TIPS på linuxbrandvägg

[Louie]

Hejdär!

Jag söker tips och idéer på en enkel men kraftfull (ovanligt eller hur!) brandvägg som kör linux.
Det är ett stort samtalsämne på mitt jobb och många olika lösningar rabblas upp. Jag vill ha en linuxlösning som bygger på öppen källkod. Gärna med Port & ip-filtrering.

Kom gärna med förslag och idéer.

såg en artikel om vyatta på IDG men inget jag har hunnit testa.

Vad har ni att ge!

MVH
Louie

[KiviE]

Inte linux men bättre brandvägg än pf i OpenBSD får du nog inte

[Louie]

Inte linux men bättre brandvägg än pf i OpenBSD får du nog inte

kändes inte riktigt användarvänligt.

Jag söker snarare något som har ett begripligt och bra administrationsgränssnitt.

[andol]

Vad säges om m0n0wall då?

(Webb-GUI, FreeBSD, PF)

[Louie]

Vad säges om m0n0wall då?

(Webb-GUI, FreeBSD, PF)

Ah, ser betydligt bättre ut , något man lägger på BSD?

Är det möjligt för det att känna av och blockera t.ex Skype/torrent-trafik?

[northface]

Sen har du pfsense en fork av monowall - lite tyngre men med fler möjligheter
http://www.pfsense.com/

[Louie]

Lite mer att gå på

Någon som har testat http://www.untangle.com/ bygger visst på debian.
Ska sätta upp en maskin i veckan och prova lite har jag tänkt.

MVH
Louie

[KiviE]

Vad säges om m0n0wall då?

(Webb-GUI, FreeBSD, PF)

Ah, ser betydligt bättre ut , något man lägger på BSD?

Är det möjligt för det att känna av och blockera t.ex Skype/torrent-trafik?

M0n0wall kör med pf numera? visste jag inte, vad trevligt.

På http://www.openbsd.org/faq/pf/ står det mesta som pf kan göra.

[northface]

Astaro - "all-in-one" solution
http://www.astaro.com/our_products/asta ... ty_gateway

Is there a home use license available and how do I get one?
Home use licenses are available via MyAstaro and include all subscriptions at no cost. Home user licenses are limited to ten protected IP addresses.
https://www.astaro.com/license/home

[KiviE]

ipcop är en brandväggsdistro jag körde med ett tag, fungerar rätt bra.

[jsiei97]

Astaro - "all-in-one" solution
http://www.astaro.com/our_products/asta ... ty_gateway

Is there a home use license available and how do I get one?
Home use licenses are available via MyAstaro and include all subscriptions at no cost. Home user licenses are limited to ten protected IP addresses.
https://www.astaro.com/license/home

Lömskt det där med reklam, Astaro är en stor sponsor av Security now (http://www.grc.com/securitynow.htm)
podradion som jag brukar lyssna på i bilen på väg till jobb....

Men detta svar fick mig att undra om det är det någon som använt den? Är den bra?
Hur klarar den sig mot de andra i "samma klass"?

Mvh Johan

[janne-5011]

vill Du ha det enkelt så:

Kod: Markera allt

sudo apt-get install firestarter

enkelt att dela ut internet och enkelt öppna/blocka portar,enkelt lättfattligt gränssnitt
går ju fort ta bort onödiga processer,fönsterhanterare mm om det behövs pga prestanda.

[Louie]

Nu börjar det bli många alternativ här.
Glöm inte att det jag efterfrågar är inte en vanlig brandvägg som kan blockera valda portar utan snarare kan känna av att - AHA, här är skypetrafik! Det blockerar jag.
Blockera och öppna enskilda portar så duger nästan vad som helst.

/Louie

[Rune.K]

Zorp is a new generation firewall. It is essentially a transparent proxy firewall,
with strict protocol analyzing proxies,

http://packages.debian.org/sid/zorp

Hittade ovanstående i pakethanteraren i Debian Sid.

[northface]

http://l7-filter.sourceforge.net/

[rancor]

Nu börjar det bli många alternativ här.
Glöm inte att det jag efterfrågar är inte en vanlig brandvägg som kan blockera valda portar utan snarare kan känna av att - AHA, här är skypetrafik! Det blockerar jag.
Blockera och öppna enskilda portar så duger nästan vad som helst.

/Louie

Det är rätt avancerat att använda sådana funktioner som analyserar layer 3. Ofta kräver dem mycket underhåll och man tröttnar på att analysera loggar och så faller det ganska så kort efteråt.

Kanske är det bara lättare att endast tillåta vissa portar utåt även om många applikationer kan ändras så man använder t.ex. port 80 för Skype eller att man tunnlar och lurar systemet vilket är en nackdel men oavsett så hade jag gjort en tunnel på port 443 mot någon trevlig server och kört en proxy över ssl vilket gör att den blir väldigt svår att spärra för liknande system.

Finns det någon speciell anledning eller är det bara gammal hederlig paranoia?

// rancor

[Louie]

Det är mer eller mindre ett krav att det ska kunna administreras via ett webbgränssnitt för att kunna fungera i alla operativsystem.
Anledningen till att jag söker detta är för att det är tänkt att använda på en del skolor som brandvägg. Sitter 300elever och kör skype eller spotify blir det ganska slött på nätverket.

Alltså;
Webbadministrerat.
Helst gratis om inte för en bra peng.
Kunnda spärra trafik likt, Skype, Torrent, IRC, MSN, Spotify.

En tävlare i racet är http://www.kerio.com/kwf_home.html
något som jag inte vill behöva använda pga att det är windows..

Så gärna mer förslag som kan matcha.
Untangle verkar kunna hänga med i matchen. Någon som har provat eller vet liknande brandväggsdistar som är lättadministrerade.

[Louie]

Har testat pfsense nu, verkar vara en otroligt kompetent brandvägg tyvärr hittade jag ingen riktig portinspektor som analyserade trafiken som skickades för att ta reda på vad som får passera eller inte. Verkar snarare som att Untangle kan lösa det bättre.

[Barre]

Astaro - "all-in-one" solution
http://www.astaro.com/our_products/asta ... ty_gateway

Is there a home use license available and how do I get one?
Home use licenses are available via MyAstaro and include all subscriptions at no cost. Home user licenses are limited to ten protected IP addresses.
https://www.astaro.com/license/home

Lömskt det där med reklam, Astaro är en stor sponsor av Security now (http://www.grc.com/securitynow.htm)
podradion som jag brukar lyssna på i bilen på väg till jobb....

Men detta svar fick mig att undra om det är det någon som använt den? Är den bra?
Hur klarar den sig mot de andra i "samma klass"?

Mvh Johan

Jag använder "home license" varianten och är väldigt nöjd.
Väldigt proffsigt uppläggning på administrationen och de flesta protokoll är upplagda per default.
har en transparent proxy funktion om man vill spärra vissa typer av web-sidor och / eller virus kontroll på filer innan de slussas ner till användarna.
Jag har lagt upp tre ben i min, Internet - LAN - Wireless för att kunna ha olika typer av regler och segment.
Det som inte följer med i Home licens är klusterfunktionallitet och det är kraftigt begänsat med IP-adresser som den kan skydda.

Enkel och effektiv...
4 av fem tummar

[northface]

Då Untangle har L7-filter tror jag faktiskt att den kan uppfylla dina önskemål.