Router/Firewall

[firewire]

Ciao a tutti.
Vorrei assemblare un PC che faccia le funzioni di routing e firewalling con Linux Mandreke 9.2.
Quale scheda madre mi consigliate che abbia almeno le seguenti caratteristiche e ad un prezzo non troppo alto:
- Doppia scheda di rete integrata
- alloggiamento per 4 banchi di ram
- scheda video integrata
- supporto raid
- preferibilmente per CPU P4

grazie.

[gohan]

ma cosa devi collegarci, una dorsale internet?
Per fare da router per una connessione a banda larga basta anche un normale pentium.
Inoltre le sk madri con 4 banchi di ram e doppia lan non costano poco.

[firewire]

Esatto, devo collegarci una dorsale. Lo so che uno stupidissimo pentium va benissimo, ma visto il basso costo dell' hardware, visto che ho un pentium IV in più e soprattutto vista la maggiore velocità, di gran lunga superiore, di un p4, ho deciso per una configurazione del genere. Le due lan integrate non è che siano poi fondamentali, l' importante sono il raid e la s.v. integrata.

[gohan]

facciamo che ti sposto nella sezione sk madri

Cmq, perchè vuoi proprio usare una mandrake per quel tipo di lavoro? ne sei proprio sicuro?

[Revolution.Man]

Quote:

Originariamente inviato da gohan
facciamo che ti sposto nella sezione sk madri

Cmq, perchè vuoi proprio usare una mandrake per quel tipo di lavoro? ne sei proprio sicuro?

SUsE

[firewire]

Mandrake la uso da un pò di tempo e mi ci trovo bene. Comunque sono aperto a nuove distribuzione. Vale sicuramente la pena provarle per trovare quella migliore.
Cosa mi proponi e soprattutto perchè!?

[Revolution.Man]

Quote:

Originariamente inviato da firewire
Mandrake la uso da un pò di tempo e mi ci trovo bene. Comunque sono aperto a nuove distribuzione. Vale sicuramente la pena provarle per trovare quella migliore.
Cosa mi proponi e soprattutto perchè!?

io sn un'adepto di Linux, sto cominciando a usarlo adesso, anche se ho amici che lo usano x lavoro e mi dicono che la SuSE è la migliore.. ma penso che stiamo andando un pò OT, nella sezione LINUX troverai di certo gente +esperta e +competente!

[Rottweiler]

Quello che vuoi fare con linux è fattibilissimo, vedrai che nella sezione specifica trovi threads in merito e le esperiene di molti...

Comunque ti do qualche dritta:
il supporto raid della scheda madre non serve a niente per fare un raid (sempre software) con linux..
Se vuoi raid HW devi comprare un controller specifico, ce ne sono anche per dischi eide/sata.
Tieni conto che per quello che vuoi fare tu ne saranno necessarie tre schede di rete (una per la WAN, una per la rete protetta, una per la DMZ), e melgio separare le tre cose..

la distribuzione, IMHO, non è così trascendentale, quello che vuoi fare si puo' con una qualsiasi, ma forse è meglio che ti orienti su redhat (per alcune cose dovrai sbatterti meno, per esempio se vuoi collegare un gruppo di continuità spesso questi hanno driver già pronti solo per redhat, ovvio che si puo' con qualsiasi altra, ma se non vuoi starci troppo dietro prendi una distribuzione diffusa..)
Secondo me la Mandrake è meglio per un pc personale, se fai un server megliio redhat (sono sempre cugine..)

Ci sono anche distribuzioni specifiche... ce ne sono un sacco..

[cdx]

per esperienza di lavoro ti consiglio:

una qualsiasi mb microatx con scheda di rete realtek integrata

+ 2 schede di rete aggiuntive sempre realtek pox chip 8139

se vuoi il raid aggiungi un controller in hardware

distro linux suse 9 o redhat 9

per la parte routing devi vedere cosa ti serve realmente dai una occhiata a zebra


saluti cdx

[Aryan]

Tra le distribuzioni + semplici probabilmente la SuSE è la migliore(seguita da Mandrake prima e RedHat poi).

Passiamo alle cazzate:
1)In una dorsale viaggiano migliaia di TeraByte di dati, 100Mb(scheda di rete) gli fanno una sega...

2)Un P133 è più che sufficiente per il routing/firewalling/natting di 100Mb(limite della scheda di rete che i vuole installare).

3)Una dorsale non la gestiscono certo con un P4! Ci sono sistemi proprietari con SO proprietari. In ogni caso userebbero una versione di Linux tostissima come Debian o Slackware. Oppure FreeBSD. No certo SuSE e compagnia bella...

4)Che cavolo serve il RAID in un firewall/router??? Mica ci sono dati da salvare dentro. Anzi esistono distribuzioni che stanno addirittura in un dischetto(o in CDROM) che fanno tutto quello che vuoi.

5)Non mi sembra proprio che il P4 sia un sistema a basso costo...

[francipalermo]

io ho un server proxy firewall linux
gestisce una lan di 57 pc (internet cafè)
configurazione:
cpu amd athlon xp 2200
1gb ram ddr 2700
chipset via 400 con lan e video integrato.
3 schede di rete su altrettanti slot pci per un totale di 4 schede di rete 10/100 (smista due linee una shdsl da 2Mbit e una adsl da 1,2Mbit)
2 hard disk uno da 20 gb per il firewall e uno da 120 gb per il proxy.
distribuzione slackware.

[firewire]

In risposta ad Aryan:
in un sistema con solo firewall e router il raid serve a poco, anzi a nulla. Ma poichè utilizzerei questa piattaforma per lavoro, per la gestione della mia lan composta da 8 pc, in caso di rottura di uno dei due dischi non vorrei passare le ore a riinstallare e riconfigurare tutto. Basterà semplicemente cambiare hard disk di boot e via.
Inoltre, poichè prevedo di impiantare un server Samba per la condivisione di file e stampanti, e per fare il backup dei dati importanti, allora il raid diventa di fondamentale importanza. Non ti pare? Forse posso evitare una scheda madre che abbia il raid e demandare tutto ad una scheda apposita. Ecco che, date queste premesse, diventa importante anche un sistema potente.
Poichè ho gia la cpu, il case, la ram e gli hard disk, tutto ciò di cui ho bisogno è una mobo.

[Aryan]

Quote:

Originariamente inviato da firewire
In risposta ad Aryan:
in un sistema con solo firewall e router il raid serve a poco, anzi a nulla. Ma poichè utilizzerei questa piattaforma per lavoro, per la gestione della mia lan composta da 8 pc, in caso di rottura di uno dei due dischi non vorrei passare le ore a riinstallare e riconfigurare tutto. Basterà semplicemente cambiare hard disk di boot e via.
Inoltre, poichè prevedo di impiantare un server Samba per la condivisione di file e stampanti, e per fare il backup dei dati importanti, allora il raid diventa di fondamentale importanza. Non ti pare? Forse posso evitare una scheda madre che abbia il raid e demandare tutto ad una scheda apposita. Ecco che, date queste premesse, diventa importante anche un sistema potente.
Poichè ho gia la cpu, il case, la ram e gli hard disk, tutto ciò di cui ho bisogno è una mobo.

Calma!
Qui si è passati da un firewall/router per una backbone(dorsale, ma fa + figo ) ad un server per una LAN con vari servizi tra cui quello di file server. Adesso si ragiona!
Tra l'altro ti consiglio Squid come proxy per internet. Così non devi fare routing ma solo firewall e ottimizzi la velocità dell tua connessione perché salvi le pagine visitate in cache. La distribuzione che ti consiglio è SuSE in questo caso. Se invece vuoi garantirti una sicurezza quasi totale allora vai su Debian o Slackware, solo che sono molto toste da configurare.

Comunque non ti consiglio le schede di rete integrate(a meno che non siano di qualità eccelsa). Piuttosto prendi 2 3Com da 100Mb.

[firewire]

Giuste le tue considerazioni!!!
Piuttosto, esiste una scheda madre decente con vga integrata e senza fottuta scheda audio???

[Aryan]

Quote:

Originariamente inviato da firewire
Giuste le tue considerazioni!!!
Piuttosto, esiste una scheda madre decente con vga integrata e senza fottuta scheda audio???

Ormai tutte le MB sono dotate di scheda audio. Quelle dotate di video ce l'hanno sicuramente al 100%. Basta comunque disabilitarla da BIOS se non la vuoi.

[sgrisol@verklok]

una scheda mom che ha già la doppia lan è la epox 8rda3+ rev.2.0

[francipalermo]

ci sono schede madri che integrano una radeon 9100 oppure una geforce 4 mx

[IlBaroneRosso]

Aggiungerei anche che se cerchi la sicurezza e' bene usare il firewall solo per fare il firewall, niente servizi di stampa e di backup, questi e' sempre bene tenerli separati.
Il firewall e' la prima cosa che viene attaccata e tenere li dati importanti come i backup proprio in entrata di lan non e' una cosa saggia.
Riguardo le schede di rete, se la tua lan e' destinata a crescere prendi roba seria, tipo 3com o intel, le 8139 vanno bene solo sui pc degli utenti, quando il carico di lavoro e' notevole servono prodotti di un certo livello.

[francipalermo]

posso dirvi la mia esperienza giornaliera............
il mio firewall linux (la configurazione hardware è scritta nella mia risposta più sopra...) blocca qualcosa come un paio di centinaia di attacchi giornalieri, sviluppa un traffico di log pari a cira 4, 5 Giga dicasi gigabyte! ogni 20 25 giorni.
è un muletto instancabile, con un xp 2200 va come un missile....prima ogni tanto si impallava, ma portandogli la ram a un giga adesso è tutto ok.
Mi fa anche il controllo antivirus su tutto il traffico in entrata e in uscita nella lan in quanto ha installato sopra il trend micro virus wall.
come schede di rete ha delle realtek 10/100 che vanno benissimo, le intel costano il triplo ma queste non hanno dato problemi. Viene spento solo la domenica e per tutta la settimana rimane acceso h24. insomma il suo lavoro di guardiano lo fa bene.
insomma i guardoni della rete faticano non poco a sbirciare da noi

[firewire]

Anche io ricevo ogni giorno diversi tentativi di intrusione, o semplicemente una scansione delle porte. Sui log del mio firewall trovo ogni volta una marea di messaggi.
Es.:

Sniper kernel FW:Connessione IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=12112 DF PROTO=TCP SPT=4850 DPT=593 WINDOW=65535 RES=0x00 SYN URGP=0

e di questi ce ne sono a centinaia con porte destinazione che variano spesso (23, 21, 80, 3128, 1080, ecc..).

Dico la mia sulla sicurezza della rete:
affinchè una rete possa essere sicura bisogna impostare una serie di regole sul firewall (nel mio caso con iptables). Io ho fatto la seguente configurazione:

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t filter -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -s 192.168.0.1/4 -d Sniper -j ACCEPT
iptables -t filter -A INPUT -i lo -s ! 127.0.0.0/8 -j DROP
iptables -t filter -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d 192.168.0.0 -j DROP
iptables -t filter -A INPUT -i eth0 -d 192.168.0.255 -j DROP
iptables -t filter -A INPUT -p tcp --syn -j LOG --log-prefix "FW:Connessione" -log-level ALERT
iptables -t filter -A FORWARD -i ppp0 -s 192.168.0.0/24 -j DROP

Inoltre bisogna prevedere continui aggiornamente sulle possibili vulnerabilità del sistema e attappare tutti i buchi.
Infine bisogna evitare di installare tutti i servizi di cui non si farà uso.

Non credo che questo sia il modo di tenere alla larga gli HACKER con la H maiuscola, ma sicuramente renderà la vita difficile agli smanettoni.

Cosa ne pensate? Secondo voi cosa altro devo aggiungere alle regole del firewall per iniziare a rendere la vita difficile anche agli HACKER?