Linux jako brama do internetu+filtr treści+antywir - jaki?


(whanamingo) #1

Witam

zostałem opiekunem pracowni komputerowej dla dzieciaków.

Chcę z jednego kompa zrobić zabezpieczenie pracowni przed wirusami, atakami (firewall) i przede wszystkim nieodpowiednimi treściami dla małoletnich - a więc bramę sieciową z linuksa...

Oczywiście wszystko musi być darmowe na wolnej, otwartej licencji...

Jako że nie mam doświadczenia z linuksami proszę o porady:

  1. Czy komputer typu: Pentium II 2,8 GHz, 512 Ram, Hdd 40 GB 1 Mb Cache - wystarczy do tego celu ?

  2. Czy komputer na Bramę musi mieć 2 karty sieciowe ?

  3. Jakim oprogramowaniem powinienem się zainteresować do w/w celów (filtr treści, firewall, antywirus)- będę wdzięczny za informację, linki do przewodników, forów poświęconych temu tematowi - słowem wszystko co mnie ukierunkuje na cel...

Mam trochę czasu i chęci żeby nauczyć się czegoś nowego - Linuksa...

Komputery w sieci (do ochrony) to Windowsy XP (12 szt.) o parametrach jak ten proponowany na bramę...

//o wybór dystrybucji proszę pytać w tym temacie forum.dobreprogramy.pl/jaki-linux-wybor-dystrybucji-t188867.html

roobal


(Frankfurterium) #2

Była kiedyś minimalistyczna dystrybucja, co się zwała Freesco. Miała być darmową odpowiedzią na drogie routery firmy Cisco. Ruszała na każdej zapalniczce (ja trzymałem na kompie bez HDD, 64 MB RAM i chyba Celeronie 300 MHz). Firewall i filtracja treści były na pewno, ale co do antywirusa nie mam pewności.

Jeżeli interesuje cię coś nowszego i bardziej popularnego, w internecie roi się od tutoriali, jak serwer/router zrobić z Debiana. Zwróć tylko uwagę na datę publikacji, bo trafiają się wpisy iście muzealne.


(Michalwojtkowiak) #3

AD 1 pewnie starczy

AD 2 tak

AD 3 Jak dla amatora to chyba dawny ebox (http://www.zentyal.org/). Zmienili nazwę chyba

AD 4

Firewall - iptables lub jakieś nakładki na iptables

Filtr treści - Squid

Antywirus - ????? Ale o co chodzi????


(roobal) #4

Spokojnie wystarczy.

Brama sieciowa jest, jak nazwa wskazuje bramą dla komputerów w LANie do innych sieci, więc jeśli chcesz wychodzić poza sieć LAN, np. do internetu, to brama powinna Cię łączyć z innymi sieciami, więc powinna mieć 2 karty sieciowe, każda podłączona do innej sieci. Jedna karta (o ile to umożliwia) sprawdziłaby się prędzej w połączeniach trankowych, jeśli chciałbyś łączyć ze sobą VLANy.

ClamAV, IPTables, Dans Guardian. Możesz też skorzystać z gotowych dystrybucji, które są dedykowane do pełnienia roli routera.

Bez przesady, na tym sprzęcie spokojnie pójdzie jakaś dystrybucja z KDE, poza tym po co na routerze środowisko graficzne? Jeśli ktoś chce mieć GUI, może uruchomić na routerze WebGUI.

A routery sprzętowe ile mają RAMu? Za routing bardziej procesor odpowiada, niż RAM.

Pozdrawiam!


(Irabuntu) #5

Tu masz gotowe rozwiązanie: http://wioowszkole.org/SRU/ skonfigurowany serwer pod szkolne pracownie, właściwie wszystko działa "out of box". Co prawda masz trochę mało RAM-u, więc możesz użyć innego środowiska, np. LXDE.

Na stacjach uczniowskich możesz wrzucić obok XP-ka SRU_Desktop, dzieciaki się ucieszą...


(whanamingo) #6

Prosiłbym o rekomendację "gotowej" dystrybucji, która mogłaby pełnić funkcję routera z serwerem dhcp + filtr treści + antywirus dla plików pobieranych i wysyłanych z sieci....

Dystrybucji posiadającej interfejs graficzny i polskie forum wsparcia - oczywiście darmowe i nadal rozwijane - mam za małe doświadczenie aby samemu coś wybrać...


(Marcin86s) #7

Debian? Interfejs graficzny w tym wypadku jest naprawdę zbędny, ale jak już coś musisz to LXDE.


(roobal) #8

Chociażby Vyatta, jeśli czujesz się na siłach korzystać z trybu tekstowego, z tym, że jest on podobny do CLI z Cisco IOS, więc jest dość intuicyjny. Niestety w najnowszych wersjach WebGUI (moim zdaniem zresztą nieintuicyjne) dostępne jest tylko w płatnych wersjach systemu. Warty uwagi jest też m0n0wall, bazujący na FreeBSD, tutaj krótko opisałem ten system http://www.dobreprogramy.pl/roobal/mnwa ... 20156.html

Większość dystrybucji pełniących rolę routera posiada jedynie WebGUI (konfiguracja przez przeglądarkę stron www). Jednak o wybór konkretnej dystrybucji proszę pytać już w tym temacie jaki-linux-wybor-dystrybucji-t188867.html po to on powstał.

Pozdrawiam!


(Rybers) #9

Panowie

gotowa dystrybucja:

IPfire - ma przyjazne WEBGUI

NND

Można Debiana squeeze trochę odchudzić i na nim wszystko uruchomić, trochę wyzwanie ale możesz dodatkowo uruchomić kilka usług które Ci się przydadzą np: Samba, OpenVPN, Cacti, jakiegoś NetFlowa, WEB Proxy.

Co do maszyny którą podałeś ja mam IPfire + Snort na urządzeniu które ma 1 GHz CPU i 512 MB ramu, system postawiony na starym sticku USB i to ma tyle zapasu jeszcze, ram 33% zużycia, CPU do 10 %. Zaznaczam, że łącze download 20 Mb/s i upload 6 Mb/s.

Debiana też bym na tym postawił, tylke że bez X-ów bo po co Ci środowisko graficzne?

Jeszcze raz wracając do sprzętu - CISCO ASA 5505 ma 256(lub 512) RAMU i CPU Geode 500 MHz i jak dobrze sobie radzi :slight_smile:

Co do antywirusa to hmmm, nie wiem po co? Stacja kliencka powinna mieć swojego a Ty musisz posiedzieć nad filtrami URL i regułami SNORT-a.

Tak naprawdę całą politykę bezpieczeństwa umieścił bym w domenie, żeby centralizować zarządzanie.

Co do dwóch interfejsów w bramie sieciowej to można polemizować, bo wystarczy wygenerować sobie podinterfejs(subinterface), ustawić odpowiednio NAT i po sprawie jeden kabelek do switach i gra - nie jest to bezpieczne, no ale...


(boykott) #10

Jedną z najlepszych dystrybucji do zastosowań jako router / brama dostępowa to pfSense.


(roobal) #11

Dystrybucja jakiego systemu? pfSense nie jest oparta na Linuksie , a na FreeBSD.


(boykott) #12

To znaczy że jest gorszy? Mac OS też jest oparty o FreeBSD... Tak naprawdę, to czy jest to linux czy jakieś BSD nie gra większej roli - jeśli spełnia swoją rolę i jest przygotowany stricte pod to zadanie (brama dostepowa) tym lepiej.

Używam pfSense'a od ładnych paru lat i mogę powiedzieć tyle że jeśli chce się mieć wydajny, zaawansowany w funkcje router wraz z prostym web-konfiguratorem to jest to strzał w dziesiątkę. A jeżeli nie ma czegoś w gotowych, dedykowanych paczkach to można zainstalować bezpośrednio z portów FreeBSD.

Oczywiście to wszystko można postawić na debianie i skonfigurować ale po co, skoro to samo można osiągnąć szybszym sposobem i mieć wygodny web-konfigurator...

A jesli chodzi o slowo dystrybucja to miałem na myśli distro dedykowane dla routerów.


(roobal) #13

Czy ja napisałem, że jest gorszy? Napisałeś dystrybucja, ale ktoś kto nie rozróżnia systemów nie będzie wiedział, że chodzi o Linuksa, a potem będą pretensje, że coś nie działa tak, jak na innej dystrybucji Linuksa.

Mac nie jest oparty na żadnym FreeBSD, tylko zarówno Mac, jak i Windows korzystają ze stosu TCP/IP z FreeBSD.

Nie powiedziałem, że to zły system. m0n0wall też bazuje na FreeBSD i ten system również polecam. Dystrybucją Linuksa wartą polecenia (szczególnie osobom związanym z urządzeniami CIsco) jest Vyatta.


(Niedzw) #14

Autor wątku już się pewnie zgubił w tym bogactwie a istnieje przecież dystrybucja dla szkół

http://www.wioowszkole.org/section/szko ... ks-ubuntu/

może jeszcze MASQ

http://dug.net.pl/drukuj/31/udostepnien ... wego_(masq/