Hardware Empfehlung Firewall

McTNT

McTNT

Enthusiast
Thread Starter
Mitglied seit
17.12.2002
Beiträge
2.921
Hi an alle,

bräuchte eine Empfehlung für die Hardware einer Firewall. Bisher lief meine Firewall immer virtuell, ich wollte das schon ewig ändern. Nun hab ich den Artikel in der c’t gelesen, wo sie einen 8Watt Server mit einem Fujitsu Board + Celeron gebaut haben. Das hat mich nun natürlich motiviert meine „Hardware-Firewall“ zu bauen. Das verwendete Fujitsu Board wäre generell keine schlechte Wahl, ich müsste aber noch eine Lankarte verbauen. Laut Artikel steigt der Verbrauch dann auf knapp < 20Watt.
Es soll aktuell eine Sohpos UTM installiert werden und gerade was Treiber angeht, ists bei ganz aktueller Hardware und Firewalldistros nicht ganz so super mit der Kompatibilität. Deshalb frage ich euch was ihr so an Hardware am Laufen habt und was ihr empfehlen könnt. Möchte generell die 20W Marke definitiv nicht überschreiten. Wäre gerne bereit auch etwas mehr zu zahlen wenn die Hardware ordentlich und zukunftssicher ist.
Es gibt viele Boards von Supermicro, die Teile kosten aber alle min 280Euro und mehr. Sind dann Atoms drauf mit 4 Intel NICs.

Z.b:
Supermicro A1SAi-2550F retail (MBD-A1SAi-2550F-O) Preisvergleich | Geizhals Österreich

Habe auch noch ein „scheißbilliges“ Gigabyte Board gefunden, hat 2xRealtek NICs drauf u kostet schlappe 100Euro.

Gigabyte GA-J1900N-D3V Preisvergleich | Geizhals Österreich

Normal bin ich überhaupt nicht für Billigteile, aber das Board kost halt wirklich nur ein Drittel vom Supermicro.
Nun hab ich aber garkeinen Plan was die Teile an Strom verbrauchen…

Kann mir jemand in irgendeiner Richtung ein Feedback geben, Empfehlung, Meinung, egal was. Bin für alles Dankbar.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Da ich mich gerade mit den Überlegungen herumschlage, wie ich mir am besten eine virtuelle Firewall bauen könnte: darf ich fragen, warum du von virtuell auf bare metal umsteigst?

Ich kämpfe aber auch noch mit Grundüberlegungen für das Netzwerksetup (hab theoretisch 3 phys. Netze und bin unsicher, was ich wie verkabeln / konfigurieren soll), evtl. mach ich mal nen separaten Thread auf, will den hier nicht "highjacken"... ;)
 
Alix APU und ipfire, perfekte Kombo.
Passiv, einigermassen schnell und eine menge Anschlüsse.
 
Wenn man auf veraltete Pakete steht, ist nicht dagegen einzuwenden. ;)
 
Shiga schrieb:
Wenn man auf veraltete Pakete steht, ist nicht dagegen einzuwenden. ;)
Zum Vergrößern anklicken....

Das war einmal. Die aktuelle Version basiert auf FreeBSD 10.1, die jetzt kommende auf 10.3. :p

Aber wenn man auf unnötige Einschränkungen bei der Konfiguration steht, nimmt man doch lieber IPFire ;)
 
@Rumpelstil
Ich rede nicht vom Kernel, sondern von Paketen wie z.B. der Squid Proxy .
Der 3er Zweig ist noch immer Beta (und dazu noch in einer uuuuuuuuuralt Version) und nur der 2.6er ist stable....
ipfire und pfsense stehen einander in nichts nach, was dämliche/unnötige Einschränkungen anbelangt.
 
@Shiga
Damits hier nicht zu viel OT wird nur noch so viel:

1. Ab 2.3 kann man sich aus dem normalen Fundus von FreeBSD bedienen. Also sollte das Problem dann auch hoffentlich Geschichte sein.

2. IPFire kenn ich btw. nicht direkt ;) sondern nur den Vater IPCop, den ich nicht so gelungen fand. Die aktuellen Versionen basieren ja aber anscheinend nicht mehr auf IPCop, also Asche auf mein Haupt ;). Jedenfalls fand ich das Update-System bei IPCop nicht so gelungen. Außerdem gab es auch Einschränkungen bei der Zahl der Netze (WAN, DMZ und LAN mein ich, mehr war nicht möglich). Zumindest letzteres hatte zumindest zeitweilig auch IPFire geerbt. Ah ja und die nötigen Reboots von IPCop erinnerten auch mehr an ein älteres Windows ;)
 
Hi - reichen Dir denn 2 Interfaces? brauchst Du nur WAN und LAN? - dann nimm doch das günstige Gigabyte.
Ich hab mir folgendes geholt:
Vier Gigabit Ethernet Mini itx 17*17 4 Lans D525 1,80 GHz firewall/netzwerk/ROS moterboard M525FT in    M525ft ver1.2 mini-itx 17*17 moterboardIntel d525 1.80ghz+ nm10 hoch- Geschwindigkeit chipsatzVier Gigabit aus Motherboards auf AliExpress.com |

leider noch der alte D525er aber mit 12V Direktversorgung. Mit mSATA 16GB und 4GB RAM braucht die aktuell 17W - wird bei Gelegenheit aber auf eins mit J1900 upgedatet (Mini itx 17*17 J1900 Vier Gigabit Ethernet lan firewall/netzwerk/ROS moterboard mit bypass funktion in  M1900le ver1.1 mini-itx 17*17 moterboardIntel j1900+Bay Trail socHoch- Geschwindigkeit chipsatzVier Gigabit Ethern aus Motherboards auf AliExpres).
 
Macht es eigentlich evtl auch Sinn, so eine UTM oder pfSense erst "hinter" die Fritzbox zu klemmen, also so dass die "normalen" doofen Geräte wie zum Beispiel netzwerkfähige Bluray-Player oder TVs oder was weiss ich über die Fritzbox mit IP-Adressen und "direkt" mit Internet versorgt werden, die "sensibleren" Geräte wie (File)Server, Office/Arbeits-PC, HomeAutomation usw. dann erst hinter einer zwischengeschalteten UTM/pfSense(VM)?

Hintergedanke: bei uns zu Hause lüppt zurzeit eigentlich alles wie es soll mit der Fritzbox als einzige Sicherheitsmaßnahme. Wenn ich nun bei den Servern mal einen Fehler bei der Firewall mache und diese dadurch z.B. vom Internet oder Rest des Hauses abklemme, ist das wurscht. Aber wenn die Familie abends nicht auf YouTube / Prime / Netflix kommt, bekomm' ich (zurecht und feste) Haue... :d

Mir schwebt also das reine Fritzbox-Netz als "DMZ" vor, mit einer UTM/pfSense als Wächter zum inneren Kreis dahinter. Ist das verständlich / macht das Sinn so?
 
@besterino Das macht IMO schon Sinn und habe ich deshalb auch so im Einsatz genau aus den Gründen, die du aufgezählt hast. Und ein Modem braucht man ja sowieso. Da kann man dannn auch ne FritzBox für nehmen, vor allem wenn man die eh schon hat.
 
Moin,

es hat zumindest den Vorteil das die Geräte keinen Zugriff auf Dein Heimnetz haben :fresse2:. Ob Du TV und Blueray ungefiltert ins Internet lässt ist Deine Entscheidung, die Dinger petzen wie die Pest :mad:

-teddy
 
Ich bin sicherlich einer der paranoideren Zeitgenossen, aber ich mache auch mal nen Punkt. Wenn ich meine Filme und Serien bei Amazon & Co. kaufe, dürfen Sony, Panasonic, Philips und wie sie alle heißen das zur Not auch wissen...
 
Danke an alle für euer Feedback.
Kurz gesagt, nein ich brauch keine Hardware für PFSense, die hab ich schon und auch im Einsatz (LEX System UNO Teil). Ich benötige eben mehr Power für Sophos!

@konfetti
Das J1900 Teil hatte ich auch schon gefunden, schaut geil aus für den Preis. Kannte die Marke bislang nicht. Wie bist du mit dem älteren Modell zufrieden? Ist da eine Slotblende und das Netzteil immer dabei? Was hällst du von dem Händler generell? Wozu ist der 5te LAN? Für Management?

@kuemmelkassel
Find ich auch gut. AMD x86 CPU? Ich gehe mal davon aus dass man andere Software installieren kann?
 
Läuft auch mit IPFIRE, IPCOP..

Gesendet von meinem SM-G925F mit Tapatalk
 
IMHO per mSATA, wenn ich mich recht erinnere. Ruf mal bei dem Händler an, die sind sehr kooperativ :)
 
McTNT schrieb:
@konfetti
Das J1900 Teil hatte ich auch schon gefunden, schaut geil aus für den Preis. Kannte die Marke bislang nicht. Wie bist du mit dem älteren Modell zufrieden? Ist da eine Slotblende und das Netzteil immer dabei? Was hällst du von dem Händler generell? Wozu ist der 5te LAN? Für Management?
Zum Vergrößern anklicken....

ich bin mit meinem Board Super zufrieden - läuft sogar ESXi drauf ^^
ja, der 5te Port ist Mgmt, imho eher aber ein Serieller Port, der wie bei den Cisco-Switchen genutzt werden kann, zumindest kann ich das bei meinem im Bios so einstellen.
Nein, ein Netzteil ist nicht dabei, aber der 4Pin ist der, den die CPU auch nutzt, also kann man zur Not ein NT-Brücken - oder man hat ein großes, das einem generell für den ganzen Bereich an Externen Gerätschaft einheitlich stabile 12V liefert - ein großes ist dabei deutlich effizienter als die ganzen NTs pro Gerät (Router, Telefon, (Kabel)Modem,...) die meisten brauchen eh 5 oder 12V, von daher ist ein PC-NT ideal.
Die Slotblende war dabei, genauso wie ein VGA-Kabel für die Stiftleiste. ;) - Und wegen der "Marke" die sind bei der Fertigung in China Schall und Rauch... - das schöne wäre, ab 5 Stück kann man bei vielen "Herstellern" für einmalig 50$ auch sonderwünsche anregen, wie andere Farbe des PCB, eigenes Logo drauf, bestimmte Bestückung (also auch gerne nur das was man benötigt oder eben in anderer Anzahl...
 
 
Bei den Brettern muss man m.W. ein bisschen aufpassen. Bei manchen davon kann ein Teil der Ports wohl nur switchen.
 
ALIX APU und IPFIRE oder PFSENSE

Hab hier ein Alix mit IPFIRE am laufen, braucht ca. 6 Watt.

Grüße
 
Pstar schrieb:
ALIX APU und IPFIRE oder PFSENSE

Hab hier ein Alix mit IPFIRE am laufen, braucht ca. 6 Watt.

Grüße
Zum Vergrößern anklicken....

Ich hab auch hier eine ALIX laufen, aber mit pfSense. Kaufen würde ich es aber heute nicht mehr oder nur zu einem sehr günstigen Preis (unter 50 €), da es nicht zukunftssicher ist (hat kein GBit und keine 64-Bit-CPU). Ich würde heute das aktuelle schon vorgeschlagene APU2-Board bevorzugen.
 
Soo danke mal an alle für die vielen Empfehlungen. Sind einige sehr interessante Boards dabei. Werd mir alles nochmal durch den Kopf gehen lassen. Die J1900 Teile mit 4 nics sind momentan definitiv meine Favoriten.
 
Hi, habe den Artikel etwas zu spät gelesen und bin bis dato noch nicht dazu gekommen ein komplettes Review über meine Hardware-Firewall zu erstellen, aber hier ein paar Eckdaten:

  • CPU/MB (SoC): Supermicro A1SRi-2758F retail (MBD-A1SRi-2758F-O)
  • RAM: 2x Kingston ValueRAM Hynix SO-DIMM 8GB, DDR3L-1600, CL11, ECC (KVR16LSE11/8HB)
  • SSD: Samsung SSD 850 Evo 250GB, SATA (MZ-75E250B)
  • CASE: Supermicro 505-203B schwarz, 1HE, 200W, Mini-ITX
  • Preis: ~750€
  • Umfeld: Heimnetz
  • OS: IPFire

Preislich ist es für viele sicher nicht wirklich attraktiv, aber hardwaretechnisch ist es schon etwas feines. Mit den 4 LAN-Ports können alle 4 IPFire-Netze (RED, GREEN, BLUE, ORANGE) abgebildet werden und von der Leistung können auch SQUID, OpenVPN etc problemlos betrieben werden (...
IPMI ist auch ein Feature, welches man nicht mehr wirklich missen will.
 
Was habe ich den für einen Vorteil mit 4 LAN Ports? Bei IPFire kann man ja wie ich gelesen habe das Netzwerk in 4 Segmente einteilen.

Bin auch am überlegen mir ne Firewall zu basteln, günstige 2x Gbit LAN Boards gibts schon relativ günstig.


Danke
 
Anmelden, um zu antworten.

Ähnliche Themen

O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
530
OsiMosi
O
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh