Angående firewall

Bitguard er nok en af de bedste firewalls du kan få for penge. Den er fuldstændig integreret med Windows styresystem, og den er umulig at hacke. Du kan få den her: http://www.tryus.dk/start.asp Her kan du hente bitguard. http://www.tryus.dk/BitGuardManual.pdf  Manual til bitguard firewall.

Det jeg var ude efter er noget Linux og boxen skal jun køre fw.

Ok helt i orden.

så er det måske en ide at kikke på gnat box
det er er noget der rykker røv, her mener jeg måden den køre på opsætnings mulighederne samt dens spec, check GB-FLASH samt GB-pro ud, personligt er jeg vild med gb-flash da den er mega hurtig og efter hvad du køre dem på bliver den bare hurtiger og hurtiger, man tager en pc, tager hd ud sætter kortet i og connecter det til ide interfæset og vola, man køre og man køre rigtig hurtigt samt har tons af muligheder gennem et program til kørsels under windows, check det ud..

http://www.gta.com/products/
http://www.gta.com/products/gbpro/
http://www.gta.com/products/gbflashDetails/

The Toastmaster

Jeg kan helt klart anbefale PL (portlukker).
Det er et Perl program der bruges ovenpå iptables i linux.
Det er udviklet til brug for kollegier, men kan meget nemt bruges i boligforeninger også. Du kan læse mere her: http://kbhkol.dk/emner/pl/ og der fidnes også et link til hvor man kan hente programmet.

den som siger noget er umuligt at hacke, lyver! nu kender jeg ikke produktet, men har man de rigtige skills, og arbejder hårdt nok på det, så kan alt sgu knækkes...

det var til aovergaard og hans bitguard...

GLemte lige båndbredde begrænsningen, den skal du så lige selv lave, men det er (forholdsvis) simpelt, hvis man bruger "WonderShaper" som udgangspunkt.
http://lartc.org/wondershaper/

Jeg to ikke du får alle krav opfyldt med en smoothwall, især pkt. 2 og 3 vil give problemer med mange typer firewalls og du kommer nok til at anvende forskellige løsninger til de forskellige dele.

Du kan tage udgangspunkt i smoothwallen og så lave loadballancing og båndbredebegrændsning med andre ting. Jeg ville nok kikke på en lidt bedre cisco switch, der kan begge disse ting, men det bliver en udfordring at få placeret tingene således at firewallen ikke omgås eller virker som en flaskehalds. Jeg ved dog at det kan lade sig gøre, det har jeg set, men du kommer nok ikke uden om at måtte til pungen

Problemet med en switch ville være at internt på LAN ville der også komme båndbreddebegrænsning... Der må være en gratis firewall som kan løse dette??

En router ville løse problemet med loadbalancing??? bare hvilken og til en rimelig pris.

\Edske

1. Statefull inspektion - Finnes vel bare hos Smothwall 2.0 som fortsatt er i beta 5. (Men fungerer vel ok.)

2. Baandbredde begrensning via ip - Finnes vel ikke hos Smoothwall. Smoothwallen er ikke en "generell Linux", men en spesialisert og "laast" firewall installasjon. Det vil saan sett ikke vaere saa enkelt aa etterinstallere pakker eller funksjoner vil jeg mene.

3. Load balancing. Finnes vel heller ikke hos Smoothwall. Tror heller ikke det lar seg gjoere aa kople opp to parelelle linjer via Smothwall (???)

En generell Linux som Red Hat vil stort sett kunne klare alle 3 oppgavene, men her vil man vaere avhengig av aa lage all konfigurering og oppsett selv.

Statefull inspection er forholdsvis enkelt aa sette opp da dette er en standard kernel funksjon.

Baandbrede begrensning via ip er noe mere komplisert aa sette opp men det kan vel la seg gjoere.

Usikker paa om det egentlig finnes noen funksjoner for "load balancing" men vil vel heller ikke tro at det er noedvendig. Vil tro at dersom man kopler seg opp med to linjer via en generell Linux for eksempel Red Hat, saa vil det i utgangspunktet skje en dynamisk utjevning av trafikk, som den egenskap man oensker.

Den helt enkle loesningen paa problemstillingen det vil jo vaere aa dele nettverket opp i 2 stk LAN som kjoerer hver sin 2 MB linje og saa bruke to stk smoothwall 2.0 beta 5.

Hvis baandbredde begrensning er viktig og noedvendig saa vil jeg tro at det vil vaere fornuftig aa ta utgangspunkt i en generell Linux for eksempel Red Hat hvis det skal vaere Linux, men da oeker vanskelighetsgraden 10 ganger eller saa i forhold til det aa bare sette opp 2 stk Smoothwall.

Vil forsoeke aa sel litt naermere paa loesninger av ikke Linux type ....

Naar det gjelder prinsipper rundt load balancing og Linux ... iptables har jo en noksaa enkel funsjon for load balancing naar det gjelder trafikken til servere inne paa lan eller dmz. Dette finnes jo og det er enkelt tilgjengelig.

Naar det der i mot gjelder "load balancing" for to parallele tilkoplede internett linjer, saa blir jo dette noe helt annet.

Har ikke testet ut dette, men vet vel rimelig sikkert at det via en generell Linux vil vaere mulig aa kople opp to internettlinjer paralelt (??). Kjenner ikke til at det skal finnes noen spesiell funksjon for noen lastfordeling mellom disse to linjene, men det er vel neppe noen grunn til at ikke belastningen ikke skulle fordele seg noenlunde likt. (Er ikke 100 % sikker paa dette.)

En viktig del av problemstillingen som ikke staar nevnt i spoersmaalet det er hvorledes man har tenkt aa legge opp adresseringen av ip'er paa lan. Dersom det er snakk om aa bruke NAT eller lokale adresser paa LAN saa er det vel tvilsomt om man kan "natte" to forskjellige eksterne ip og interfacer via Linux for et helt samlet LAN.

Foer loesning i "den tunge profersjonelle ende", netscreen hardware firewall:
http://www.netscreen.com/

De enkleste modellene koster vel ned mot 10-20.000 Har ikke load balancing eller trafikkbegrensning (tror jeg.)
http://www.netscreen.com/products/at_a_glance/5xt_5xp.jsphttp://www.netscreen.com/products/at_a_glance/download/all_products.pdf

http://www.netscreen.com/products/at_a_glance/5xt_5xp.jsp

http://www.netscreen.com/products/at_a_glance/download/all_products.pdf

Det er vel bare de stoerste modellen fra netscreen som i det hele har load balancing (100 sewrien).

Noenlunde samme produkttype fra Cisco ..

Tror ellers heller ikke at det vil vaere mulig aa natte to forskjellige eksterne ip/linjer via Cisco fordi dette i hvert fall i utgangspunktet vil stride mot den maate som nat fungerer paa (men ingen sannheter er jo absolutte naar det gjelder firewalls/routere..):
http://cisco.com/univercd/cc/td/doc/pcat/fw.htm

Generelt naar det gjelder problemstillingen rundt nat og samkjoering av to forsjellige internettlinjer .. Benytter man en firewall med innebygget proxy firewall funksjon, slik at man i realiteten bruker proxy i stedet for nat, saa er man ute av problemstillingen rundt det aa natte to forksllige ekserne ip / nettverkstilkoplinger.

PC/Windows basert firewall/router av profesjonell type (med proxy):
http://enterprisesecurity.symantec.com/content/productlink.cfm?PID=9989595&EID=0

http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=47&EID=0

PC/WIN/Linux basert, Check point:
http://www.checkpoint.com/
http://www.checkpoint.com/products/enterprise/index.html

Konkurent, Winroute:
http://www.kerio.com/kerio.html

Microsoft sitt firewall/gateway produkt:
http://www.microsoft.com/isaserver/

Glemte vekk et alternativ for hardware firewalls, sonicwall:
http://www.sonicwall.com/products/vpnapp.html

Det som staar over er et noenlunde hurtig sammendrag av denne boken:
http://www.amazon.com/exec/obidos/tg/detail/-/0072195673/104-1122870-4947115?v=glance

Naar det gjelder de krav som gjelder for gateway/internettforbindelsen:

1. Statefull inspection
2. Baandbreddebegrensning via ip.
3. Load balansing for to linjer i kombinasjon med NAT

Saa vil jeg tro at det ikke finnes noen gratis eller komersiell firewall/gateway som tilfrdsstiller disse kravene 100 %, i hvert fall ikke for en overkommelig pris.

Man kan enten lage en meget enkel loesning ved aa dele lan opp i to deler som kjoerer hver sin gratis smoothwall 2.0 Dette gir foerst og fremst ingen baandbreddebegrensning paa ip.

Man kan sannsynlig vis faa til noe som klarer samtlige krav ved hjelp av en generell Linux, eksempelvis Red Hat dersom man ikke benytter nat men delt internettforbindelse vha Squid proxy http://www.squid-cache.org/ Krever en hel del arbeide for utvikling og installasjon (Baandbredde deling + begrensning)

Noen her paa eksperten som har utdypende synspukter paa disse problemstillingene, eller paa konklusjonen ???

Ville ha lagt fram kravspec for forhandler av Cisco og MS ISA server og sett hva de kom opp med. Interessant om svaret fra forhandler kunne legges ut her.

Den Cisco Pix modell som kanskje kunne vaere aktuell ser ut til aa vaere Pix 501. (Prisnivaa 30-40.000 DK med 10 bruker lisens.)(Men Cisco har jo ogsaa andre produkter/modeller enn Pix serien.)

Den boken som staar referert over inneholder av totalt ca 1000 sider ca 100 sider om Cisco Pix serien.

Jeg kan ikke finne noe i denne beskrivelsen som bekrefter at det vil vaere mulig aa kombinere flere inngaaende linjer med load balancing og samtidig trafikkbegrensning for den enkelte ip eventuelt i kombinasjon med nat. Det staar paa den annen side heller ikke at det er umulig.

Mener at det i denne sammenheng vil vare en meget viktig faktor hvor mange ekterne ip'er man har til disposisjon.

Dersom det bare finnes 2 tilgjengelige eksterne ip og det er snakk om en ren nat loesning saa vil det vel uansett leverandoer og produkt sannsynligvis vaere meget komplisert aa sette opp en nat for et samlet lan basert paa to forskjellige eksterne linjer og to forskjellige ip (???)

Man kan selfoelgelig som allerede nevnt sette opp to forskjellige lan med hver sin firewall, for eksempel smoothwall.

En annen variant ville jo vaere aa lage en loesning basert paa en funksjonsdeling ved hjelp av en generell linux, der man for eksempel lot all http trafikk og mail kjoere via den ene linje og ftp via den annen. Paa denne maaten saa ville man unngaa at ftp nedlastinger blokkerer for den ordinaere http trafikken. DEtte boer vaere mulig aa sette opp vha Linux/iptables.

http://www.cisco.com/dk/

Naar det gjelder Smoothwall saa har denne bare en inngaaende internett tilkopling. (Internett + DMZ for server + LAN) Man vil ikke kunne modifisere dette til aa inbefatte 2 stk internttilkoplinger.

En annen loesningvariant som sannsynlivis vil kunne moete hele kravspekken etter litt konfigurering det er ved aa kople 2 bokser i serie.

Boks 1 faar da som hovedoppgave aa fordele trafikken til de to linjene. Ville tro at en Cisco Pix eller en generell Linux som er satt opp for dette vil kunne gjoere denne jobben.

Boks 2 vil saa kunne utfoere/ivareta nat funksjonen ut i fra bare en inngaaende ip. Dersom man velger Smoothwall som boks 2 saa faar man ingen trafikk begrensning pr ip. Det er vel heller tvilsomt om Smothwall i praksis kan modifiseres paa et brukernivaa til aa ivareta dette. En generell Linux for eksempel Red Hat vil kunne ivareta nat med trafikkbegrensning pr ip hvis den er satt opp for dette.

Over er jo foreslaat litt forskjellige maater aa loese problemstillingen paa.

Kom paa en ennu variant som jeg faktisk har vaert med paa proeve ut i praksis og som faktisk i forhold til den praktiske virkelighet fungerte veldig bra.

Hvis man har to stk inngaaende internettlinjer saa kan man sette opp to stk firewalls for eksempel Smoothwall ved siden av hverandre og kjoere dem i paralell. Inngangen koples til to forskjellige internettilkoplinger. Utgangen (groenn) koples til det samme lan segmentet, med ip adresser, for eksempel 10.0.0.1 og 10.0.0.2 (eller 192.168.0.1 og 192.168.0.2).

Den ene firewall konfigureres til bare aa tillate det som annses aa vaere prioritert trafikk, typisk HTTP/Web browsing. Den annen settes opp slik at den i prinsipp tillater alle typer trafikk, for eksempel ftp nedlastinger.

Begge firewalls (Eks Smoothwall) settes eventuelt opp med NAT. DHCP server kjoers paa max 1 av dem.

Det hele legges opp som 1 sammenhengende LAN.

Naar man saa setter opp klientene, saa vil man ved aa sette opp gateway til henholdsvis 10.0.0.1 eller 10.0.0.2 kunne velge hvilken firewall og hvilken linje ut man vil oenske aa benytte seg av.

De brukerne som oensker enkle tjenester via en linje som alltid vil vaere hurtig velger den ene gateway. De brukeren som oensker tilgang til andre tjenester, for eksempel ftp nedlastinger velger den annen gateway, der det altsaa til tider kan vaere litt trafikk.

All trafikk vil ved et slikt oppsett pasere det samme LAN, men det vil det vel normalt ha kapasitet til.

Jeg har eller lagt til grunn at det bare finnes 2 eksterne ip og at det benyttes nat, siden det ikke staar noe om dette i sporsmaalet.

Dette vil jo ikke gi baanbreddebegrensning og Loadbalancing slik som spoersmaalet eterlyser, men det vil kunne gi en praksisk bra loesning for et anntall husstander som oensker aa dele paa 2 eksterne internettlinjer.

Takker alle sammen!!