2 tanie łatwo konfigurowalne routery

[kaczakkkk]

Zamierzam zaimplementowac 1 router zewnetrzny przed bastion hostem i 1 router wewnetrzny

po bastion hoscie. Oba maja byc skonfigurowane do moich potrzeb.

Jakie w miare tanie routery z ktorymi chipsetami moglibyscie polecic do przeinstalowania firmware na DD-WRT lub Tomato?

Dziekuje.

[DawidS28]

Dwa krótkie pytania.

 

Dlaczego nie RouterOS?

Dlaczego nie OpenWRT?

[kaczakkkk]

Czytalem o DD-WRT i Tomato i dlatego.

Pisali ze ww systemy daja wiecej mozliwosci.

Widze, ze nie podzielasz tej opinii?

Gdybys robil to dla siebie - jak bys postapil?

 

Jeszcze jedna prosba - szukam wszedzie bloga poswieconego wylacznie "iptables" budowa regulek, implementacja, krotko

mowiac, wszystko.

Jak wpisze w Google iptables + blog* to dostaje folder z mnostwem stron, ale zadna nie prowadzi do "czystego" bloga.

Jak prawidlowo sformulowac zapytanie do wyszukiwarki zeby mi tego bloga znalazla?

Nie wyobrazam sobie zeby tak szerokie i wazne zagadnienie, nie mialo swojego bloga.

[DawidS28]

Zastanawiam się, po co Ci dwa routery. Ja bym wziął jeden z RouterOS (czyli MikroTika) i skonfigurował odpowiednio. Zauważ, że istnieje opcja MetaROUTER, która pozwala na zwirtualizowanie OpenWrt na RouterOS. Pozwala to na wykorzystanie pewnych funkcji, które w RouterOS są niedostępne, np. ostatnio chciałem ustawić przydzielanie klienta do odpowiedniego VLAN-u na podstawie odpowiedzi z serwera RADIUS po pomyślnym uwierzytelnieniu klienta WiFi. Umożliwia to właśnie OpenWrt i Cisco Aironet.

 

Nie znam drugiego systemu pod routery, który umożliwiałby wirtualizowanie innego.

 

Co do bloga: nie widzę powodu, żeby jego istnieje było obligatoryjne dla każdej technologii. Chociażby takie ADSL. Technologia bardzo popularna, a sprawdzonych informacji w sieci dosyć mało. Trzeba czytać standardy...

[kaczakkkk]

Ruter zewnetrzny mial byc glownie filtrem pakietow przesylanych z Internetu.

Ruter wewnetrzny mial byc filtrem pakietow wysylanych przez "rozne" aplikacje i System w strone Internetu.

Kontrola ruchu Z i DO.

[DawidS28]

No to co za problem? Po prostu inny chain:

http://mikrotik.net.pl/wiki/IP/Firewall/Filtr

[kaczakkkk]

Dawid, daj mi teraz prosze troche czasu - musze poczytac i sie podszkolic.

A jaki sprzet /chipset/ optymalnie na tego Mikrotika?

Ruter od wewnatrz czy od zewnatrz Bastionu?

[DawidS28]

Dalej dziwię się, po co Ci dwa routery? Jesteś w stanie obsłużyć wszystko jednym routerem. Nie wiem, jaką pulą IP-ków dysponujesz, więc nie odpowiem, jak to dokładnie skonfigurować. Jeśli masz ich więcej, to przydzielasz jedno IP dla serwera (nazywanego przez Ciebie bastion hostem), który ma świadczyć usługi na zewnątrz i prowadzisz normalnie routing.

Edytowane 22 Stycznia 2013 przez DawidS28
Przenoszę do działu Sieci.

[kaczakkkk]

Ja sie wcale na te 2 routery nie upieram - tylko szukam max bezpieczenstwa.

5 komputerow w nieduzej sieci.

Znalazlem ciekawe linki o iptables: http://www.linuxguruz.com/forum/viewforum.php?f=35

[DawidS28]

Dobra, ale chodziło mi nie o liczbę komputerów, tylko liczbę publicznych adresów IP, którymi dysponujesz. Od tego dosyć dużo zależy.

[kaczakkkk]

Tylko jeden z modemu

[DawidS28]

To nam trochę utrudni konfigurację. Przygotuj sobie jeden serwer, który chcesz, żeby świadczył usługi na zewnątrz (czyli tego bastion hosta), przekieruj na routerze na niego odpowiednie porty, pozostałe komputery zostaw jak dotychczas za NAT-em i, dla większego bezpieczeństwa, wytnij ruch pomiędzy tymi komputerami a serwerem. Do zrealizowania tego wszystkiego wystarczy tylko jeden router, nie potrzebujesz więcej, naprawdę. Ja mam jedną Vyattę na jakieś 1500 użytkowników, 150 stanowisk i pewnie drugie tyle prywatnego sprzętu i wszystko działa. Zwróć uwagę, że Vyatta jest routerem software'owym i na dodatek jest wirtualizowana, a spokojnie wytrzymuje ruch 100/100 Mb/s ze światem i pewnie podobny lokalny. O kwestie wydajnościowe się nie martw, o bezpieczeństwo również.

[kaczakkkk]

Jaki dobry i tani router pod Mikrotika?

[DawidS28]

Ja mam MikroTik RouterBOARD RB751G-2HnD i spokojnie sobie radzi. Cena to jakieś 250 PLN. Jeśli nie zależy Ci na portach Gigabit Ethernet, to możesz za 200 PLN wziąć MikroTik RouterBOARD RB751U-2HnD.

[kaczakkkk]

Jestem z powrotem, musialem troszke popracowac. Wracam do tematu malej prywatnej podsieci.

Wiec kolejnosc jest taka:

ISP - modem szerokopasmowy - Mikrotik /dac przed czy po bastion hoscie?/ - bastion host /FreeBSD + restrykcyjne iptables, proxy /jakie zastosowac 2 karty sieciowe, czy proxy programowe, SQUID/ - PC Nr 1 z dostepem do Internetu i pozostalych

komputerow /PC2+PC3+PC4+PC5/ bez dostepu do Internetu.

W zakresie bezpieczenstwa najwazniejsze jest dla mnie zeby obejmowalo wszystkie warstwy stosu OSI ?

Gdzie? /bastion host i komputer z dostepem do internetu/ i jakie oprogramowanie /firewall, proxy, inne/ powinno byc

zastosowane.

Moze zamiast Mikrotika i bastionu lepiej jakis firewall sprzetowy?

Jak myslisz?

[DawidS28]

ISP modem MikroTik

 

I do MikroTika wszystkie hosty. Potem na MikroTiku konfigurujesz wedle potrzeb firewall. Nie potrzebujesz więcej zapór.

[kaczakkkk]

Ale ja niezaleznie od pragmatycznej strony zagadnienia , polknolem bakcyla IT i chcialbym wiedziec?

- w wersji z bastion hostem jaka konfiguracja?

ISP - Mikrotik - bastion host /Putty + SQUID + iptables/ - hub/switch - 1PC z dostepem

4PC bez dostepu

Tak jest O,k?

[DawidS28]

Co chcesz mieć na bastion hoście? Samo HTTP Proxy?

 

Jak chcesz, to tak może być.

[kaczakkkk]

Tak. HTTP Proxy - tylko pytanie: SQUIDA czy np 2 karty sieciowe? I dlaczego?

FreeBSD + restrykcyjne iptables

 

Moze w porywach sobie zainstaluje TOR-a, I2P, Freenet - w celu poszerzania wiedzy.

Pytanie: Co gdzie powinno byc zainstalowane i dlaczego?

[DawidS28]

Tak. HTTP Proxy - tylko pytanie: SQUIDA

 

Z serwerów Proxy wydaje mi się, że Privoxy jest lepszy. "Wydaje mi się" jest zdecydowanie najtrafniejszym określeniem, ponieważ z żadnego nie korzystałem, opieram się na opiniach. Nie miałem po co stawiać, a stawianie dla jednego komputera, który u Ciebie ma mieć dostęp do sieci, jest moim zdaniem bezsensowne. Ale Twój sprzęt, Twoje oprogramowanie...

 

np 2 karty sieciowe? I dlaczego?

 

Po co dwie? Podpinasz do MikroTika, ustawiasz na komputerze adres Proxy i się z nim łączysz. Co za problem, żeby MikroTik obsługiwał ten ruch. Tak samo możesz zrobić przekierowanie wszystkiego jak leci na MikroTiku do serwera Proxy. A przynajmniej powinno się dać.

 

FreeBSD + restrykcyjne iptables

 

A ile mam powtarzać, że możesz wycinać ruch na MikroTiku? Nie potrzebujesz więcej firewalli.

 

Moze w porywach sobie zainstaluje TOR-a, I2P, Freenet - w celu poszerzania wiedzy.

Pytanie: Co gdzie powinno byc zainstalowane i dlaczego?

 

Wiesz... Pod samym TOR kryje się klient, węzeł pośredniczący i węzeł brzegowy. To już sam musisz zadecydować co i gdzie stawiać.

 

Nie zajmuję się ciemną stroną Internetu.

[kaczakkkk]

Ja sie tez nie interesuje ciemna strona Internetu - ale TOR moze byc uzywany rowniez w zwyklych celach, i nic w tym zlego.

Zbyt daleko idace skojarzenia. Wracajac do caloksztaltu - jestem swiadom ze ta siec jest zbytnio "wymyslona"

Ja po prostu chce wiedziec tak jak wiele innych spraw o ktore pewnie zapytam. Sam staram sie dojsc do wielu odpowiedzi.

Kupilem i czytam ksiazke pt "Designing Networks for Cisco" H.Pasricha and D.Jagu. Teraz jestem na etapie tworzenia

"bridge" wi-fi of course. Rozumiem, ze w mojej implementacji role "mostka" pelni bastion host i na nim powinienem miec zainstalowany "node" byle nie "exit node" bo mozna zebrac baty za kogos. Mostek to polaczenie miedzy Mikrotikiem a bastionem?

Natomiast w sprawie proxy interesuje mnie roznica miedzy proxy software SQUID a proxy hardware tj 2 karty sieciowe.

Roznice, konfiguracja, zastosowania,

Ciekawa jest sprawa instalowania i eksploatowania I2P i Freenetu na VM Javy. Bede musial poczytac.

[DawidS28]

Ja sie tez nie interesuje ciemna strona Internetu - ale TOR moze byc uzywany rowniez w zwyklych celach, i nic w tym zlego.

Zbyt daleko idace skojarzenia. Wracajac do caloksztaltu - jestem swiadom ze ta siec jest zbytnio "wymyslona"

 

Nie chodzi o to, że podejrzewam Cię o jakieś niecne praktyki, tylko o to, że są technologie powszechnie wykorzystywane, które mnie bardziej interesują. Chociażby transmisja danych po sieciach telefonicznych, czyli m.in. ADSL.

 

Co do reszty pytania: zdefiniuj mostek.

[kaczakkkk]

Mostek - Bridge - soft lub urzadzenie bardzo podobne do switcha , pracujace w II warstwie stosu OSI, laczace kilka fragmentow sieci , moze pracowac w roznych systemach, w praktyce od Win 2000.

W moim przypadku zamierzam miec na baston hoscie / z Debianem + iptables/ zainstalowany mostek programowy sluzacy min do analizy transferu i polaczenia laptopa-workstation z VM Javy /gosc/, do polaczenia laptopa z Siecia.

 

Czym sie rozni proxy z 2 kartami od proxy programowego?

[DawidS28]

Różnica jest taka, że jak masz dwa porty, to musisz od razu na nim zrobić przekazywanie ruchu, czyli de facto taki ubogi router. Według mnie nie warto.