Consiglio su distribuzione linux firewall

[Art83]

Salve gente,
ho bisogno di un consiglio...
Desidererei avere dei consigli su eventuali distribuzioni linux che siano orientate come FIREWALL....
Attualmente utilizzo Endian community 2.5.2 installato su un hp microserver con 3 schede di rete lan.
Endian lo utilizzo per:
- spam filter
- content filter
- load balancing /failover --> il load balancing è tra 2 adsl, il failover (se cadono entrambe le adsl) su chiavetta usb 3g hsdpa
- port forward
- vpn
- antivirus

secondo voi esiste un altro software con queste caratteristiche? volevo provare qualcosa di nuovo e magari di più completo!

di distribuzioni ho visto e nei prossimi giorni testerò:
- ipcop
- astaro / sophos
- smoothwall
- endian community 3 beta 2

Grazie in anticipo!

[malatodihardware]

A livello di funzionalità built-in ed integrazione la migliore è probabilmente sophos, devi però considerare che la free è valida solo per uso domestico e fino a un tot numero di indirizzi IP..
Tra le altre ti consiglio pfSense che è quella con probabilmente un po più di supporto (che per un uso aziendale non guasta mai) e supporta alcuni modelli di chiavette 3G. Valuta bene questa cosa perché non tutti permettono l'utilizzo via USB (sophos ad esempio mi sembra che non lo supporta)

Inviato dal mio Nexus 5 con Tapatalk

[Art83]

ora provo la versione home (gratuita) virtualizzandola.... insieme agli altri!
poi richiedo un preventivo a sophos per la versione software a pagamento...
infine chiedo un preventivo a endian per la versione software a pagamento....

praticamente credo che queste due siano la scelta giusta!!!

altrimenti sarei orientato verso uno zyxell zywall usg50... rivendendo l'hp microserver... e farei tutto con quello!!

sono veramente indeciso....

[Alfonso78]

Quote:

Originariamente inviato da malatodihardware

Tra le altre ti consiglio pfSense

Condivido il suggerimento.

pfSense è un ottimo firewall/router software open source su base FreeBSD.

Qui trovi le FEATURES del software.
Qui il THREAD in sezione.

[Art83]

solo che pfsense, non ha filtro antispam, antivirus, e non supporta le chiavette usb 3g.....

per lo meno mi pare di aver capito questo!!

[malatodihardware]

Le chiavette le supporta, antispam e antivirus li ottieni con plug-in aggiuntivi (comunque gratuiti)

Inviato dal mio Nexus 5 con Tapatalk

[Alfonso78]

Quote:

Originariamente inviato da malatodihardware

antispam e antivirus li ottieni con plug-in aggiuntivi (comunque gratuiti)

PFSense Packages List

[malatodihardware]

Va bè chi voleva capire ha capito, package o plug-in è la stessa cosa..

Inviato dal mio Nexus 5 con Tapatalk

[Alfonso78]

Quote:

Originariamente inviato da malatodihardware

Va bè chi voleva capire ha capito, package o plug-in è la stessa cosa.

Non è stata una correzione. Ho solo richiamato la tua segnalazione dei plug-in linkando la relativa pagina riepilogativa...

[malatodihardware]

Scusa, avevo visto evidenziata la parola plug-in e il link con package e ho collegato male le due cose..

Inviato dal mio Nexus 5 con Tapatalk

[Alfonso78]

Quote:

Originariamente inviato da malatodihardware

Scusa, avevo visto evidenziata la parola plug-in e il link con package e ho collegato male le due cose..

[Art83]

Grazie ad entrambi....
Vedo di recuperare un pc temporaneo con almeno 3 schede di rete per le varie prove del caso...

Successivamente mi iscriverò al post di pfsense... Sicuramente avrò bisogno di aiuto!!!

Grazie mille ancora!!


Sent from my iPad using Tapatalk

[Giu]

Probabilmente ne sei già a conoscenza, hai dato un'occhiata a ZEROSHELL?
http://www.zeroshell.net/

Io la uso da un po' e mai avuto problemi fin'ora, poi di recentissimo è uscita la nuova versione 3.0

Riporto le principali caratteristiche (tratte dal sito dell'autore):

- Bilanciamento e Failover di connessioni multiple a Internet;

- Connessioni UMTS/HSDPA mediante modem 3G;

- Server RADIUS per fornire autenticazione e gestione automatica delle chiavi di cifratura alle reti Wireless 802.11b, 802.11g e 802.11a supportando il protocollo 802.1x nella forma EAP-TLS, EAP-TTLS e PEAP; sono supportate le modalità WPA con TKIP e WPA2 con CCMP conforme allo standard 802.11i; il server RADIUS può inoltre, in base allo username, il gruppo di appartenenza o MAC Address del supplicant smistare l'accesso su di una VLAN 802.1Q assegnata ad un SSID;

- Captive Portal per il supporto del web login su reti wireless e wired. Zeroshell agisce da gateway per la rete su cui è attivo il Captive Portal e su cui gli indirizzi IP (di solito appartenenti a classi private) vengono forniti dinamicamente dal DHCP. Un client che accede a questa network privata deve autenticarsi mediante un web browser con username e password Kerberos 5 prima che il firewall di Zeroshell gli permetta di accedere alla LAN pubblica. I gateway Captive Portal sono utilizzati spesso per fornire accesso a Internet negli HotSpot in alternativa all'autenticazione 802.1X troppo complicata da configurare per gli utenti. Zeroshell implementa la funzionalità di Captive Portal in maniera nativa, senza utilizzare altro software specifico come NoCat o Chillispot;

- Gestione del QoS (Quality of Service) e traffic shaping per il controllo del traffico su reti congestionate. Si possono imporre vincoli sulla banda minima garantita, sulla banda massima e sulla priorità di un pacchetto (utile nelle connessioni realtime come le VoIP). Tali vincoli potranno essere applicati sulle interfacce Ethernet, sulle VPN, sui point to point PPPoE, sui bridge e sui bonding (aggregati) di VPN. La classificazione del traffico può avvenire anche mediante i filtri Layer 7 che permettono il Deep Packet Inspection (DPI) e quindi di regolare la banda e la priorità da assegnare ai flussi di applicazioni come VoIP e P2P;

- HTTP Proxy con antivirus open source ClamAV in grado di bloccare in maniera centralizzata le pagine web contenenti Virus. Il proxy, realizzato con HAVP, potrà funziona in modalità transparent proxy, intendendo con ciò, che non è necessario configurare i web browser degli utenti per utilizzare il server proxy, ma, le richieste http verranno automaticamente reindirizzate a quest'ultimo. È ovvio, che in questo caso, la macchina che fa da proxy deve essere anche un gateway (router IP o bridge);

- Supporto per la funzionalità di Wireless Access Point con Multi SSID utilizzando schede di rete WiFi basate sui chipset Atheros. In altre parole, un box Zeroshell con una di tali schede WI-FI può funzionare come Access Point per le reti IEEE 802.11 supportando i protocolli 802.1X, WPA per l'autenticazione e la generazione di chiavi dinamiche. Ovviamente l'autenticazione avviene tramite EAP-TLS o PEAP sfruttando il server RADIUS integrato;

- VPN host-to-lan con protocollo L2TP/IPsec in cui L2TP (Layer 2 Tunneling Protocol) autenticato con username e password Kerberos v5 viene incapsulato all'interno di IPsec autenticato mediante IKE con certificati X.509;

- VPN lan-to-lan con incapsulamento delle trame Ethernet in tunnel SSL/TLS, con supporto per VLAN 802.1Q e aggregabili in load balancing (incremento di banda) o fault tollerance (incremento di affidabilità);

- Router con route statiche e dinamiche (RIPv2 con autenticazione MD5 o plain text e algoritmi Split Horizon e Poisoned Reverse);

- Bridge 802.1d con protocollo Spanning Tree per evitare loop anche in presenza di percorsi ridondati;

- Firewall Packet Filter e Stateful Packet Inspection (SPI) con filtri applicabili sia in routing sia in bridging su tutti i tipi di interfaccia di rete comprese le VPN e le VLAN;

- Controllo mediante Firewall e Classificatore QoS del traffico di tipo File sharing P2P;

- NAT per utilizzare sulla LAN indirizzi di classi private mascherandoli sulla WAN con indirizzi pubblici;

- TCP/UDP port forwarding (PAT) per creare Virtual Server, ovvero cluster di server reali visti con un unico indirizzo IP (l'indirizzo del Virtual Server). Le richieste sul server virtuale saranno smistate sui server reali in Round-Robin (ciclicamente) preservando le connessioni e le sessioni già esistenti. Si può così ottenere il load balancing su web farm, cluster SQL e farm di calcolo;

- Server DNS multizona e con gestione automatica della Reverse Resolution in-addr.arpa;

- Server DHCP multi subnet con possibilità di assegnare l'indirizzo IP in base al MAC Address del richiedente;

- Virtual LAN 802.1Q (tagged VLAN) applicabili sulle interfacce Ethernet, sulle VPN lan-to-lan, sui bonding di VPN e sui bridge composti da interfacce Ethernet, VPN e bond di VPN;

- Client PPPoE per la connessione alla WAN tramite linee ADSL, DSL e cavo (richiede MODEM adeguato);

- Client DNS dinamico che permette la rintracciabilità su WAN anche quando l'IP è dinamico. Gestione dinamica del record dns MX per l'instradamento SMTP della posta elettronica su mail server con IP variabile;

- Server e client NTP (Network Time Protocol) per mantenere gli orologi degli host sincronizzati;

- Server syslog per la ricezione e la catalogazione dei log di sistema prodotti da host remoti quali sistemi Unix, router, switch, access point WI-FI, stampanti di rete e altro compatibile con protocollo syslog;

- Autenticazione Kerberos 5 mediante un KDC integrato e cross autenticazione tra domini;

- Autorizzazione LDAP, NIS e RADIUS;

- Autorità di certificazione X.509 per l'emissione e la gestione di certificati elettronici;

- Integrazione tra sistemi Unix e domini Windows Active Directory in un unico sistema di autenticazione e autorizzazione mediante LDAP e Kerberos 5 cross realm authentication.

[AMD_Edo]

Io ho sempre usato Endian Firewall Community Edition e mi sono sempre trovato bene! Da non molto sono passato a pfSense perchè avevo necessitá di assegnare piú di 4 Gbyte di ram a squid (abbiamo un bel numero di stazioni connesse e una connessione internet di bassa qualitá!) e devo dire che mi sto trovando meglio...

Unico consiglio spassionato... stai lontano da schede di rete con chipset realtek, stai su broadcom o intel.

[Art83]

Guarda... Come schede di rete ho una marvell Yukon giga e una dual intel giga....
Per quello che serve a me, bastava endian... Ma il problema è che non mi riconosceva la scheda marvell e solo per questo sono passato a pfsense!!
Devo dire che endian era più USER FRIENDLY, mentre sto incontrando diverse noie a configurarmi pfsense!!
Certe cose su endian le facevi con 2 passaggi... Su pfsense, per le stesse ne occorrono 10!!

Questo è per fare un esempio!!


Sent from my iPhone using Tapatalk

[AMD_Edo]

Quote:

Originariamente inviato da Art83

Guarda... Come schede di rete ho una marvell Yukon giga e una dual intel giga....
Per quello che serve a me, bastava endian... Ma il problema è che non mi riconosceva la scheda marvell e solo per questo sono passato a pfsense!!
Devo dire che endian era più USER FRIENDLY, mentre sto incontrando diverse noie a configurarmi pfsense!!
Certe cose su endian le facevi con 2 passaggi... Su pfsense, per le stesse ne occorrono 10!!

Questo è per fare un esempio!!


Sent from my iPhone using Tapatalk

Non sapevo che Endian non riconescesse le Marvell... stai provando la versione 3.0 b2 o la vecchia 2.5x?

Quel che dici sull'immediatezza di Endian é verissimo... peró con pfSense trovi cose mooolto comode se devi amministrare molti utenti/reti (es. gli alias per porte/servizi/reti/ip/gruppi).

Con questo peró non dico affatto che Endian non vada bene... anzi!

Alla fine il miglior firewall é quello con cui ti trovi di piú e che quindi riesci a configurare al meglio!

[Art83]

Quote:

Originariamente inviato da AMD_Edo

Non sapevo che Endian non riconescesse le Marvell... stai provando la versione 3.0 b2 o la vecchia 2.5x?

Quel che dici sull'immediatezza di Endian é verissimo... peró con pfSense trovi cose mooolto comode se devi amministrare molti utenti/reti (es. gli alias per porte/servizi/reti/ip/gruppi).

Con questo peró non dico affatto che Endian non vada bene... anzi!

Alla fine il miglior firewall é quello con cui ti trovi di piú e che quindi riesci a configurare al meglio!

versione 3..

infatti mi trovavo molto meglio.... (ma molto molto molto) con endian, ma per il motivo di cui sopra, sono costretto a usare pfsense!!
alla fine io ho 6 utenti!!

[lorenzo.c]

Se riesci a fare a meno di un po' di controlli di alto livello (spam, antivirus) puoi provare RouterOS di Mikrotik. Qui c'e' una demo dell'interfaccia: http://demo.mt.lv/webfig/
E' gratuito con limitazioni... se non ci stai dentro la licenza costa 45$

[AMD_Edo]

Quote:

Originariamente inviato da lorenzo.c

Se riesci a fare a meno di un po' di controlli di alto livello (spam, antivirus) puoi provare RouterOS di Mikrotik. Qui c'e' una demo dell'interfaccia: http://demo.mt.lv/webfig/
E' gratuito con limitazioni... se non ci stai dentro la licenza costa 45$

Ho avuto a che fare con RouterOS e non é male... ma "aggratis" si trovano soluzioni migliori (vedi Endian Firewall e pfSense)

[Art83]

il fatto è che il firewall l'ho messo per 3 motivi fondamentalmente:
1 - gestire la dual-wan
2 - antispam
3 - content filter / antivirus

se tolgo questi o uno di loro, tanto valeva prendere un draytek o simili e via!!

purtroppo non posso evitare questo firewall.....
ora sto combattendo per configurare la opt1 (seconda wan) in failover, solo che non va!!

mi sa che devo documentarmi ancora molto!!