[Kaufberatung] Firewall für maximal 10 PCs

[rvn]

Heyho

ich hätte gerne eine Firewall nach meiner FritzBox. Folgende Dinge sind mir besonders wichtig:

-E-Mail-Verkehr soll überprüft werden (Spam, Viren. IMAP only)
-Proxy (squid)
-VPN (IPSec max. 4 Benutzer gleichzeitig)
-VLAN

Habe eine 150/10 Verbindung von Unitymedia.

Kann pfsense das ganze? Habe die E-Mail Geschichte noch nicht so ganz verstanden. Werden die Daten vom Provider über ein pfsense Webinterface eingetragen? Muss ich dann im Client, z.B. Outlook, als Server den pfsense nehmen? Die Hardware fehlt mir natürlich auch, habe aber etwas auf Amazon gefunden: https://www.amazon.de/QOTOM-Q310G4-Barebone-Industrial-Celeron-Fanless/dp/B01JS2RHEM. Würde das mit den Anforderungen übereinstimmen/zurechtkommen bezüglich Geschwindigkeit? Habt ihr eventuell Kaufempfehlungen von 150€ bis maximal 250€?

Vielen Dank!

 

[magicteddy]

Moin,

die 3 letzten Punkte kann pfSense, habe ich im Einsatz.
Die Geschichte mit Viren theoretisch auch aber, ClamAV ist kein sonderlich wirkungsvoller Virenscanner und ein Spamfilter gehört imho auf den Mailserver.
Zum scannen müsstest du verschlüsselte Verbindungen aufbrechen (geht, Du müsstest Deinen Clients dann nur das eigene Zertifikat als vertrauenswürdig unterjubeln) und davon halte ich persönlich absolut nichts.

-teddy

 

[rvn]

Moin,

die 3 letzten Punkte kann pfSense, habe ich im Einsatz.
Die Geschichte mit Viren theoretisch auch aber, ClamAV ist kein sonderlich wirkungsvoller Virenscanner und ein Spamfilter gehört imho auf den Mailserver.
Zum scannen müsstest du verschlüsselte Verbindungen aufbrechen (geht, Du müsstest Deinen Clients dann nur das eigene Zertifikat als vertrauenswürdig unterjubeln) und davon halte ich persönlich absolut nichts.

-teddy

Danke dir, würde also theoretisch funktionieren, sehr gut

Was sagst du zur Hardware? Was hast du denn so im Einsatz?

VG

rvn

 

[ctcn]

Squid wird ebenso wenig bringen. Bei 10 Usern und 150 Mbit/s wird das Caching kaum eine große Hitrate haben und HTTPS-Traffic (Welcher von Tag zu Tag zunimmt) kann man sowieso nicht cachen, mit der Ausnahme, dass du den SSL-Traffic abfängst und von der Firewall die Sessions aufbaust. Die investierte Zeit darin wäre verschwendet, wenn Du etwas zum basteln willst, versuche lieber SPI einzurichten.

 

[magicteddy]

Moin,

meine Hardware:
@Work Lanner FW-7525B pfSense 2.3.3 35/10 Mbit
@Home APU.2C4 pfSense 2.3.4 100/6 Mbit
@CH APU.1D4 pfSense 2.3.3 50/10 Mbit

 

[rvn]

Squid wird ebenso wenig bringen. Bei 10 Usern und 150 Mbit/s wird das Caching kaum eine große Hitrate haben und HTTPS-Traffic (Welcher von Tag zu Tag zunimmt) kann man sowieso nicht cachen, mit der Ausnahme, dass du den SSL-Traffic abfängst und von der Firewall die Sessions aufbaust. Die investierte Zeit darin wäre verschwendet, wenn Du etwas zum basteln willst, versuche lieber SPI einzurichten.

Squid soll auch nicht hauptsächlich als Cache dienen. Zum Basteln soll das ganze auch nicht sein, hatte zumindest vor das ganze Produktiv laufen zu lassen. Ich wollte mir zumindest einen kleinen Barebone besorgen - meint ihr der QOTOM von oben reicht dafür aus? Preislich wollte ich eigentlich nicht höher gehen.

 

[gemm]

Sollte reichen. Ich betreibe seit Jahren einen pfsense Firewall auf einem J1900 Board (Supermicro X10SBA). Wesentlich sind die Intel NIC, denn bei fast allen anderen (Realtec usw) hat pfsense deutlich mehr auf der CPU zu tun. Pack eine kleine SSD und ordentlich RAM(8GB oder mehr) rein, dann sollte das gut laufen. Ich betreibe noch SNORT als Intruder detection System mit auf dem pfsense; das ist von der CPU Leistung auch noch nicht kritisch.