Firewall/web server hjemme

[stuwie88]

Hei sann.

Min gamle smoothwall har tatt kvelden så da tenkte jeg det var på tide

å få bygd sammen en ny.

 

Men denne gangen vil jeg også ha web/ftp på den.

 

Hva er mulighetene da ang OS?

 

btw min linux kunskap er fra liten til null

[stigfjel]

En brannmur skal kun være nettopp det: en brannmur. Man kan evt. ha VPN, samt grunnleggende nettverkstjenester på den, eks. DHCP. Å hive web/ftp på den er ikke en god måte å tenke sikkerhet på. For å kjøre web/ftp setter man opp en server innenfor brannmuren og lager regler som slipper igjennom trafikk.

 

Hva OS angår, velg et OS som tillater at du kun tar med de pakkene du absolutt trenger, og ikke noe mer. CentOS, Debian er gode alternativer. Da må du lære deg IPTables. Eller du kan velge OpenBSD. Da med PF som pakkefilter. Samme gjelder der, du må lære deg syntaksen.

[stuwie88]

True true, skal se litt på CentOS og evt Debian.

[TommyL]

Hva med ClearOs? Har vel alt du etterspør tror jeg.

[stuwie88]

Kan da ta en titt på den også =)

[wtf1337]

Eller noe som høre 10x bedre ut:

Bygg deg en rellativt krafitg server i5, 16gb ram Pluss et par NC360T NICs. Derreter kan du kjøre en vm med pfsense og en annen med webserver/ftp etc.

 

For hypervisor anbefaler jeg vmware esxi

[stigfjel]

Hva med ClearOs? Har vel alt du etterspør tror jeg.

ClearOS er mer et appliance-OS som kan introdusere flere komponenter enn man strengt tatt trenger. Med f.eks. CentOS (Linux og IPTables) og OpenBSD (BSD og PF) får du en installasjon som har akkurat det du trenger. Men du må som sagt lære deg å håndtere de forskjellige pakkefilterne manuelt. Det er i seg selv et prosjekt, men utrolig lærerikt.

 

Edit: Hvis du f.eks. velger CentOS kan du sette opp en brannmur, og aktivere SELinux. Da skal det mye til for å knekke den. I alle tilfeller, sett default policy til Drop, og kun slipp igjennom det du trenger av trafikk.

 

Eller noe som høre 10x bedre ut:

Bygg deg en rellativt krafitg server i5, 16gb ram Pluss et par NC360T NICs. Derreter kan du kjøre en vm med pfsense og en annen med webserver/ftp etc.

 

For hypervisor anbefaler jeg vmware esxi

Det finnes spesialkonstruert HW som er perfekte til brannmur-formål, sånn som Soekris. net6501 er den nyeste modellen. Denne boksen har 4 Intel Gbps ethernet, som er mer enn nok. OpenBSD vil være perfekt for en sånn boks.

 

Skal man kjøre VMware ESXi bør man dytte inn så mye RAM som man kan bruke. For en gratislisensiert ESXi installasjon kan man benytte opptil 32 GB RAM, noe jeg vil anbefale å gjøre. Og serveren bør ha nok diskplass, og da i form av noen disker med høy MTBF. Sett det opp i RAID 10 for best diskytelse. Hva nettverk angår bør man holde seg til nettverkskort basert på Intel eller Broadcom, eventuelt HP, da disse har best støtte i VMware. Realtek, Marvell og annet søppel bør man holde seg unna.

 

Det mest ideelle er å bruke en dedikert brannmur og så holde en evt. hypervisor på innsiden. Det er viktig ikke å ha alle ting på en server. Hold også nettverkstjenestene som DHCP på brannmuren, samt en DNS-server som kun godtar oppslag fra innsiden (pass på at DNS-serveren kun lytter på den interne porten, og at brannmuren ikke slipper inn noen forespørsler mot DNS-serveren fra utsiden). Hvis hypervisoren skulle gå ned (det kan skje fra tid til annen) så faller ikke hele nettverket ned av den grunn (jeg jobber/har jobbet med oppsett av VMware i enterprise-segmentet, samt brannmur for bedriftsformål).

Endret 12. april 2013 av stigfjel

[burger1]

Hei,

 

benytter meg selv av Zentyal som er basert på ubuntu server, fungere rimelig smertefritt, intuitivt web grensesnitt med enkelt modul basert konfigurasjon.

 

Er som de fleste andre linux distroer tilgjegngelig gratis.

 

Her har du en fleksibel samt lett fattelig server med web GUI for konfigurasjon.

 

http://www.zentyal.com/

 

Kjører selv en box som gateway, med brannmur, traffic shaping og dhcp Fungerer som bare det