SO dedicato a Debian per SOHO Firewall? [chiuso]

Naviga le tue risposte
3

Voglio configurare un firewall per un piccolo ufficio. Ho un server su cui posso installare un SO di mia scelta. Stavo pensando di provare pfSense ma ho incontrato alcuni problemi di test e ho provato IPFIre (basato su Linux). Quindi mi riferirò solo all'ultimo qui.

IPFIre è facile e veloce da configurare tramite l'interfaccia web. Tuttavia, quando si tratta di configurare alcuni strumenti (come l'inoltro di rsyslog, un IDS Suricata, altri strumenti a cui potrei pensare in seguito), preferirei usare la normale CLI e terminale piuttosto che un'interfaccia web che non controllo completamente /capire. Inoltre, impostare le cose direttamente da un terminale in IPFire mi sembrava complicato (almeno diverso dal Linux che conosco e non così documentato).

Queste considerazioni potrebbero essere errate in quanto non ho studiato molto il caso.

La mia domanda è: sarebbe una cattiva idea costruire il mio firewall da Debian 8 (usando iptables e altri strumenti rilevanti, come il proxy / filtro Squid, Suricata all'interno dell'ufficio, ecc.)?

MODIFICA 1: Posso impiegare il tempo necessario per costruire un firewall di questo tipo e avere una certa conoscenza (direi abbastanza) in iptables. I requisiti per il firewall sono abbastanza elementari. Per quanto riguarda il traffico, un bridge OpenVPN e HTTP (S).

Mi chiedo se queste distribuzioni firewall (IPFire, pfSense, ecc.) avessero protezioni specifiche che sarebbero state molto difficili / impossibili da implementare in un "normale" sistema operativo Linux come Debian.

    
posta Bamse 07.06.2016 - 10:04
fonte

2 risposte

1

Tutti i sistemi che ho visto (sia dedicati, simili a appliance o "helper" nelle normali distribuzioni) si riducono a costruire una configurazione iptables .

Il vantaggio di seguirli è che non si ha assolutamente, subito, di comprendere tutti i dettagli quando si utilizza una configurazione di esempio predefinita, ben documentata.

Ciò che cerchi ad esempio in un'installazione di base shorewall , la configurazione creata è ENORME rispetto a quello che avresti pensato tu stesso ( quando non sei esperto). Un SO di appliance impacchetterà le cose per te e le renderà forse più semplici. Non aggiungono altro, tecnicamente parlando (cioè nessuna funzionalità firewall speciale che non avresti con un sistema operativo configurato correttamente e iptables ).

La mia opinione personale è di optare per la soluzione di supporto OS + iptables , imparerai molto nel processo. Potrebbe essere necessario regolare il kernel, ma ancora una volta, questo è parte dell'apprendimento.

Come nota a margine, ho esaminato di recente diverse GUI per gestire iptables . Ho scoperto che non ce ne sono di moderni (quelli esistenti sono vecchi o abbandonati) mentre quelli CLI sono solidi ( shorewall e firehol sono due che ho trovato interessanti).

    
risposta data 07.06.2016 - 12:48
fonte
1

Parlando dall'esperienza, ho sia un paio di Fws PfSense sia un Debian 8 con IPsec VPN + iptables.

Mettendo tutti insieme, ci vorrebbe più o meno nello stesso tempo.

Il vantaggio di PfSense è che lo hai impostato una volta, ed è praticamente impostato e dimenticato, a parte gli aggiornamenti.

La casella Debian impiega molto più tempo a perfezionare l'installazione e la manutenzione.

Per quanto riguarda la mia casella Debian, in realtà è un router open source, un Lamobo R1

Sì:

  • Instradamento Internet
  • VPN
  • cache DNS + dnscrypt
  • DHCP
  • VoIP
  • tor

Preferisco una VPN IPsec a OpenVPN poiché l'ho configurato come completamente compatibile con OS / X e iOS, e quindi utilizzo le loro funzionalità native invece di installare software aggiuntivo.

Potresti anche prendere in considerazione una soluzione mista di un firewall Debian 8 e pfsense per le VPN. Le VPN sono più difficili da ottenere correttamente, e con le esercitazioni giuste e un po 'di abilità di rete, puoi facilmente mettere insieme VPN compatibili con le VPN native di OS / X, iPhone Android 4.xe Windows 7-10 .

    
risposta data 07.06.2016 - 13:12
fonte

Leggi altre domande sui tag

Come accettare l'input dell'utente per l'utilizzo nel terminale in modo sicuro? Possibili misure di sicurezza da mettere in atto prima di consentire la condivisione dello schermo