Firewall Appliance + ServerSystem (selfmade)

D€NNIS

D€NNIS

Pharao
Thread Starter
Mitglied seit
25.12.2003
Beiträge
4.098
Grüße,

ich wollte mir mal nen aktuellen Überblick darüber verschaffen was momentan an Hardware für das von mir angedachte Vorhaben zur Verfügung steht.

Undzwar dreht es sich um folgendes:

Ich zieh demnächst um und hab in unserer neuen Behausung frühzeitig dafür gesorgt das Cat7 auf Unterputzdose verlegt wird. Das Ganze leg ich dann auf n 8er Patchfeld auf und hab dann ne saubere Verkabelungsbasis fürn flottes heimisches LAN.

Ich möchte ganz gerne weg von Consumer SPI Routern a la Fritzbox etc. und mir ne kleine Appliance basteln die auf PF oder IPTables basiert.

Ich hab vor geraumer Zeit mal n bissel recherchiert und dort sind mir folgende Möglichkeiten ins Auge gefallen:

- ALIX
- Soekris
- Supermicro X7SPA-HF, ICH9R (dual PC2-6400S DDR2) | Geizhals.at Deutschland

Die ALIX wäre in der Anschaffung inkl. Enclosure sehr günstig.
Die Geode CPU ist allerdings alles andere als flott. Ein bisschen PacketFiltering ist zwar kein Problem aber etwas mehr Luft nach oben hin ohne das der Energieverbrauch exorbitant ansteigt wäre sehr gut.
Bei Soekris warte ich auf die Neuvorstellung der net6xxx die leider noch auf sich warten lässt.
Das Supermicro wäre vom Prinzip her ne gute Alternative aber eventuell habt ihr ja noch andere Ideen.

Manch einer hier greift vielleicht auch auf Pinetrail oder Brazos zurück allerdings sind die meisten Boards eher multimedial ausgerichtet und besitzen oftmals nur eine Ethernet Schnittstelle.

Hinzu kommt ein kleiner komptakter energiesparender Server auf dem Debian oder n BSD mit nem MTA (Postfix oder Exim) laufen soll zuzüglich SSH und eventuell anderer Spielereien. (WebDAV über Apache2 ich weiß noch nicht)

Ich könnte also einerseits ne ALIX als Basis für die Firewall Appliance heranziehen und das Supermicro für nen extra Server als Grundlage nehmen.
Eventuell habt ihr aber auch noch ganz andere Ideen die ich bisher noch nicht in Betracht gezogen habe.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Gibt doch bestimmt viele unter euch die ähnliches vor haben / vor hatten.
Bin für jede Art von Erfahrungsbericht oder Alternativvorschlag dankbar.
 
Ich hatte vor einiger Zeit sowas ähnliches gemacht. Allerdings als reiner Router ohne großartigen Firewallkram (die wird von nem anderen System dahinter übernommen). Hatte dafür auf ein Mini ITX Board von iBase mit zwei NICs verwendet (hatte ich hier noch rumliegen) sowie einen Celeron M und 256MB RAM. Auslastung liegt eigentlich fast bei 0. Der Datendurchsatz liegt bei knapp 100 Mbit (auf dem Board ist eine Gbit und einen 100Mbit Karte)

Schau mal hier, da hatte ich das System mal vorgestellt
 
Die Frage ist wie wichtig ist das Stromsparargument wirklich. Denn richtig dolle Stromsparend wird auch richtig teuer in der Anschaffung. Da muss die Kiste Jahre tuckern bis die Anschaffungskosten überhaupt wieder rein kommen. Und da sind mögliche Ersatzteile bei Defekt gar nicht mit drin.

Die SM Lösung oben ist von der Anschaffung ohne alles schon mal extrem weit oben. Steht in meinen Augen in keinem Verhältnis zur Stromeinsparung.
Ich verwende bei mir nen alten untertakteten Athon XP 1800+, dazu drei NICs und 1GB RAM. Installiert ist ein IPCop in der letzten Version auf ner 8GB CF Card mit CF to IDE Adapter.
Das ganze Teil braucht sicher seine 50-60W bei normalem Betrieb ohne groß Last.

Rechnet man so ein 170€ Board + nötigen SODIMM + Effizientes NT (vllt gar Pico PSU) mit gegen, kommt man in der Anschaffung dicke auf 300€+
Und man wird immernoch 20-25W verbrauchen...

Bei groben 25Cent pro kWh braucht es da alleine 6 Jahre 24/7 Betrieb um 300€ Anschaffungskosten mit 25W Verbrauchsvorteil (50W vs. 25W) auszugleichen...
Ob es das lohnt?

Was will ich damit sagen... Vllt ist es auch eine Überlegung irgend ein günstig billig Board (P3, P4, Athlon, Athlon XP oder gar A64) zu besorgen bei Ebay/gebraucht oder wo auch immer für nen Appel und ein Ei...
Wer weis was in sechs Jahren mal ist. Da sind die Bedürfnisse vllt ganz anders (weil da jeder GBit Glas bis ins Haus hat oder weis der Geier ;)) Es muss also wieder neugekauft werden usw.
 
Zuletzt bearbeitet:
also fuer eine reine firewall reicht ein alix board locker. meines hat maximal 5% cpulast.
ein bekannter verwendet ein alix board + usb festplatte als torrent downloads pc (rtorrent + apache)
 
Ich erwarte von der Investition auch nicht zwingend das es sich durch geringe Energiekosten wieder amortisiert.
Als Schüler damals hätte ich sicher auch zum naheliegenden gegriffen und mir aus ausgemusterter Hardware was passendes gebastelt mittlerweile möchte ich aber etwas kompaktes haben das speziell für diese Zwecke vorgesehen ist da ich einfach finde das ne simple Firewall keinen Energieverbrauch von 50-60 Watt haben sollte unabhängig dessen das die momentanen Strompreise es noch nicht nötig machen sich darüber den Kopf zu zerbrechen.

Das Supermicro wäre auch nicht die sparsamste Variante da das System letztendlich mit Atom D510 auch bei guten 20Watt liegen würde eher Richtung 30.
Dafür hat es zweimal intel basierendes GB LAN was durchaus n Vorteil gegenüber anderer Lösungen ist.

Soekris Engineering > net6501 wäre nahezu perfekt allerdings dürften die Kosten meine Vorstellungen etwas übersteigen.
 
D€NNIS schrieb:
Ich erwarte von der Investition auch nicht zwingend das es sich durch geringe Energiekosten wieder amortisiert.
Als Schüler damals hätte ich sicher auch zum naheliegenden gegriffen und mir aus ausgemusterter Hardware was passendes gebastelt mittlerweile möchte ich aber etwas kompaktes haben das speziell für diese Zwecke vorgesehen ist da ich einfach finde das ne simple Firewall keinen Energieverbrauch von 50-60 Watt haben sollte unabhängig dessen das die momentanen Strompreise es noch nicht nötig machen sich darüber den Kopf zu zerbrechen.

Das Supermicro wäre auch nicht die sparsamste Variante da das System letztendlich mit Atom D510 auch bei guten 20Watt liegen würde eher Richtung 30.
Dafür hat es zweimal intel basierendes GB LAN was durchaus n Vorteil gegenüber anderer Lösungen ist.

Soekris Engineering > net6501 wäre nahezu perfekt allerdings dürften die Kosten meine Vorstellungen etwas übersteigen.
Zum Vergrößern anklicken....

Also kann man schon sagen, du willst das ganze nur Spaßeshalber bauen ;)
Wenn es also nicht darum geht, die Anschaffungskosten mit dem Stromverbrauch rechtzufertigen, dann findet man schon so ganz paar näkische Sachen.
Wobei ich persönlich wohl auf ein kleines mini ITX Board mit PicoPSU und externem Notebook NT gehen würde.
Dazu irgend ein mini ITX Case mit Erweiterungsslot und passender RiserCard. So bekommt man idR auch zwei NICs raus aus dem Teil (eine davon OnBoard)

Oder halt gleich was richtiges... Wir verwenden beispielsweise auf der Arbeit Nortel Contivity Geräte als Router (können auch IPSec und spielen Firewall)
Das Gerät ansich kost in der kleinen Ausführung (Contivity 1010) mit 2x 100MBit + Console um die 120€ wenn ich das recht in Erinnerung hab.
Das einzige was man zukaufen muss wäre die Lizenz für die Firewall. Und schon hat man was richtiges ;)

Hardware die drunter tuckert ist irgend eine P3 Hardware... Niedrig getaktete CPU, CF Card und SODIMM.
Verbrauch dürfte was im Bereich 20W rum liegen...
 
@ulukay: Bei dem von dir vorgeschlagenem Board hätte man dann aber nur 2x 100Mbit. Wenn der TA damit auskommt, sollte so ein Board reichen.

@D€NNIS: Falls du, wie von fdsonne vorgeschlagen etwas auf P3 Ebene machen willst, schau mal in meinen Verkaufsthread in meiner Sig.
 
ulukay schrieb:
PC Engines ALIX.2D2 System Board
da, reicht vollkommen ;) (plus ne flash karte)
# Leistungsaufnahme: ca. 4-5W (ohne Erweiterungskarten und ohne Festplatte)
Zum Vergrößern anklicken....

Kann man bei der Kiste RAM nachrüsten? Sowas könnt für mich interessant werden. Plane zwar nicht umzusteigen, aber bei 4-5W ohne Zusatzkarten ist das schon deutlich weniger als meine aktuelle Geschichte.

Ein IPCop mit CF Card Installation und RAM Disk würden aber 512MB gut tun...
 
nope
was laeuft denn bei einer ipcop alles wenn man mehr als 256mb ram braucht?
ich hab nen kompletten linux server mit rtorrent, apache, proxy, nfs, ssh, vpn usw. und der brauch grad mal 97mb ram.
 
Also kann man schon sagen, du willst das ganze nur Spaßeshalber bauen
Zum Vergrößern anklicken....

Nene wenn das der Fall wäre dann würde ich auch echt meine alte Hardware die hier noch rumfliegt dafür heranziehen aber es soll schon vernünftig und dauerhaft im neuen Haus laufen.

Kann man bei der Kiste RAM nachrüsten?
Zum Vergrößern anklicken....

Ne das bietet die ALIX nicht.

also fuer eine reine firewall reicht ein alix board locker. meines hat maximal 5% cpulast.
Zum Vergrößern anklicken....

Was routet deine ALIX?
Eine asymetrische DSL Verbindung mit wievielen Nodes?
Ich hab ja so meine Bedenken ob es nicht mit ner VDSL Anbindung schon schwer wird für Geode.
 
D€NNIS schrieb:
Was routet deine ALIX?
Eine asymetrische DSL Verbindung mit wievielen Nodes?
Ich hab ja so meine Bedenken ob es nicht mit ner VDSL Anbindung schon schwer wird für Geode.
Zum Vergrößern anklicken....

nicht viel - ne adsl mit maximal 7 clients
in meiner alten firma hatten wir nen p3 700 - da liefen alle moeglichen server (und services) drueber - u.a. der hauptmailserver usw... cpu war da auch nie ausgelastet (also ueber 5%).
das trifft dich wohl erst bei 100mbit :fresse:

edit:
1.4.*Choosing Your WRAP/ALIX Hardware

Soekris net4501, WAN <-> LAN TCP throughput of about 17 Mbps, including NAT
Soekris net4801, throughput in excess of 50 Mbps
PC Engines ALIX.1, throughput in excess of 90 Mbps
Soekris net5501-70 500Mhz 512M RAM, 84 Mbps
Liantec 5842 with OpenBSD 4.0, 395Mbps
New standard PCs, > 100 Mbps (depending on Ethernet cards used)
Sempron 2800+ (1.6GHz) using Intel Pro 1000 PT pci-e card, 760Mbps
Sempron 2800+ (1.6GHz) using Intel Pro 1000 GT pci card, 400Mbps
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
ulukay schrieb:
nope
was laeuft denn bei einer ipcop alles wenn man mehr als 256mb ram braucht?
ich hab nen kompletten linux server mit rtorrent, apache, proxy, nfs, ssh, vpn usw. und der brauch grad mal 97mb ram.
Zum Vergrößern anklicken....

Neja, die angepasste Installation für ne CF Card verwendet ne RAM Disk mit Stock 64MB. Das kommt bei mir nicht hin, die Logs sind zu groß, passt net rein...
Müsste eventuell mal ausmiste :fresse:
Also hab ich auf 128MB hochgedreht...
Und ich halte 128MB für den IPCop etwas für zu wenig, oder?

Man möchte halt verhindern, das die Kiste anfängt zu swappen, das bekommt der CF Card mit ihren sehr begrenzten Schreibzugriffen wohl nicht sonderlich gut...
Reichen da die 128MB?
 
in meiner alten firma hatten wir nen p3 700 - da liefen alle moeglichen server (und services) drueber - u.a. der hauptmailserver
Zum Vergrößern anklicken....

Euer MTA lief auf nem P3 700? So altes Server Rack oder etwa einfach nur stumpf consumer hardware aus m Keller gegrabbelt? ^^

Die Durchsatzangaben sind hilfreich. Umsetzen würd ichs mit OpenBSD und PF.

---------- Beitrag hinzugefügt um 22:33 ---------- Vorheriger Beitrag war um 21:44 ----------
Man möchte halt verhindern, das die Kiste anfängt zu swappen, das bekommt der CF Card mit ihren sehr begrenzten Schreibzugriffen wohl nicht sonderlich gut...
Reichen da die 128MB?
Zum Vergrößern anklicken....

Nach ner anfänglichen Debugphase kannste Logging ja auch weitestgehend unterbinden und das System ansonsten ro mounten um die CF zu schonen oder du nimmst halt ne Industrial CF wobei letzteres eigentlich nicht notwendig sein wird.
Ansonsten gibs bei einigen ALIX Boards auch nen 44 poligen Stiftsockel zum Anschluss von konventionellen HDs.

U.a in der Bucht gibt es hin und wieder ganz faire Angebote siehe beispielsweise:
http://cgi.ebay.de/ALIX-2D13-Bundle...ripheriegeräte_PC_Systeme&hash=item29ff85d6fc
 
Zuletzt bearbeitet:
Neja mir gehts da eher um die Diagramme usw. Die Daten liegen in Dateiform auf der CF Card und werden alle paar Minuten erzeugt. Halt in den Intervallen, wo man diese anschauen kann.
Da kommt schon so einiges an Zeugs zusammen, wenn die Kiste ne ganze Weile tuckert...
 
Nachdem ich einige kostenlose Firewall-Appliance Lösungen (IPCop, Endian etc) für meine Firma evaluiert habe bin ich letztendlich doch wieder bei einem Standard Debian mit Shorewall (IP-Tables Frontend) gelandet.
Wenn man etwas mehr machen möchte als 0815 Filterregeln (zb OpenVPN, Squid etc) stossen die Appliances schnell an ihre Grenzen, und es ist dann deutlich schwerer in ihre "Innereien" abzutauchen als gleich ein "offenes" System zu nehmen.
Wenn du sowieso auch noch nen kleinen Server willst würde das daher alles zusammen auf ein etwas kräftigeres System packen (das Supermicro Board was du schon erwähnt hast oder evtl auch nen kleinen i3).
 
Das Argument kann ich gut nachvollziehen.
Ich administriere überwiegend Fortinet Appliances.
Die großen Modelle haben genug Hardwarepower um auch Dinge
außerhalb des simplen Packet Filterings mit n bissel NAT zu leisten.

Die Einstiegsmodelle hingegen bieten zwar FortiOS seitig ne Menge Features an allerdings kommt man schnell ans Limit der Hardware wenn man mal IPS, Application Control Lists und SSL / IPSec VPNs aktiviert.

Zuhause läuft ohnehin bereits seit Jahren n Debian Server mit IPTables allerdings ist die Administration solcher auf die Konsole reduzierten Systeme spezialisierten Fachleuten vorbehalten und aus Sicht mittlerer und kleiner Firmen oft finanziell indiskutabel.
Der herstellerseitige Support diverser Firewall Appliances ist halt ein nicht zu unterschätzender Vorteil.
 
Das Thema Administration ist aber gerade im Linux/Unix Bereich und vor allem in speziel angepassten Versionen davon immer ein Thema...
Es muss halt dann auch jemand vorhanden sein der wirklich sich damit auskennt und in der Not auch mal irgendwo Wissen absaugen kann ohne das Handtuch zu werfen, weil er nicht weiter kommt.

Oft kommt man gar teurer auf die Stunden/Arbeitszeit gerechnet, wenn sich jemand erst voll in ein Linux System einarbeiten muss und viele Mögliche Probleme aus dem Hut umschiffen kann, als wenn man fertige Lösungen oder gar echte Hardwarefirewalls mit Userfreundlicher Oberfläche nimmt.
Gilt natürlich auch auf andere Bereiche... Gerade beim Thema Linux/Unix vs. Windows und mögliche Dienste.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh