Linux als Router/Firewall

DJDark

DJDark

dauert halt länger
Thread Starter
Mitglied seit
08.03.2007
Beiträge
6.725
Ort
Lübeck
Hallo,

möchte in diesem Thread mal das Thema Router/Firewall mit Linux anfangen,
vielleicht wird später ein Sammelthread draus.

Ich mach dann mal den Anfang. Verwende IPCop als Distri auf folgendem
Rechner:

MidiTower
ASTEC Netzteil 145 Watt
Chaintech 6VTA3 Mainboard (Via Apollo, Slot 1)
Pentium 3 533EB (133 MHz FSB) mit passiv-Kühler von IBM
256 MB Infinion SD
10 GB HDD
3x Realtek 8139

Der Router nimmt im Durchschnitt 32 Watt auf.
Als Addon kommt URL-Filter, Avdanced Proxy und Update Accelerator
zum Einsatz, wobei dieser recht Interessant ist. Er speichert alle
MS-Updates so das diese nicht neu heruntergeladen werden müssen
wenn sie nochmal gebraucht werden. Sehr praktisch wenn der MS-Server
mal ausfällt oder zu langsam ist. Ersetzt aber nicht den MS WSUS.

Bei Fragen zu IPCop könnt ihr mir gerne eine PM schreiben.

Benutzt Ihr Linux als Router/Firewall ? Wenn ja, welche Distri ?

Gruß,
DJDark
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hi,

ich habe daheim noch einen Router/Firewall mit m0n0wal stehen. Rennt seit Jahren, bestimmt schon 1,5 Jahre nicht mehr neu gestartet :fresse:
 
QGel schrieb:
Hi,

ich habe daheim noch einen Router/Firewall mit m0n0wal stehen. Rennt seit Jahren, bestimmt schon 1,5 Jahre nicht mehr neu gestartet :fresse:
Zum Vergrößern anklicken....

same here und @firma :)
die kann man auch wunderbar auf kleine stromsparende boards installieren: http://m0n0.ch/wall/hardware.php
(wobei die m0n0wall freebsd basierend ist ;) )

iptables verwenden wir in der firma ebenso fürn internen router und für den linux basierenden vpn server - mit teils grindigen rules :)
 
Hi,

ich habe zwei IPCops am Laufen:

Meiner:
Celeron 600Mhz @ 1,3V per Pin-Mod
Fujitsu Siemens D1170 (onboard VGA Intel i810E Chipsatz)
256 MB SDRAM Cl3
passiver CPU Alu-Kühler
2* Intel Intel PRO/100 S Desktop Adapter
512MB CF Karte
CF->IDE-Adapter
PicoPSU 80W
230V->12V Wandler Edac 60W
19" 2HE Gehäuse
Verbrauch: 20-24W
Addons: CopTime, ConnScheduler und Nettraffic

Eltern:
Celeron 667Mhz @ 1,3V per Jumper
Elitegroup P6VAP-A+ (Spannungen per Jumper einstellbar bis auf 1,3V)
256 MB SDRAM Cl3
passiver CPU Alu-Kühler
ATI Rage 128 Graka
2* Intel Intel PRO/100 S Desktop Adapter
512MB CF Karte
CF->IDE-Adapter
Seasonic SS-300SFD 80+
noName Desktopgehäuse
Verbrauch: 30-36W
Addons: CopTime, ConnScheduler und Nettraffic

Gemessen wurde der Verbrauch mit einem Düwi-Messgerät!

Ich bin sehr zufrieden mit IPCop und möchte ihn auch nicht mehr missen. Die Probleme, die man mit einem billig Router hat, hat der Cop in keinster Weise.
Ein kleines Beispiel: Ein Kumpel von mir hat einen Netgear-Router, welches genaue Modell weiß ich nicht. Er hat versucht einen FTP-Server aufzusetzten, welcher mittels Dyndns.org von Aussen erreichbar sein sollte. Leider gelang es uns nicht, den Router zu bewegen, einen Zugriff von Aussen zuzulassen. Bei meinem Cop hat mich das selbe Unterfangen keine 5min gekostet:angel: !

Grüße Ghandalf
 
hatte 2 jahre nen alten rechner als ipcop laufen, bin nun auf ne fritzbox umgestiegen. rechner war ein alter lärmender 300mhzer miditower und x86 computer in passabler größe sind mir als router mit mindestens 100€ zu teuer
 
Ich habe keine Ahnung von Linux, wo liegt der Vorteil wenn man einen ganzen Rechner als Firewall laufen lässt? Wie schauts mit Dingen wie Torrents und Online Games aus, ist der Performance Verlust groß?
 
Hi Mutio,

der Vorteil liegt darin, dass ich meine Hardware nach meinen Bedürfnissen selber aussuchen kann. So haben sehr viel Router Probleme mit sehr vielen Verbindungen, weil sie oftmals nur sehr wenig Arbeitsspeicher haben. Mein Cop hat 256MB und ich denke, den bringen auch 30000 und mehr nicht aus der Ruhe.

Zudem hat man sehr viele Einstellungsmöglichkeiten, welche normale Router nicht bieten.

Mit Online Games kenn ich mich jetzt nicht so gut aus, aber ich denke, da sollte es keine Probleme geben. Port forwarding geht z.B. mit dem Cop sehr einfach und schnell.

Von der Performance her dürfte eine Linux-Firewall zu 99% der Fälle schneller sein, als Hardwarerouter.

fuku schrieb:
hatte 2 jahre nen alten rechner als ipcop laufen, bin nun auf ne fritzbox umgestiegen. rechner war ein alter lärmender 300mhzer miditower und x86 computer in passabler größe sind mir als router mit mindestens 100€ zu teuer
Zum Vergrößern anklicken....

ich meine, da bist du eigentlich selber schuld, wenn du einen lärmenden IPCop hast, bzw. hattest. Mein Cop hat noch 300Mhz mehr und ist völlig lautlos, da keine drehenden Teile. Der einzigste Vorteil eines Hardwarerouters ist sein etwas geringerer Stromverbrauch, aber von der Größe her kann man da schon mithalten.
Wenn du aber mit deiner Fritzbox zufrieden bist und sie für deine Bedürfnisse ausreicht, ist sie für dich eh besser, da sie weniger Strom verbraucht.

Grüße Ghandalf
 
Ich benutze seit ewigem ClarkConnect auf meinem Router, ich glaub ich hab mit 2.1 angefangen - inzwischen ist 4.2 raus :)

Hat FTP, HTTP und MySQL server drauf - wobei ist meistens nur den FTP brauche.
 
naja auf den meisten routern (consumer bereich) läuft oft/meistens auch ein angepasstes linux , bzw. kann mit openWRT / FreeWRT aufgerüstet werden.
imho hat man dann einen wirklich guten Kompromiss zwischen Konfigurierbarkeit und Formfaktor / Stromverbrauch.
 
Was nimmt man denn so an Hardware für so einen Linux Router? Könnte ich evtl auch einen Fileserver (gedacht für NAS) gleichzeitig als Firewall laufen lassen?
 
Hi,
können würde man das schon, aber das wiederspricht dem Gedanken einer Firewall.
Für den Heimgebrauch könnte man das schon machen, aber Sicherheit entsteht dadurch keine.
 
Ja gut, dann halt seperat, was würdet ihr da nehmen?
@ beppo: Ich würde mir das Teil gerne selber zusammenbauen ;)
 
Mutio schrieb:
Ja gut, dann halt seperat, was würdet ihr da nehmen?
@ beppo: Ich würde mir das Teil gerne selber zusammenbauen ;)
Zum Vergrößern anklicken....

Es kommt immer drauf an z.B. wieviel Leute nutzen den Router, sind Addons geplant (Proxy etc.), soll VPN laufen usw. . Meine oben aufgelistete Hardware
ist schon recht gut ausgesucht ausser CPU, die ist überdimensioniert. Selbst mit 2 VPN's, Advanced Proxy, Update Accelerator und 3 Rechner die ins Netz gehen habe ich nicht mehr als 20% CPU Auslastung.

@Ghandalf: Danke für deine Unterstützung :) Hätte nicht gedacht das es hier jemanden gibt der Firm in IPCop ist.
 
Mutio schrieb:
Ja gut, dann halt seperat, was würdet ihr da nehmen?
Zum Vergrößern anklicken....

Hi,

meine beiden beiden Cops sind auch oben schon aufgelistet. Ich hab mir die Teile bei ebay zusammen gekauft. Die P3s, bzw. Celerons sind sehr sparsam und sau billig. Ca. 3€. Wenn man Addons wie Copfilter oder IDS einsetzen will kann man nie genug Rechenpower haben. Meine CPU dümpelt meistens zwischen 0 und 1% Auslastung hin und her, da ich solche Addons nicht installiert habe. Nur bei bei voller Bandbreite von meinen 16Mbit steigt sie mal auf 5% hoch. Man sollte allerdings darauf achten, dass man einen Coppermine P3, bzw. noch sparsamer sind die Coppermine-128 Celerons. Die starten allerdings erst bei 533Mhz.

Wenn man nur ein sehr kleines Gehäuse haben möchte, bietet sich ein Via Epia Board an. Da gibts auch welche mit mind. 2 Lan Anschlüssen. Leider ist die Performance eines VIA CPU's schlechter als eines P3, bzw. Celerons.

Mainboards für den P3 gibts auch sehr viele bei eBay. Ich habe eines mit und eins ohne onboard Graka, wobei ich das mit onboard Graka bevorzuge, da es sparsamer ist und einen Intel Chipsatz hat.

Als Arbeitsspeicher würden sicherlich auch 128MB reichen, aber ich hatte noch einen 256MB Riegel rumliegen. Die gibts aber auch für ca. 12€ bei ebay. Je mehr Arbeitsspeicher, desto mehr Verbindungen schafft der Cop.

Die Festplatte ist ein wichtiges Kriterium, da man entweder eine CF-Karte nehmen kann oder eine richtige 2,5" oder 3,5" Festplatte. Mit letzteren kann man halt einen Proxy und/oder Snort benutzen(IDS). Bei CF Karten ist das wegen den begrenzten Schreibzyklen weniger sinnvoll! Der Vorteil der CF Karte ist der noch geringere Verbrauch gegenüber der 2,5" HDD und sie sind völlig geräuschlos.

Nun das wichtigste sind die Netzwerkkarten. Ich schwöre auf die Intel Netzwerkkarten. Oft findet man sie bei ebay sehr günstig. Hab erst vor kurzem 6 Stück für 8€ erworben. Die neuen Realtek Netzwerkkraten mit 8139c Chipsätze sind auch net schlecht. Die bekommt man auch neu schon für sehr wenig Geld. Der Vorteil der Intel Karten ist halt die Entlastung des CPU's bei hoher Netzwerklast. Hauptsächlich von Vorteil, wenn die Firewall zwischen Green und Orange oder Blau routen soll.

Als Netzteil kann man natürlich jedes normale ATX NT oder kleiner nehmen, ich bevorzuge allerdings wegen des sehr hohen Wirkungsgrades das PicoPSU samt extrenen AC/DC Wandler. Vom Preis her ist das PicoPSU allerdings wesentlich teurer als ein ATX NT mit geringerer Leistung.

Auf http://www.ipcop-forum.de/ gibts eine Galerie. Dort sind sehr viele Systeme vorgestellt. Auf denen laufen natürlich auch andere Firewall Distributionen als IPCOP.


DJDark schrieb:
@Ghandalf: Danke für deine Unterstützung :) Hätte nicht gedacht das es hier jemanden gibt der Firm in IPCop ist.
Zum Vergrößern anklicken....

Gern geschehen! Ich denke, da kommen schon noch mehr. Das Unterforum ist ja noch neu!

Grüße Ghandalf

PS: Wenn ich etwas falsches geschrieben habe, klärt mich bitte auf!
 
Erstmal danke an alle für die ganzen Tips!
Nehmen wir mal an ich mache 2 Systemvorschläge, eines mit aktueller Hardware und eines mit älterer die mann nur bei Ebay zusammenkaufen kann.
Was für Hardware würdet ihr da genau verbauen? Eine Auflistung eines Beispiel Systems (neu und "alt") samt Stromverbrauch und Preis wäre super! (könnte man dann auch im ersten post unterbringen).
 
QGel schrieb:
Hi,

ich habe daheim noch einen Router/Firewall mit m0n0wal stehen.
Zum Vergrößern anklicken....

Same here,

hatte auch langeZeit nen IPCop auf nen ausgemusterten PC laufen, lohnt sich aber mMn aus Kostengründen kaum noch.

Ein für nen IPCop aufs Mindestmaß abgespecktes Altsystem, zieht im Schnitt 40W; mein jetziger Wrap zieht ca. 3W --> macht stromkostentechnisch bei 0,20€/kWh ne Differenz von ca. 65€/Jahr, da hat sich ne stromsparende Lösung rel. fix amortisiert.
 
Ich hatte auf einem alten P2 Debian Woody am laufen.
Als Firewall hatte ich IPTables.
Dazu lief noch MLDonkey, MySql, SSH, DHCP, FTP & ein rundns client.
War ne nette Kiste und lief 2 Jahre ohne Neustart. Jedoch war der Stomverbrauch auch entsprechend höher als wie bei einem Hardwarerouter.:fresse:
 
@drdope: Ja, lohnen tut es sich nicht. Dieser Router steht auch noch im Elternhaus. Wird denke ich auch im neuen Jahr ausgemustert. Dann kommt ein Linksys mit DDWRT oä.

Gruß QGel
 
Ich habe eine Zeit lang einen alten PII Rechner als Router genutzt.
P2 333Mhz
256Mb Ram
10Gb Hdd
2x 3com Netztwerkkarte

Die Kiste lief unter debian wunderbar als Router, Proxy, Firewall, FTP.
Bequem über SSH fernadministrierbar.
War echt klasse das Teil, bin aber später auf einen "richtigen" Router umgestiegen weil die Stromkosten zu hoch waren.
 
Ist es möglich bei Monowall nur die Firewall zu nutzen und den ganzen Routing kram komplett abzuschalten?
 
Ich hab Debian. Grundkonfiguration:

PHP: 
echo 1 > /proc/sys/net/ipv4/ip_forward 1
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state established,related -j ACCEPT
iptables -A FORWARD -m state --state new -s $LAN -j ACCEPT

Alles weitere gehört dann für mich nicht mehr auf nen Router oder ne Firewall.
 
DiePike schrieb:
Ist es möglich bei Monowall nur die Firewall zu nutzen und den ganzen Routing kram komplett abzuschalten?
Zum Vergrößern anklicken....

Leichenschänder^^

Also, wenn du das Routing deaktivierst, dann geht das, was an beispw. eth0 reinkommt nicht an eth1 raus (wenn darüber das Zielnetz erreichbar ist). Ergibt insbesondere bei m0n0wall nicht so viel Sinn. Das macht Sinn für Hosts, die zwei Standbeine ins Netz benötigen, Stichwort Mutlihomed-Hosts.

Wenn du keine Routen bei m0n0wall einträgst, dann benutzt er auch nur die Standardrouten.

gruß
hostile

---------- Beitrag hinzugefügt um 09:31 ---------- Vorheriger Beitrag war um 09:26 ----------
Grimmer schrieb:
Ich hab Debian. Grundkonfiguration:

PHP: 
echo 1 > /proc/sys/net/ipv4/ip_forward 1
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state established,related -j ACCEPT
iptables -A FORWARD -m state --state new -s $LAN -j ACCEPT

Alles weitere gehört dann für mich nicht mehr auf nen Router oder ne Firewall.
Zum Vergrößern anklicken....

Wird zum Problem, wenn du mehr als zwei Interfaces hast.

gruß
hostile
 
Hab selber am Router ein Ubuntu Server 9.10 laufen.

Auf dem Server läuft IPTables, SSH, Squid und Zenoss.

Das Ganze läuft auf folgender Hardware

AMD Geode 1750+ @ 800 Mhz
Asrock K7S41GX
1 Gb Ram
2,5 GB Samsung HDD 60 GB

Bis jetzt noch nie Probleme gehabt :d
 
hostile schrieb:
Wird zum Problem, wenn du mehr als zwei Interfaces hast.

gruß
hostile
Zum Vergrößern anklicken....

Ich seh da kein Problem. Kann doch auch 10 oder mehr NICs drin haben. Jede für ein ein /24-er Subnet aus 192.168.0.0/16 und eine mit ner öffentlichen IP.
Das einzige was fehlt sind Routing-Informationen, aber das macht RIP oder BGP, bzw. ich würde das so nie einsetzten. Bei allen von mir Betreuten Netzen gibts nur Whitelisting für ausgehende Verbindungen.
 
also nu muss ich aber doch meinen senf mit dazu geben ^^

für privat finde ich die plastik-router vollkommen ausreichend, grade mit der option einen open-wrt ein zu spielen. die dinger haben eine integrierte firewall,trafic-kontrolle, wireless-pipapo usw. und was das ausschlag gebende argument ist: sie verbrauchen so gut wie nix an strom.

wenn man allerdings mal etwas anspruchsvolleres machen möchte, seine kumpel beindrucken will oder der chef es einem einfach aufdrückt, dann ist nen "echter" router/server/proxy/watweissich auf linuxbasis mit allem drum und dran schon nett und wesentlich komfortabler!

linux is halt die riesen kiste mit den legosteinen... willst du ne ritterburg, dann bau sie dir!
hast du kein bock mehr auf ritterburg, dann nimm sie auseinander und bau dir dein piratenschiff!
mal so als analogie :)

was man allerdings nicht aus dem blick verlieren sollte, ist der arbeitsaufwand der drin steckt!
um in der analogie zu bleiben: klar kannst du auch einfach nen piratenschiff kaufen, musst halt einfach losziehen und das geld dafür berappen...
dann hast auf dem dachboden halt ne ritterburg rumstehen...
aber die "lego" variante ist meiner meinung nach viel anspruchsvoller und hat mehr lehr-wert!
aber zeit ist halt auch gleich geld, darf man halt auch ned aus den augen lassen...

sind halt einfach nur mein 0,02€... :)
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh