IPCop

[LouCypher]

sieht auch verdammt gut aus, nur beta 1.0 ich weis nicht so recht. Mittlerweilen wird mir ipcop wieder sympathischer.

Ist die einzige firewalllösung die ich kenne mit der ich die vpn traffic regeln kann und das ist bei mir viel wert. IDS find ich auch fein.

Momentan befriedigt sie gleichzeitig den spieltrieb und bietet die hohe flexibilität die ich suche.

Trotz div. addons scheint sie auch sehr stabil und sicher zu sein, aber dazu muss ich sie noch länger testen.

Zusammen mit BOT und copfilter ist ipcop eine ernsthafte konkurrenz zu den fortigates mit denen ich beruflich zu tun hab. Mal sehen wies mit der performance aussieht. DEr ressourcenverbrauch ist im vergleich zur monowall schon verdammt hoch.

[Dumdideldum]

Ich verwend IPCop jetzt schon elends lang und durch zusätzliche Addons, die ich nicht unbedingt so wie du als Frickelwerk ansehe, ist die Firewall sehr flexibel.
Einmal IPCopAddons installiert, und dann per Weboberfläche das von dir gewählte Addon uploaden, das sich dann schön integriert.


Zu den Logs:
Unter Log-Settings (Logs--> Logs-Settings) kannst du ein Häkchen setzen, dadurch wird die Reihenfolge umgedreht, und die neuesten Einträge findest du ganz oben.

Aber ich geb dir recht, da kann sich noch Vieles verbessern

Zitat:

Keine definierbaren services
Keine gruppen

Wie meinst du das genau ?

[LouCypher]

ok das mit den logs hab ich auch schon gefunden.

Mit flickwerk mein ich das zb. BOT, ohne dem ipcop imho ein ziemlicher murks ist, die "external access" und "dmz pinholes" unnötig macht weil du dort eh alles einstellen kannst. Dann kannst unter "block outgoing traffic" so gut wie alles einstellen auch incoming usw. obwohl der button outgoing heisst. Wenn du wie ich, copfilter und die von dir beschriebenen addons verwendest liegt eines von beiden übern pinguin bild und ist fast unsichtbar.

Mit "definierbare services" und "gruppen" mein ich zb. das man bei anderen firewalls, tcp und udp ports gruppieren kann, einen namen geben und dann bei den regeln auswählen kann anstatt für jeden einzelnen port eine eigene regel zu erstellen. Mit BOT funzt das eh.

Aber unterm strich ist das eine wirklich feine software. Muss nur noch die performance testen ich glaub nicht das ein p3 für 100mbit zw. green und orange ausreicht. Eventuell sollte ich auch die cpu lastigen realtek nics gegen 3com nics tauschen.

[LouCypher]

Hat schon wer ein addon für statische routen gefunden? Mir ist klar dass ich sie unter /etc/rc.d/rc.local einragen kann, aber ich hättes es gern via webinterface.

[Dumdideldum]

ein P3 reicht auf alle Fälle, der einzige Flaschenhals könnte der RAM sein, aber ab 128 bzw. 256 brauchst dir keine Sorgen machen.

Es hängt einzig und allein von der Anzahl der Clients, die gleichzeitig zugreifen werden, ab.

Ich z.B. betreib IPCop auf einem P1 mit 120 MHz und 48 MB Ram, und es funzt prächtig (mit 3 Clients).

Ich bin mir sicher, dass ein top bei voller Last kaum CPU Auslastung zeigen wird.
Ein Addon für static route wär für einen perl Coder sicher eine Frage von ein paar Minuten, vielleicht findest einen

[Preacher]

portsentry und hostsentry

[LouCypher]

Zitat:

Original geschrieben von Dumdideldum

Ich z.B. betreib IPCop auf einem P1 mit 120 MHz und 48 MB Ram, und es funzt prächtig (mit 3 Clients).

mehr als 10mbit kannst aber dann nicht haben ausser du verwendest gute nics. Mein ipcop braucht momentan nach 18std uptime 207mb ram tendenz steigend.


@preacher: versteh nicht? Sind beides doch nur addons für eine normale linuxinstallation, oder hab ich was falsch verstanden?

[Dumdideldum]

Zitat:

Original geschrieben von LouCypher
[b]mehr als 10mbit kannst aber dann nicht haben ausser du verwendest gute nics. Mein ipcop braucht momentan nach 18std uptime 207mb ram tendenz steigend.

Da hast du Recht, NICs sind 3com pcmcia und ich hab noch ein altes 10MBit BNC Netzwerk .
Ich kann mir beim besten Willen nicht vorstellen, dass ein 100 MBit Netz die CPU Belastung hochtreibt.
Der routet die Anfragen ja nicht innerhalb des LANs, du wirst ja einen Switch hängen haben

Linux Distris belegen doch standardmäßig immer ziemlich den gesamten Speicher. Schalt halt mal den Webproxy ab und beobachte, ob sich der RAM-Verbrauch senkt.

In Anbetracht dessen, dass viele IPCop User ein LAn von ein paar Hundert Clients erfolgreich an einem schwachbrüstigen Rechner betreiben, glaube ich nicht, dass das Routing so viel CPU Time verbraten kann.

Schau dir mal Status--> System-Graphs an und schau nach, wie die Lastenverteilung der CPU ist.
Ich kann mir nicht vorstellen, dass da die CPU auch nur annähernd ausgelastet ist

[LouCypher]

kenn die daten bisher nur von der ressourecnschonenden monowall.

p3 450 - 30-40mbit
p3 1ghz - 100mbit
p4 2,8 - 1gbit

Allerdings gehts hier um den firewall transfer im lokalen netz zb. grün nach orange. Die wenigsten haben das glück von grün nach rot tatsächlich 100mbit ausnützen zu können .

Bei der ipsek leistung wirds vermutlich noch schlimmer sein nur das ich mit meinen 0,5mbit upload dieses limit nicht wirklich testen kann. Desshalb sind in leistungsfähigen appliances auch eigene encoder für zb. AES256 verbaut, der pentium ist dafür nicht geschaffen.

Was den ram angeht, ohne proxy warens um die 120-130mb

[zigeina]

IpCop mit P90 und 48 MB RAM
700MB Platte

3 NICS Realtek: WAN, WLAN (mit angehängtem AP) , LAN

LAN: SWITCH (irgendso ein alter Riesen Switch von BAY Networks)

bis zu fünf Clients....

und noch überaupt kein Problem mit dem Durchsatz

Clients: 1 XP Laptop, 2 mal Win98 PC, einmal W2000 Fileserver, 1 ctVDR (Linux Sat Receiver)

der Proxy ist transparent, IDS eingeschaltet,
--> swapt ein bischen
ohne Proxy und ohne IDS, kommt mit den 48 MB komplett aus.

Die Konfigurationsseiten sind aber halt langsam :P


sonstige Erfahrungen.

Installieren, Konfigurieren, vergessen (ab und zu natürlich logs anschauen,...gg)