 

αξιζει να το δοκιμασεις αλλα αν σου φαινεται δυσκολο υπαρχουν και τα mikrotik που κανουν τα παντα με λιγα λεφτα αλλα και παλι χρειαζεται ψαξιμο και χρονο...

[rfc]

Το 951 ειναι απο τα πολυ καλα μηχανακια και πολυ φθηνα για αυτα που προσφερει.

 

Με αυτο το γενικο firewall που θα σου δωσω εισαι καλυμενος απο ολα στο μικροτικ. Τα κλεινεις ολα και αφηνεις μονο αυτα που θες να περασουν. Εχει και κανονα να αφηνει ολα τα dst-nat που κανεις port forward στο nat. Ελεγχει το ping να μην ειναι εντελως ανοιχτο αλλα ουτε και κλειστο γιατι απαγορευεται να ειναι κλειστο και εχω βαλει και port scanners για να μη με σκαναρουν απο εξω. Στο τελος οτι δε γινεται established τα κανει drop. Το δουλευω 2 χρονια περιπου χωρις κανενα προβλημα.

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related " \
    connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" \
    connection-state=invalid
add action=jump chain=forward comment="Make jumps to ICMP chains" \
    jump-target=icmp protocol=icmp
add action=accept chain=forward comment="Accept forward established,related" \
    connection-state=established,related
add action=accept chain=forward comment="Accept PF All DstNat" \
    connection-nat-state=dstnat connection-state=new in-interface=all-ppp
add action=drop chain=forward comment="Drop Invalid connections" \
    connection-state=invalid
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
    protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
    protocol=icmp
add action=accept chain=icmp comment=\
    "host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
    protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="Add port scanners to list" \
    in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
    protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______SYN/RST scan" \
    protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
    protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
    protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
    src-address-list="port scanners"
add action=accept chain=input comment="Allow all input from LAN" \
    in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
    in-interface=!all-ppp
add action=drop chain=input comment="Drop everything else" in-interface=\
    all-ppp
add action=drop chain=forward in-interface=all-ppp

Αν θες κατι παραπανω απο αυτο, στο adslgr εχουν φτιαξει και με brute force και με απο ολα.

 

H σειρα οπως καταλαβαινεις επιβαλλεται να ειναι ετσι και αν την αλλαξεις κατι δε θα σου δουλευει.

 

Και στο σπιτι αλλα και σε εταιρειες, αυτο το firewall βαζω και δεν ειχα ποτε θεμα. 

[nostos]

[προσωπικη αποψη on]

Για μενα, 4 ειναι οι καλυτερες επιλογες...

 

• Ενα δημοφιλες router συμβατο με LEDE (καποιο απο τα TP-Link Archer για πιο οικονομικο ή τα Linksys WRT που ξεφευγουν ομως σε τιμη).
• Mikrotik συσκευη και αρα RouterOS.
• Μινι PC και pfsense.
• Μινι PC και στησιμο μιας minimal linuxοδιανομης οπως το arch linux. Δυνατοτητες... απεριοριστες πλεον.

Choose your poison!

[/προσωπικη αποψη on]

[rfc]

Το smoothwall firewall το ειχα βρει καλυτερο και ευκολοτερο απο το pfsense παντως.

[mad-proffessor]

Μια χαρα συγκρινονται αν το σκεφτεις για 2 λογους.

 

1) Η μικροτικ βγαζει μηχανακια μεχρι και με 16 πυρηνες cpu

 

2) Τα εχεις ολα και οχι μονο firewall

Υποννοεις οτι με diy pc δεν τα έχεις όλα; Ισα-ισα κάνεις απειρως περισσότερα απο οτι το εμπορικό router os. Π.χ εσυ μπορείς να κάνεις layer 2 filtering; Εγω μπορώ

[rfc]

Ότι θες κάνεις φίλε που είναι αναρίθμητα. Τα mikrotik χρησιμοποιούμε κατά κόρον από μικρούς providers για μέχρι 50.000 clients.

[Ledis]

Κάλο θα ήταν να διευκρινίσουμε ότι το SOPHOS XG δεν κατατάσσεται στην κατηγορία Firewall. Το  SOPHOS XG είναι UTM (Universal Thread Management) και προσφέρει πολλά παραπάνω από ένα Firewall. 

 

Σε συνδυασμό με το Central Endpoint Protection της Sophos, αποτελεί ίσος την ποιο προπληρωμένη λύσης περιμετρικής προστασίας και Antivirus. 

 

Αν το ήθελες για παραγωγικό περιβάλλον, θα σου το πρότεινα ανεπιφύλακτα. 

Αν θες να για να εμβαθύνεις τις γνώσεις σου, δεν θα το πρότεινα (Η Sophos σου δίνε έτοιμα templates που απλά τα εφαρμόζεις, δεν ασχολείσαι σε βάθος).

 

 

Το RouterOS από την άλλη είναι ένα πανίσχυρο λειτουργικό σύστημα με το οποίο πρακτικά μπορείς να κάνεις σχεδόν τα πάντα. Φαντασία να έχεις και όρεξη να ψάχνεις. 

 

Μεγάλο πλεονέκτημα είναι ότι η MkroTik προσφέρει μαι τεράστια ποικιλία appliance που προσφέρουν όλες τις δυνατότητες του RouterOS σε πολύ χαμηλές τιμές και με μικρή κατανάλωση σε σχέση με ένα PC.

 

Για pfSense ή άλλες διανομές Linux δεν μπορώ να εκφέρω γνώμη, καθώς δεν τα έχω δουλέψει εκτενώς.