DIY Hardware Firewall

zondag 21 november 2010 12:55

Acties:

0 Henk 'm!

Topicstarter

Hallo Mede-Tweakers,

Gewoon omdat het kan, wil ik thuis een DIY Hardware Firewall neerzetten.

Enige topic wat er op leek, is deze.

De situatie is als volgt:

Ziggo Modem -> WAN van Firewall -> Firewall -> LAN van Firewall met DHCP -> Intern netwerk.

Het eerste waar je aan moet denken, is het moederbord. Met Intel Atom is zoiets voor de hobbyist heel erg betaalbaar geworden.

Als eerste moet ik een paar eisen aan het moederbord stellen:

CPU Onboard (Intel Atom bij voorkeur)
Laag stroomverbruik
Minimaal 2 Gigabit Ethernet NIC's onboard (Liefst Intel)
VGA en USB (Voor de installatie)
Betaalbaar

Het is lastig, aangezien je in de pricewatch niet kunt filteren op meerdere NIC's onboard.

Dit heb ik al wel gevonden:

Supermicro X7SPA-HF (Rond 200 euro in de pricewatch)

En deze:

ASUS Hummingbird (Prijs onbekend)

Beiden mini-ITX, en met deze behuizing makkelijk in de muurkast te hangen.

Probleem is dat die 2 bovenstaanden zeker in de buurt van de 200 euro gaan komen. Zijn er goedkopere alternatieven?

Zomaar even een lijstje met firewall distributies:

pfSense
M0n0wall
ClearOS
Astaro
Smoothwall
IPCop
ClarkConnect
Lijstje op Wikipedia

Kunnen jullie mij enige input geven dat mij op het goede spoor kan brengen? En niet aankomen met applianceshop.eu, ik wil wel eer van mijn werk hebben

Alvast bedankt.

zondag 21 november 2010 13:03

Acties:

0 Henk 'm!

Mr_gadget

C8H10N4O2 powered

Je kan er toch ook nog een pci-e netwerkkaartje inprikken? Scheelt geld op het moederbord.

zondag 21 november 2010 13:24

Acties:

0 Henk 'm!

BHQ

pfSense++

Hoeveel throughput verwacht je?

zondag 21 november 2010 13:49

Acties:

0 Henk 'm!

Joseph

Topicstarter

Mr_gadget schreef op zondag 21 november 2010 @ 13:03:
Je kan er toch ook nog een pci-e netwerkkaartje inprikken? Scheelt geld op het moederbord.

Klopt helemaal. Echter wordt het dan geen firewall meer, maar krijgt het de grootte van een complete computer. Ik heb bewust voor meerdere onboards gekozen, omdat dit in een zeer kleine behuizing past die in de meterkast te hangen is.

Jarpse schreef op zondag 21 november 2010 @ 13:24:
pfSense++

Hoeveel throughput verwacht je?

pfSense++? Google vind niks

Met Ziggo haal ik momenteel strak 124Mb/s, dus die throughput verwacht ik (WAN-LAN).

zondag 21 november 2010 13:58

Acties:

0 Henk 'm!

Flappie

M0nowall draait ook op Soekris (http://www.soekris.com/) en ALIX (http://www.pcengines.ch/) bordjes.
Lekker energie zuinig

zondag 21 november 2010 14:01

Acties:

0 Henk 'm!

rlKoekie

Sef24 schreef op zondag 21 november 2010 @ 13:49:
[...]

Klopt helemaal. Echter wordt het dan geen firewall meer, maar krijgt het de grootte van een complete computer. Ik heb bewust voor meerdere onboards gekozen, omdat dit in een zeer kleine behuizing past die in de meterkast te hangen is.

[...]

volgens mij zijn er ook wel haakse pci-e verloopdingen te krijgen. dan kan je de netwerkkaart paralel aan de mamaplank laten lopen en kost het je niets extra aan ruimte?

zondag 21 november 2010 14:09

Acties:

0 Henk 'm!

Verwijderd

Ik heb zelf een m-itx Via C7 bordje van Jetway met 3 Realtek gigabit NICs op een daughterboard draaien met pfsense. Deze doet (ruwe schatting aangezien mijn internetverbinding 50/50 is) ongeveer 250 Mbit WAN->LAN throughput. Met een Atom en Intel NICs moet dat dus wel makkelijk beter kunnen.
De vraag daarin is echter ook wat ga je allemaal toepassen aan rules op het verkeer, dat kan hem flink vertragen.

zondag 21 november 2010 14:11

Acties:

0 Henk 'm!

BHQ

Sef24 schreef op zondag 21 november 2010 @ 13:49:
pfSense++? Google vind niks
Met Ziggo haal ik momenteel strak 124Mb/s, dus die throughput verwacht ik (WAN-LAN).

++ alsin 'Is goed'

gewoon pfSense dus. Tenzij je hardware dermate vaag is dat het niet wordt gesupport.

124mbit.. nope, dat ga je niet redden met een Alix of Soekris. een Atom gaat dat wel trekken.

Als je geen distro wil gebruiken kan je natuurlijk ook iets van een Debian installatie doen met Shorewall.

zondag 21 november 2010 14:14

Acties:

0 Henk 'm!

Workaholic

Pfsense zou ik pakken en het liefst virtueel (heb je onbeperkt interfaces) en gebruik je geen extra stroom.

Ik heb een server staan die vmware heeft draaien met daarop pfsense en diverse virtuele machines (waaronder ook gewoon een download bak). Scheelt een hoop geld en je hebt maar 1 doos nodig + switch + modem.

Mijn V&A

zondag 21 november 2010 14:16

Acties:

0 Henk 'm!

Joseph

Topicstarter

Flappie schreef op zondag 21 november 2010 @ 13:58:
M0nowall draait ook op Soekris (http://www.soekris.com/) en ALIX (http://www.pcengines.ch/) bordjes.
Lekker energie zuinig

Komt in de buurt.

Alleen 100Mbit... Beetje outdated, of ben ik nu gek? Even voor de duidelijkheid: Ik wil óf pfSense óf Astaro gaan draaien. M0n0wall is me net iets te simpel. Met Gigabit zou dit een mooie optie zijn. Echter, deze heeft geen VGA out. Wél serial console. Hoe moet ik die gaan installeren? Met een apparaat dat zelf weer 200 euro kost?

rlKoekie schreef op zondag 21 november 2010 @ 14:01:
[...]

volgens mij zijn er ook wel haakse pci-e verloopdingen te krijgen. dan kan je de netwerkkaart paralel aan de mamaplank laten lopen en kost het je niets extra aan ruimte?

Welke behuizing zou ik aan moeten denken? Nogmaals: het moet klein genoeg zijn om in de meterkast te passen.

zondag 21 november 2010 14:22

Acties:

0 Henk 'm!

Ultra

Workaholic schreef op zondag 21 november 2010 @ 14:14:
Pfsense zou ik pakken en het liefst virtueel (heb je onbeperkt interfaces) en gebruik je geen extra stroom.

Ik heb een server staan die vmware heeft draaien met daarop pfsense en diverse virtuele machines (waaronder ook gewoon een download bak). Scheelt een hoop geld en je hebt maar 1 doos nodig + switch + modem.

Niet helemaal waar. Ik gebruik xenserver; pfsense kan daar (nog) niet paravirtueel op draaien. Als ik een VM in HVM-mode aanzet, stijgt het verbruik meteen met een paar Watt. Vandaar dat ik voor vyatta heb gekozen. 120Mbps is geen probleem.

zondag 21 november 2010 14:23

Acties:

0 Henk 'm!

Joseph

Topicstarter

Verwijderd schreef op zondag 21 november 2010 @ 14:09:
[...]
De vraag daarin is echter ook wat ga je allemaal toepassen aan rules op het verkeer, dat kan hem flink vertragen.

Virus filtering. Zorgen dat malafide software wordt tegen gehouden. En VPN (pfSense 2.0 heeft hier geweldige ondersteuning voor, denk aan L2TP IPSec, PPTP en OpenVPN) Eventueel meer in de toekomst.

Jarpse schreef op zondag 21 november 2010 @ 14:11:
[...]
Als je geen distro wil gebruiken kan je natuurlijk ook iets van een Debian installatie doen met Shorewall.

Ik wil een specifieke firewall distro gebruiken, meer support.

Workaholic schreef op zondag 21 november 2010 @ 14:14:
Pfsense zou ik pakken en het liefst virtueel (heb je onbeperkt interfaces) en gebruik je geen extra stroom.

Ik heb een server staan die vmware heeft draaien met daarop pfsense en diverse virtuele machines (waaronder ook gewoon een download bak). Scheelt een hoop geld en je hebt maar 1 doos nodig + switch + modem.

Ben ik ook van plan. Echter heb ik hier het geld nog niet voor, én het past niet in de meterkast. Ik heb mijn firewall appliance liever vóór dan ín het netwerk. Of is dit nu onlogisch?

zondag 21 november 2010 14:35

Acties:

0 Henk 'm!

DukeBox

loves wheat smoothies

Sef24 schreef op zondag 21 november 2010 @ 12:55:
Probleem is dat die 2 bovenstaanden zeker in de buurt van de 200 euro gaan komen. Zijn er goedkopere alternatieven?

Zoals eerder genoemd, een itx board met losse pci-e nic als je alles zelf wilt doen.. je zou ook kunnen kijken naar een 2e hands Cisco ASA 5505 maar dan moet je ook een layer 3 switch hebben voor link aggregation (anders kom je niet over de 100Mbit).
De goedkoopste optie is toch echt een high-end soho router kopen met evt. alternatieve firmware.

Duct tape can't fix stupid, but it can muffle the sound.

zondag 21 november 2010 14:46

Acties:

0 Henk 'm!

Joseph

Topicstarter

DukeBox schreef op zondag 21 november 2010 @ 14:35:
[...]

Zoals eerder genoemd, een itx board met losse pci-e nic als je alles zelf wilt doen.. je zou ook kunnen kijken naar een 2e hands Cisco ASA 5505 maar dan moet je ook een layer 3 switch hebben voor link aggregation (anders kom je niet over de 100Mbit).
De goedkoopste optie is toch echt een high-end soho router kopen met evt. alternatieve firmware.

Het gaat me niet om de goedkoopste optie, maar het moet wel betaalbaar blijven. Die Cisco die jij noemt is een one-issue device. Virussen en Hackers, namelijk. Dat is niet alles, wat ik wil. Zolang de prijs in totaal niet boven de 300 euro uitkomt, vind ik het best.

zondag 21 november 2010 15:01

Acties:

0 Henk 'm!

Mr_gadget

C8H10N4O2 powered

Voor 150 euro heb je ook een plugcomputer

Afbeeldingslocatie: http://www.envirogadget.com/wp-content/uploads/2010/05/GuruPlug-Server-Plus.jpg

Draait linux, heeft alleen geen vga. Momenteel worden ze alleen wel te heet als je ze op gigabit gebruikt maar daar wordt aan gewerkt

zondag 21 november 2010 15:26

Acties:

0 Henk 'm!

Joseph

Topicstarter

Mr_gadget schreef op zondag 21 november 2010 @ 15:01:
Voor 150 euro heb je ook een plugcomputer
[...]

Je hebt me op een idee gebracht

2x GBe LAN, VGA, USB, klein... en een 8GB SSD

zondag 21 november 2010 15:30

Acties:

0 Henk 'm!

BHQ

Sef24 schreef op zondag 21 november 2010 @ 15:26:
[...]

Je hebt me op een idee gebracht

2x GBe LAN, VGA, USB, klein... en een 8GB SSD

En een bult kosten om de boel te importeren.

Overigens, wat moet je met VGA op zo'n embedded boardje? Zet vooraf een pfSense image op een CF kaartje, stop die in het ding en configureer de boel met de seriële poort (evt. met een USB serial poortje mocht je geen apparaat meer hebben met seriële poort).

zondag 21 november 2010 15:54

Acties:

0 Henk 'm!

Joseph

Topicstarter

Jarpse schreef op zondag 21 november 2010 @ 15:30:
[...]

En een bult kosten om de boel te importeren.

De reseller zit ook in NL, waardoor je geen import kosten hebt. Alleen TNT pakket post.

>>>Klik<<<

Wss rond de 270 euro (Fit-PC 2i)

En nog een reseller.

>>>Klik<<<

Overigens, wat moet je met VGA op zo'n embedded boardje? Zet vooraf een pfSense image op een CF kaartje, stop die in het ding en configureer de boel met de seriële poort (evt. met een USB serial poortje mocht je geen apparaat meer hebben met seriële poort).

Een PC configureren met een Seriële poort? Ik heb hier niets meer liggen wat serieel heeft. Hoeveel euro gaat zo'n configuratie apparaat kosten? 200? Een beeldcherm, toetsenbord en muis heb ik hier gewoon liggen.

zondag 21 november 2010 15:56

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Ga gewoon voor een router/firewall on a stick. Je hebt dan wel een switch met vlan ondersteuning nodig. Het scheelt je een nic op je firewall maar je kan veel meer segmenten maken.

code:

epia:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.6.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0.6
192.168.5.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0.5
192.168.4.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0.4
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0.3
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
217.122.142.0   0.0.0.0         255.255.254.0   U     0      0        0 eth0.2
0.0.0.0         217.122.142.1   0.0.0.0         UG    0      0        0 eth0.2
epia:~#

In mijn geval dus 6 netwerksegmenten op een enkele NIC. Uiteraard word je wel beperkt in je bandbreedte omdat alles over een NIC doet. Over het algemeen zal dit echt geen probleem zijn.

Sef24 schreef op zondag 21 november 2010 @ 15:54:
[...]

De reseller zit ook in NL, waardoor je geen import kosten hebt. Alleen TNT pakket post.

>>>Klik<<<

Wss rond de 270 euro (Fit-PC 2i)

En nog een reseller.

>>>Klik<<<

[quote]Overigens, wat moet je met VGA op zo'n embedded boardje? Zet vooraf een pfSense image op een CF kaartje, stop die in het ding en configureer de boel met de seriële poort (evt. met een USB serial poortje mocht je geen apparaat meer hebben met seriële poort).[quote]

Een PC configureren met een Seriële poort? Ik heb hier niets meer liggen wat serieel heeft. Hoeveel euro gaat zo'n configuratie apparaat kosten? 200? Een beeldcherm, toetsenbord en muis heb ik hier gewoon liggen.

20 euro via Ebay vast goedkoper
http://www.antratek.nl/USB-adapter.html

[ Voor 31% gewijzigd door TrailBlazer op 21-11-2010 15:58 ]

zondag 21 november 2010 16:23

Acties:

0 Henk 'm!

BHQ

Sef24 schreef op zondag 21 november 2010 @ 15:54:
Een PC configureren met een Seriële poort? Ik heb hier niets meer liggen wat serieel heeft. Hoeveel euro gaat zo'n configuratie apparaat kosten? 200? Een beeldcherm, toetsenbord en muis heb ik hier gewoon liggen.

Hoe kom je aan zo'n bedrag?

Apparaten die een seriële console hebben zijn niet uit de tijd ofzo. Je knoopt de seriële poort van een router/switch/etc gewoon aan de seriële poort van een PC en benadert die vervolgens met iets als Putty (Windows) of iets anders wat met je COM-poort kan werken. Heb je die niet, haal je een USB seriële interface voor een paar euro van eBay (USB > RS232) en een nullmodem kabeltje.

zondag 21 november 2010 16:28

Acties:

0 Henk 'm!

Joseph

Topicstarter

Jarpse schreef op zondag 21 november 2010 @ 16:23:
[...]

Hoe kom je aan zo'n bedrag?

Apparaten die een seriële console hebben zijn niet uit de tijd ofzo. Je knoopt de seriële poort van een router/switch/etc gewoon aan de seriële poort van een PC en benadert die vervolgens met iets als Putty (Windows) of iets anders wat met je COM-poort kan werken. Heb je die niet, haal je een USB seriële interface voor een paar euro van eBay (USB > RS232) en een nullmodem kabeltje.

Dat was een gooi. Ik had geen idee naar de prijs. Maar buiten dat: ik snap het.

Bedankt voor de opheldering.

zondag 21 november 2010 17:21

Acties:

0 Henk 'm!

lezzmeister

Ik ben al tijden op zoek naar een goed klein ding om de firewall uit te hangen, en zat serieus na te denken over zo'n leuk ALIX bordje van applianceshop.eu, maar zodra we hier 200/100Mbit internet hebben, zit er serieus in dat ik dat wel wil hebben, en dan zit je.

Soekris overwoog ik wel, maar die lijken me behoorlijk traag. Er is een nieuwere onderweg, welke een Atom cpu heeft en 4x 1GBit poorten, volgens de originele planning zou deze nu al vol in produktie moeten zijn maar meneer Soekris schijnt een handje te hebben van uitstel, vogens enkele gegoogelde pagina's. En of ik daar nog op moet gaan wachten. Wie weet wanneer ze komen en of ze nogmaals worden uitgesteld.

Die Supermicro met Atom 330 is serieus leuk speelgoed, maar die 330 is toch wel redelijk gedateerd. Komen ze niet met een nieuwere? Pineview chipsets zijn een stuk zuiniger.

Ik zou er dan wel gelijk draadloos op willen zetten. Dus dan een goed ondersteunde wirelesskaart die ik als accesspoint kan gebruiken. Er weer een accesspoint bij moeten mikken zou ik niet zien zitten, er moet toch al een switch bij. Deze komt volgende maand, die heb ik al op het oog. pricewatch: HP Procurve 1810G-8

Pfsense is ook wel een van de betere kandidaten wat mij betreft.

Als je er VPN op wil mikken kun je ook bij Soekris zo'n crypto-accelerator kopen. Is handig als je veel van deze verbindingen wil opzetten. Deze Soekris heeft een chip van Hi/fn, maar dit werkt alleen in bepaalde situaties. Zal ook wel flink gelimiteerd zijn in vergelijking met nieuwere kaarten op pci-e ipc pci, maar die heb ik niet gezien voor een normale consumentenprijs.

zondag 21 november 2010 18:04

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Ik heb nu zelf een Atom 330 staan die binnenkort mijn oude via epia zal gaan vervangen. Ik kan wel even een testje gaan doen met iperf door dat ding heen.

maandag 22 november 2010 11:01

Acties:

0 Henk 'm!

enveekaa

Atom 330 trekt een gigabit lijntje probleemloos vol.

Onderwerpen