Soekris (Hardware)Firewall

[tertullian]

Hallo allerseits,
ich denke darüber nach mir ein Soekris anzuschaffen um eine Firewall (OpenBSD mit PF) fürs Heimnetz (Fileserver & 4 weitere Clients) zu bauen.

Meine Frage als Neuling
was kann/sollte/darf noch auf die Soekris? Habe da an Squid gedacht.

Soll nur OpenBSD mit PF (z.B) auf eine solche Kiste?

Ich hoffe meine Frage entwickelt sich nicht zur philosophischen Diskussion über (Hardware)Firewalls.

..... was ist sinnvoll und was sollte man nicht darauf betreiben?

Danke

 

[menuhin]

Squid könnte langsam sein.

 

[crotchmaster]

Ein VPN-Server kann recht praktisch sein.

c.

 

[tertullian]

Danke :-)
Ein VPN-Server ist ne klasse Idee.

mmmmh, das mit Squid muss ich mir dann mal überlegen.

 

[Yamagi]

Was spricht gegen Varnish[1] anstelle von Squid?

1: http://openports.se/www/varnish

 

[tertullian]

nix :-)
Danke Yamagi für den Tipp

 

[spaulding]

Was spricht gegen Varnish[1] anstelle von Squid?

1: http://openports.se/www/varnish

Wow, was für ein Zufall, den habe ich seit ein paar Tagen auf dem Server und musste erst mal die httpd-Konfig mit seinen vielen virtuellen Hosts generalisieren (in dem Fall mit mod_macro) für das Portswitching, den WebCache davor schalten zu können (läuft halt beides im selben Jail). Aber im Prinzip funktioniert das schon ganz gut out of the box nur habe ich noch Probleme mit dem bekannten 503 Timeout obwohl ich da schon diverse Limits angehoben habe. Insgesamt ist es enorm was PHK für das Projekt, die Kunden leistet.

 

[tertullian]

mmmh, wäre FreeBSD nicht vielleicht sogar geeigneter aufgrund der Jails?

Ist es möglich zum Beispiel PF, Varnish & einen VPN-Server in eine separate Jail zu packen?

 

[mark05]

moin
also man sollte beachten das squid und gerade varnish viel arbeitsspeicher brauchen.

und so eine soekris box hat numal nur sehr limitiert resourcen.

und was gewinne ich durch ein jail ?

jails sind nicht zwingend eine zusaetzliche sicherheits stufe.

eher freebsd in einem anderen kernel security level laufen zu lassen.

aber openbsd eignet sich fuer soekris deutlich besser ,da pf deutlich perfomanter
ist als unter freebsd und selbst weniger rescourcen braucht.

holger

 

[tertullian]

okay, ich bleibe bei OpenBSD und schaue mich vielleicht noch mal nach anderer Hardware um. ;-)

 

[jmt]

Was für eine Soekris soll es denn werden? Die 5501-70 hat sogar 512MB Speicher. Das sollte für Squid in einem Heimnetzwerk massig reichen. Ich selbst betreibe squid für mein Heimnetzwerk auf eine Alix mit 256MB. Dabei laufen noch diverse andere Dienste.

 

[vertex]

ich habe eine 5501-70 mit pfSense 1.23, dort läuft Squid, OpenVPN, IPSec, Captive Portal etc... drauf und ich habe keine Schwierigkeiten.
Vorher hatte ich OpenBSD mit pf drauf und einer WLAN-Karte für die Nutzung als Access-Point, aber nach einem Festplattenausfall hatte ich keine Lust auf basteln und bin dann zu pfSense

vg
vertex

 

[jmt]

Ich betreibe meine Alix mit OpenBSD. Sie fungiert als vollständiger kleiner Homeserver mit Mail-, News-, Web-Proxy-, VPN- und SSH-Login-Server. Lediglich mein Storage befindet sich an einem anderem System. All dies leistet die Alix ohne jegliche Probleme. Normalerweise sind sogar noch 80 MB Speicher frei.

 

[tertullian]

Hallo jmt & vertex,
Danke für die Erfahrungsberichte.
Ich hatte schon überlegt ob ich auf die net6501 variante warten sollte. ;-)

 

[mark05]

fuer die die eine firewall oder aehnliches suchen

http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&item=130535724216&ssPageName=STRK:MEBIDX:IT

holger

 

[xcvb]

Was spricht gegen Varnish[1] anstelle von Squid?

1: http://openports.se/www/varnish

Ist das nich ein reiner Reverse-Proxy? Oder kann man den auch als Web-Proxy konfigurieren? Ich hatte bislang www/middleman für das Heimnetz im Einsatz.

 

[Azazyel]

Ich hatte schon überlegt ob ich auf die net6501 variante warten sollte. ;-)

Ich habe eine net5501 mit OpenBSD im Einsatz.
Hätte es noch einen Monitoranschluss, wäre ich wunschlos glücklich.

Falls OpenBSD auf einer CF-Karte oder SSD laufen soll, kann ich noch die Änderungen für den Betrieb in einer Ramdisk empfehlen.

 

[jmt]

Ist das nich ein reiner Reverse-Proxy? Oder kann man den auch als Web-Proxy konfigurieren? Ich hatte bislang www/middleman für das Heimnetz im Einsatz.

Varnish ist kein Ersatz für Squid. Es ist ein reiner Reverse-Proxy. (Wobei man squid auch als Revers-Proxy einsetzen kann. Dann ist varnish in der Tat die bessere Alternative).

Ich persönlich halte nichts von angepassten BSD-Versionen für CF-Karten. Benutzt man welche mit Wear-Leveling, so kann man sie getrost wie eine normale Disk verwenden. Bei meiner Alix funktioniert das schon seit über 2 Jahren.

 

[h^2]

Ich hatte auch mal OpenBSD auf meiner Alix, hatte aber für mich keinen Mehrwert, da ich das ganze normale Administrationszeugs von FreeBSD gewohnt war und das irgendwie intuitiver war. Wobei die OpenBSD-Doku auch gut ist, insofern sollte das auch kein Problem sein, wenn man es möchte.

 

[Crest]

Mit der Weil muss man halt sagen ist der FreeBSD PF Port völlig veraltet. Er funktioniert, aber PF in OpenBSD 4.9 kann mehr, ist einfacher und hat diverse Bugs weniger. Dazu kommt das PF in OpenBSD immer weiter optimiert wurde. Gerade deswegen ist es zwar schwerer geworden PF zu portieren, aber auf einer Alix ist OpenBSD mit seinem (zu) einfachen Locking optimal.

 

[kornverlust]

Kleine Bemerkung am Rande: Auf der Soekrisseite wurde eine 6000er Reihe angekündigt. Laut Ankündigung müsste die Hardware inzwischen zwar schon verfügbar sein, aber bei Soekris dauerts immer länger...
Wenn du auf die neuen Maschinen warten kannst, wirst du für jegliche Aufgaben genug Power/Platz haben.

 

[tertullian]

Wenn du auf die neuen Maschinen warten kannst, wirst du für jegliche Aufgaben genug Power/Platz haben.

Ich denke das werde ich auch machen.
Hoffentlich kommt die 6000er-Serie auch bald raus