IPCop
 

kennt wer eine gute gnu alternative, ipcop ist mir von den firewalloptionen her zu schwach und hat auch sonst recht viele schwächen.

Firewall:
Keine deny regeln,
Keine outgoing regeln,
Keine definierbaren services,
Keine gruppen,
Kein scheduler usw...

Logs:
Lassen sich nicht nach sortieren, neueste sind immer ganz unten um sie zu lesen muss man endlos blättern.

Keine statischen routen usw.

Mir ist natürlich klar das man alles über die konsole bzw. durch addons (zb. BOT) erreichen kann nur wird das ganze dadurch ein ziemliches flickwerk.

Ausserdem suche ich nach einer lösung den traffic durch ein vpn zu kontrollieren. Hab eine vpn in die firma, von wo aus vpns zu den kunden gehen. Ich kann nun auf die kundenrechner zugreifen, was ja auch gut ist allerdings gehts auch umgekehrt und das will ich unterbinden.

Bin von beruflicher seite her mit fortigates verwöhnt und hätte nun gern ein ähnlich mächtiges gerät daheim und dass ohne kosten ;) .

da gibt es zig fertige iptables, shorewall etc. oder ist das nicht das wahre ;)

schau mal hier nach ...

oder sonst noch:

http://www.m0n0.ch/wall/ ist sehr stabil

oder

http://www.pfsense.com/ imho noch nicht ganz ausgereift

ciao derweil

@rev.antun: link kapier ich nicht



monowall sieht fein aus danke werd ich mir mal ansehen danke :bier:

Benutze selbst Shorewall auf einem dedizierten Server ...

http://www.shorewall.net/

Funzt sauber.

da hast einige scrips die kannst dir nach belieben anpassen ;)

@rev. 2 mal http: sollte man nicht eintragen, könnte auch daran liegen, dass VBulletin ein http: zuviel zugefügt hat.

warum aber danach die Homepage vom Spiegel sich geöffnet hat, muss ich noch testen

PS: Link korregiert

[OT]sorry :( hab den link nachträglich nicht mehr angesehn - sapperlot, das passiert aber auch eher seltener :rolleyes:[/OT]

so hab jetzt die monowall getestet. Muss sagen wirklich fein und ausgereift. Das perfekte system für eine appliance.

Werd aber fürs erste bei ipcop bleiben weil:

-hab mittlerweilen rausgefunden wie ich den traffic durch die vpn tunnel regeln kann, bei der monowall geht das nicht.

-monowall kann momentan nur mit 802.11b geräten

-hat keinen virenschutz und kein IDS

Was die shorewall bzw. die iptables script dinger angeht, ich will ein GUI, nachdem es sich hier zum großteil um eine testumgebung handelt die permanent umkonfiguriert wird. Will nicht bei jeder änderung endlos nach tippfehlern oder sonstigen syntax murks suchen.

Spiel mich damit erst seit gestern rum bin also noch ziemlich hin und hergerissen, einen moment ist alles super den nächsten alles mist :D .

Kennt wer ein pptp server addon für den ipcop? Hab bisher keines gefunden.

hehe, kann dich gut verstehen ...

ich suche auch schon lange nach einer für mich idealen lösung, die auch stabil ist.

da bin ich dann eben auch auf pfsense gekommen, da die pf von openbsd verwenden;
aber so stabil ists halt leider noch nicht ...

es wäre ja ipcop auch ganz nett, nur trau ich gerade bei einer firewall diesen addons nicht so ganz :(

daher bin ich wieder zu openbsd zurückgekehrt und frickle halt herum ;)
ohne gui aber dafür sicher und stabil ...

teste aber vielleicht doch auch mal die pfsense ( ist schon länger her bei mir; möglicherweise läuft sie ja schon besser? )
von den features her:
http://www.pfsense.com/index.php?id=26
doch einen blick wert, oder?!?

sieht auch verdammt gut aus, nur beta 1.0 ich weis nicht so recht. Mittlerweilen wird mir ipcop wieder sympathischer.

Ist die einzige firewalllösung die ich kenne mit der ich die vpn traffic regeln kann und das ist bei mir viel wert. IDS find ich auch fein.

Momentan befriedigt sie gleichzeitig den spieltrieb und bietet die hohe flexibilität die ich suche.

Trotz div. addons scheint sie auch sehr stabil und sicher zu sein, aber dazu muss ich sie noch länger testen.

Zusammen mit BOT und copfilter ist ipcop eine ernsthafte konkurrenz zu den fortigates mit denen ich beruflich zu tun hab. Mal sehen wies mit der performance aussieht. DEr ressourcenverbrauch ist im vergleich zur monowall schon verdammt hoch.

Ich verwend IPCop jetzt schon elends lang und durch zusätzliche Addons, die ich nicht unbedingt so wie du als Frickelwerk ansehe, ist die Firewall sehr flexibel.
Einmal IPCopAddons installiert, und dann per Weboberfläche das von dir gewählte Addon uploaden, das sich dann schön integriert.


Zu den Logs:
Unter Log-Settings (Logs--> Logs-Settings) kannst du ein Häkchen setzen, dadurch wird die Reihenfolge umgedreht, und die neuesten Einträge findest du ganz oben.

Aber ich geb dir recht, da kann sich noch Vieles verbessern :)

Wie meinst du das genau ?

ok das mit den logs hab ich auch schon gefunden.

Mit flickwerk mein ich das zb. BOT, ohne dem ipcop imho ein ziemlicher murks ist, die "external access" und "dmz pinholes" unnötig macht weil du dort eh alles einstellen kannst. Dann kannst unter "block outgoing traffic" so gut wie alles einstellen auch incoming usw. obwohl der button outgoing heisst. Wenn du wie ich, copfilter und die von dir beschriebenen addons verwendest liegt eines von beiden übern pinguin bild und ist fast unsichtbar.

Mit "definierbare services" und "gruppen" mein ich zb. das man bei anderen firewalls, tcp und udp ports gruppieren kann, einen namen geben und dann bei den regeln auswählen kann anstatt für jeden einzelnen port eine eigene regel zu erstellen. Mit BOT funzt das eh.

Aber unterm strich ist das eine wirklich feine software. Muss nur noch die performance testen ich glaub nicht das ein p3 für 100mbit zw. green und orange ausreicht. Eventuell sollte ich auch die cpu lastigen realtek nics gegen 3com nics tauschen.

Hat schon wer ein addon für statische routen gefunden? Mir ist klar dass ich sie unter /etc/rc.d/rc.local einragen kann, aber ich hättes es gern via webinterface.

ein P3 reicht auf alle Fälle, der einzige Flaschenhals könnte der RAM sein, aber ab 128 bzw. 256 brauchst dir keine Sorgen machen.

Es hängt einzig und allein von der Anzahl der Clients, die gleichzeitig zugreifen werden, ab.

Ich z.B. betreib IPCop auf einem P1 mit 120 MHz und 48 MB Ram, und es funzt prächtig (mit 3 Clients).

Ich bin mir sicher, dass ein top bei voller Last kaum CPU Auslastung zeigen wird.
Ein Addon für static route wär für einen perl Coder sicher eine Frage von ein paar Minuten, vielleicht findest einen :D

portsentry und hostsentry

mehr als 10mbit kannst aber dann nicht haben ausser du verwendest gute nics. Mein ipcop braucht momentan nach 18std uptime 207mb ram tendenz steigend.


@preacher: versteh nicht? Sind beides doch nur addons für eine normale linuxinstallation, oder hab ich was falsch verstanden?

Da hast du Recht, NICs sind 3com pcmcia und ich hab noch ein altes 10MBit BNC Netzwerk :D.
Ich kann mir beim besten Willen nicht vorstellen, dass ein 100 MBit Netz die CPU Belastung hochtreibt.
Der routet die Anfragen ja nicht innerhalb des LANs, du wirst ja einen Switch hängen haben :confused:

Linux Distris belegen doch standardmäßig immer ziemlich den gesamten Speicher. Schalt halt mal den Webproxy ab und beobachte, ob sich der RAM-Verbrauch senkt.

In Anbetracht dessen, dass viele IPCop User ein LAn von ein paar Hundert Clients erfolgreich an einem schwachbrüstigen Rechner betreiben, glaube ich nicht, dass das Routing so viel CPU Time verbraten kann.

Schau dir mal Status--> System-Graphs an und schau nach, wie die Lastenverteilung der CPU ist.
Ich kann mir nicht vorstellen, dass da die CPU auch nur annähernd ausgelastet ist :confused:

kenn die daten bisher nur von der ressourecnschonenden monowall.

p3 450 - 30-40mbit
p3 1ghz - 100mbit
p4 2,8 - 1gbit

Allerdings gehts hier um den firewall transfer im lokalen netz zb. grün nach orange. Die wenigsten haben das glück von grün nach rot tatsächlich 100mbit ausnützen zu können :D .

Bei der ipsek leistung wirds vermutlich noch schlimmer sein nur das ich mit meinen 0,5mbit upload dieses limit nicht wirklich testen kann. Desshalb sind in leistungsfähigen appliances auch eigene encoder für zb. AES256 verbaut, der pentium ist dafür nicht geschaffen.

Was den ram angeht, ohne proxy warens um die 120-130mb

meine bescheidene meldung dazu
 

IpCop mit P90 und 48 MB RAM
700MB Platte

3 NICS Realtek: WAN, WLAN (mit angehängtem AP) , LAN

LAN: SWITCH (irgendso ein alter Riesen Switch von BAY Networks)

bis zu fünf Clients....

und noch überaupt kein Problem mit dem Durchsatz

Clients: 1 XP Laptop, 2 mal Win98 PC, einmal W2000 Fileserver, 1 ctVDR (Linux Sat Receiver)

der Proxy ist transparent, IDS eingeschaltet,
--> swapt ein bischen
ohne Proxy und ohne IDS, kommt mit den 48 MB komplett aus.

Die Konfigurationsseiten sind aber halt langsam :P


sonstige Erfahrungen.

Installieren, Konfigurieren, vergessen (ab und zu natürlich logs anschauen,...gg)

@loucypher:
Mich würde es brennend interessieren, welche Last die CPU im Vollbetrieb anzeigt.
Denn ich harre nach wie vor auf den Standpunkt, dass du die volle CPU Power nicht verbraten wirst, solange du das nicht künstlich herbeiführst :D

kann den vollbetrieb momentan nicht testen, morgen kommt mein epia board dann folgen die perfomancetests.

Die werte stammen auch nicht von mir sondern von: http://doc.m0n0.ch/handbook/hardware-sizing.html

Heute nacht hab ich extrem gesaugt (24:00-6:00), das warens 10% auslastung von rot nach grün bei einem p3 933mhz bei kostanten 260kbit/sek.

sonst liegt die durchschnittliche cpu nutzung bei etwa 2%.

Bei aktiviertem IDS, Snort usw schätz ich mal ?
Sobald du testen kannst, bitte posts rein. Möcht das unbedingt wissen :)

Hab das jetzt mal bei mir ausprobiert.
Bei etwas über 300 kb/s von Rot nach Grün, daneben Surfen und ausgeschaltetem Snort war die CPU Last über längere Zeit zwischen 40 und 50 Prozent.
Wie gesagt ein P1 mit 120 MHz, 48MB RAM und 2 alten 3com pcmcia Karten.
(alles 10 MBit)

Ich hab also die CPU Belastung unterschätzt - insofern könntest du recht haben - obwohl zwischen P1 und P3 ja doch ein Unterschied liegt, und zwar ein gehöriger.