PFsense oder UTM für kleines Geld

Viren gar nicht erst in das Netzwerk rein lassen. Wieso nicht schon vor dem PC stoppen.
Es gibt hier nette Ansätze Untangle, Astaro, GateProtect und viele mehr.

Alle Diese Produkte haben leider eines gemeinsam. Sie kosten ab einer bestimmten Anzahl an Clients oder gleich von Anfang an richtiges Geld.
Durch Andreas bin ich auf die pfSense gekommen. Er hat angefangen kleine mini PC´s zu bauen die auch noch hübsch und erschwinglich sind.
Als Basis hat er dafür ein Alix Board genommen welches auch mit WLan erweitert werden kann. Somit kostet ein kleiner Router mit WLan rund 180€ bei Amazon.
Nicht schlecht.

Das Ganze hat nur einen kleinen Nachteil für die Webfilter und Antiviren Funktion haben die Alix Boards zu wenig Leistung (für VON reicht es allerdings dank onboard AES Beschleuniger).

Ich habe mich deswegen etwas an der Astaro Hardware orientiert und ein ITX MB Jetway J7F4K1G5S A 1500MHz Mini-ITX gekauft zusammen mit einem LC-Power LC-1320MI Gehäuse Mini-ITX 75W schwarz und einer kleinen Sata Festplatte macht das ganze jetzt richtig gute Laune.

Die Installation ist kinderleicht und man wird gut hindurch geleitet.
Einfach die PFsense bei „pfsense.org“ runterladen, brennen und starten.

Eine gute Anleitung wie man sich seine UTM einrichtet findet ihr hier:
http://www.smallnetbuilder.com/security/security-howto/31433-build-your-own-utm-with-pfsense-part-1?start=1

Alle Pakete die man benötigt sind wunderbar über die Weboberfläche zu installieren. Danach kann man sich sein Dashboard anpassen und in eine Kommandozentrale verwandeln.

Das Ganze geht auch größer. Bei einem Kunden haben wir ein Dell R310 mit 8GB RAM und einer 2ten Netzwerkkarte in Betrieb genommen (insgesamt 4 LAN Ports). Verdammt schnell.

Aber man merkt das pfSense noch in der Entwicklung ist. Es gibt momentan noch Probleme mit Hyperthreading (liegt aber an der Konfiguration des FreeBSD Betriebssystems), das sollte man vorher im BIOS ausschalten und dann sollten Anpassungen in der Config vorgenommen werden. Der hier genannte Fehler betrifft langsame Reaktionen des Webinterfaces bis hinzum Freeze und ggf. ist der Proxy langsam. Der Fehler wird begleitet von Protokollmeldungen („Could not setup receive structures“) und ist auch unter „R310 pfsense web freeze“ oder direkt hier zu finden.

http://redmine.pfsense.org/issues/1221

Die Problematik rührt aus der Standardeinstellung für IGB Warteschlangen. Die Anzahl orientiert sich wohl anhand der CPU’s – und wenn man mit einem QuadCore mit HyperThreading ankommt und das System offenbar mit 2x Anzahl an CPUs rechnet – also 16 Queues erstellt obwohl sogar 2 ausreichen würden.

Man sollte sich mit SSH auf die pfSense verbinden und die Datei /boot/loader.conf.local anlegen und diesen Inhalt einfügen:

kern.ipc.nmbclusters="655356"
machdep.hyperthreading_allowed="1"
hw.igb.num_queues="4"

Die Community ist sehr rührig und hilft bei Problemen.
Dennoch bin ich der Meinung dass die PFSense bereit für den professionellen Einsatz beim Kunden ist.

Was kann die PFsense:
– Firewall
– Router
– Virenscan von ftp, POP3, SMTP, HTTP / leider kein HTTPS
– Snort
– Spamfilter
– Proxy Server
– IPSEC, PPTP, L2TP und OpenVPN
– Load Balancing von WAN´s
– DHCP Server, Relay
– PPPoE Server
– Wake on LAN für Clients
– vieles mehr….

Wie alles das im Einzelnen funktioniert wird uns Andreas bestimmt in nächster Zeit schreiben.

Share

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

xBj6c

Bitte geben Sie den Text vor: