Firewall bauen HP NC375T vs Intel PRO/1000 PT Quad Port

minimike

minimike

Berufsrevolutionär
Hi

Ich möchte demnächst unsere Firewall austauschen. Ich versuche dabei auf ein OpenSource OS zu bestehen weil mir schon so mancher Mist unter die Augen gekommen ist. Derzeit verreckt hier mehr schlecht als recht eine Appliance von Fortinet.

Ich dachte an folgendes

Intel S1200KPR als Mainboard
Intel i3-2130 als CPU
TS1GLK72V3H 8 GB Transend DDR 1333 ECC Ram

Dazu habe ich zwei 4 Port Nics im Auge

die HP NC375T und die Intel PRO/1000 PT Quad Port. Wobei die NIC von HP deutlich günstiger ist.

Dabei dachte ich auch daran einige BSD Firewall Distros auszuprobieren. Kann auch was kosten. Gibt es da was empfehlenswertes :)
Ich hätte gerne eine statefull Firewall, IPSEC auch mit L2TP mit Anbindung an ein externes CA für die Zertifikate. Ebenso sollte IPSEC mit Kunden oder Dienstleistern laufen. Sowie noch ein Radius-Server für Anbindung an AD um die User für IPSEC zu mappen. Ein Webinterface freut mich weniger. Jedoch meinen Chef und meine Urlaubsvertretungen.

Abgesehen davon wäre das Mainboard mit OpenBSD oder FreeBSD OK?
Wie schaut es mit den Nics aus? Welche wäre gut für ein BSD?

Danke für Tips :)
 
Sollte sich eigentlich alles mit OpenBSD erledigen lassen. Oder auch FreeBSD. Wir sind nach 2 Jahren OpenBSD wieder am überlegen, ob wir auf Linux migrieren sollen. Gründe sind der Support Zeitraum und die einfacheren Updates.

Als FW GUI kannst du vielleicht mal "fwbuilder" anschauen. Damit kannst du deine Regeln zusammenklicken und anschliessend per SSH auf die FW kopieren.
 
Wenn du FreeBSD nimmst, solltest du eine von igb(4) unterstützte NIC nehmen. Der von Intel selbst entwickelte Treiber ist gut und sie bieten neben allen relevanten Hardware-Features vor allem bis zu 24 Interrupt-Queues pro Port. Entsprechend solltest du je nach Menge des dort hindurchlaufenden Traffic für ausreichend CPU-Kerne sorgen. Als Packetfilter ist derzeit für wirklich große Setups (im Bereich 10GBit/s) nur IPFW zu empfehlen, pf ist in 8.x und 9.x durch seine fehlende SMP-Fähigkeit einfach zu langsam und in 9.x überdies noch buggy. Erst mit 10.0 und smp-pf wird pf wieder interessant werden...
 
Lord_x schrieb:
Sollte sich eigentlich alles mit OpenBSD erledigen lassen. Oder auch FreeBSD. Wir sind nach 2 Jahren OpenBSD wieder am überlegen, ob wir auf Linux migrieren sollen. Gründe sind der Support Zeitraum und die einfacheren Updates.

Als FW GUI kannst du vielleicht mal "fwbuilder" anschauen. Damit kannst du deine Regeln zusammenklicken und anschliessend per SSH auf die FW kopieren.
Zum Vergrößern anklicken....

hi

verstehe ich nicht .

support laest sich einkaufen , selbst henning macht ueber sein bsws.de
support vertraege.

und was ist einfacher zu updaten als openbsd ? sorry gerade wenn man eine fw
im cluster betreibt ist esfast trivial.

holger
 
Yamagi schrieb:
Als Packetfilter ist derzeit für wirklich große Setups (im Bereich 10GBit/s) nur IPFW zu empfehlen, pf ist in 8.x und 9.x durch seine fehlende SMP-Fähigkeit einfach zu langsam und in 9.x überdies noch buggy. Erst mit 10.0 und smp-pf wird pf wieder interessant werden...
Zum Vergrößern anklicken....

Sorry das ich hier so reinhüpfe... Ggf kann ich auch nen Extrathread aufmachen.
Was geht denn bei PF nicht? Ich plane einen Server aufzusetzen, OS sollte eigentlich FreeBSD 9.1 werden. Durchsatz liegt allerdings weit unter 10GBit/s. Vom Setup her klassisch: Host mit einigen jails, mail und AMP. Firewall und NAT eben mit pf, das kenne ich schon, in IPFW müßte ich mich erst einarbeiten.

Grüße,
errorsmith
 
GENUA oder vantronix bieten auch auf OpenBSD basis was an und beschäftigen dazu auch Entwickler.
 
Danke für eure Antworten. Ich möchte noch hinzufügen das die FW nur 6x 1Gbit machen soll. Die möchte ich Front stellen. Hinter der FW kommen vielleicht noch virtualisierte FW's mit 10 Gbit. Das ist aber nicht ganz klar. Ich hätte hierfür lieber Echtblech in Verwendung.
 
Errorsmith schrieb:
Was geht denn bei PF nicht? Ich plane einen Server aufzusetzen, OS sollte eigentlich FreeBSD 9.1 werden. Durchsatz liegt allerdings weit unter 10GBit/s.
Zum Vergrößern anklicken....
Die State-Tables verkacken sich gern mal, was dann zu seltsamen Fehlverhalten führt. Die Sache ist einfach dumm gelaufen und da waren einige auch sehr angepisst drüber. Kurz vor 9.0 wurde auf Wunsch der pfsense-Truppe ein von ihnen entwickeltes, großes Update für pf durchgedrückt. Leider war es problematisch, wie sich später herausstellte. Da war die pfsense-Truppe aber abgetaucht und monatelang bewegte sich gar nichts. Am Ende kam es denn zu smp-pf in 10-CURRENT, entwickelt von glebius@. Das kann aber nicht in 9-STABLE zurückportiert werden... Kaum war smp-pf importiert, tauchte die pfsense-Truppe wieder auf und beschwerte sich über die Entwicklung. Man hat sich nun so geeinigt, dass smp-pf die Zukunft ist und alles andere ist damit aus dem Spiel. pf ist in 9.x durchaus benutzbar, aber die Frage ist halt, ob man da wirklich etliche Gigabit pro Sekunde durchprügeln will.
 
Solange man überwiegend stateless filtern will ist IPFW gut zu gebrauchen besonders seit in FreeBSD 9.1 die IPFW tables erweitert wurden nicht nur Ints und IPv4 Adressen sondern auch IPv6 Adressen und Interfaces enthalten können. Damit lässt sich z.B. mit einer setfib regel die Fib für Packets die auf einem Interface rein kommen festlegen. Mit call/return kann man dinge bauen, die man besser nicht machen sollte und wenn das nicht reicht kann man noch durch netgraph gehen. Dummynet kann auch fast alles was man braucht außer man will IPv6 link local durch schicken.
 
Hmm die I350-T4 sieht gut aus. Hat die jemand mit FreeBSD am Start? Treiber gibt es von Intel für FreeBSD 9.x. Löblich löblich :)
Zwei Internetanschlüsse, zwei DMZ's Office und ein Managed-Net macht 6 Ports zusammen mit denen vom Mobo in 1 HE Böxlein
 
Danke Yamagi. Ich werd das mal auf mich zu kommen lassen, allerdings ist der Durchsatz um Mbit Bereich (maximal) und insofern kann ich wohl bei pf bleiben. "Merkwürdige Fehler" in der Firewall sind halt nicht das was ich haben mag bei ner Kiste auf die ich keinen physichen Zugriff bekommen kann. Vielleich ist ja 10 bis dahin schon soweit benutzbar das ich das da installieren kann (will eigentlich nur ungern CURRENT auf der Kiste haben, aber werde das zumindest versuchen.)

Grüße,
errorsmith
 
Danke für die Info. Hmm kann es sein das PFsense probleme mit VMware hat?
Ich habe eine VM mit 6 Nics zum Üben aufgesetzt. Spätestens nach dem Hinzufügen der dritten Nic verabschiedet sich der Webkonfigurator und mir bleibt nix anderes als ein Factory-Reset über. Mein Chef wünscht was per Webinterface. Mir wäre ein perl oder python Framework lieber
 
minimike schrieb:
Danke für die Info. Hmm kann es sein das PFsense probleme mit VMware hat?
Ich habe eine VM mit 6 Nics zum Üben aufgesetzt. Spätestens nach dem Hinzufügen der dritten Nic verabschiedet sich der Webkonfigurator und mir bleibt nix anderes als ein Factory-Reset über. Mein Chef wünscht was per Webinterface. Mir wäre ein perl oder python Framework lieber
Zum Vergrößern anklicken....

Hallo mein Lieber :)

wie wäre es mit den guten alten Webmin? und über CPAN holst Du Dir das was Dir noch fehlt aber Webmin bringt schon reichlich Perl Module mit und ist flexibel anpassbar.

MFG der rudy

Achso ganz vergessen : http://www.freebsd.org/cgi/ports.cgi?query=webmin&stype=all
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben