След като прочетох този пост Armor Your Palace, се позамислих, хареса ми идеята, и се хванах за работа.
Тъй като това си е цяла система, ще разгледам различните елементи отделно, този пост е посветен firewall-a
И така Как да си направим един приличен Firewall / Router за вкъщи? С каква операционна система да е той, и за какви функции ще го ползваме.
Незнам от къде намерих един много добър документ с тази таблица в него:
Firewall Comparison.pdf
Хареса ми pfSense. Поиграх си с него на виртуална машина, не изглежда зле, може да му се добавят доста полезни пакети(проложения), и да прави Dual WAN с Load Balancing.
Опитах на направя нещо такова с dd-wrt, но е доста елементарно решения и му липсват доста фикции. Има доста опътвания по въпроса тук ,но бих ви препоръчал да изчетете дъъъъългите теми по въпроса във форума.
След като го разгледах и нямах никакво желание да го оставям на виртуална машина.
Трябваше да му намеря подходящ хардуер, в сайт-а на pfsense има доста препоръки в това отношение.
Един бърз поглед в hardwarebg, ме убеди че подходящ за мен варят е платка на PC Engines.
Харесах си Alix2d3, има си 3 Ethernet порта, 500 MHz AMD процесор, и 256 MB RAM.
В този прекрасен пост обясняват точно такъв setup, какъвто имах намерение да направя.
Building A Firewall: pfSense on an ALIX 2D3
В него се цитират един друг изключително полезен пост за embedded
Installing pfSense on the alix2c1
По – конкретно как се flash-ва последната версия на биос на такова дъно, как се правят настройки на BIOS-a му през null modem cable.
Идеята да си имам пълноценен Dual WAN router, с читав FireWall и IDS (Snort), ми харесваше все повече и повече.
PC Engines в Българя се предлага от няколко фирми, аз си намерих моята платка в reloadbg.
В електронния им магазин има и кутия (enclosure) за дъното. Няма да го оставя платката гола я.
Не намерих подходящо захранване, и след бърза консултация в skype с някой от reloadbg, ме насочи към едно за microtik-ски платки, което предлагат.
Имаха в наличност null modem cable, за да мога да работя с платката.
Единственото което оставаше да намеря и Compact Flash карта на която да го инсталирам. След сравнение на цените реших че 4 GB pqi 150 X ще ми свърши работа. В момента се разработва версия 1.2.3 на pfSense и тя ще има img за такава.
| alix2d3 | 188 | MB |
| Alix 3d3 | 25 | Case |
| CF 4 GB | 32 | Hdd |
| Null modem cable | 8 | |
| Power Supply | 15 | |
| Total: | 268 | |
| with VAT | 321.6 |
в лева без доставката.
Нямах време да ходя и да купувам всичко на място за това си ги поръчах с доставка.
Приятно ме изненада факта че не получих Alix2d3 a Alix2d13
И така вече имах всичките необходими компоненти.
Сега трябваше да запиша примерно
http://88.198.81.53/downloads/pfSense-1.2.2-Embedded.img.gz
на CF (Compact Flash Card).
Тук идва въпроса с какво, как?
Това tutorial-che ми даде всичките отговори.
Преди да го следвате е добре все пак да обновите BIOS-a на дъното до последната версия.
Така се избягват неприятни ситуации.
И така слагаме CF в дъното и сме готови, не съвсем.
незнам защо но трябва с ей такива големи букви да го напишат:
Embedded installation do not support packages!!!
Тоест не можеш да си добавяш пакети към инсталацията, ако си я направил както е описано по – горе. Супер тъпо, нали?
Смешното обяснение е че CF имат малко цикли за четене / писане, и така се щадяло максимално.
На кой му пука?!?, при сегашните цени на CF, можеш да си я сменяш достатъчно често за да не ми пречи така наречения flash wearout .
Какво правим сега?
Тук PCEngines ALIX boards and pfSense, StarScream казва как да преодолеем проблема.
В общи линии, инсталираме от LiveCD на CF в VMWare. Единственото което мога да допълня е че с 1.2.2 става и без да се слози GRUB. Даваше ми някаква грешка при инсталация, и го прескочих.
И о чудо, имаме си pfSense с възможност за пакети, върху Alix-a.
Boot-на си нормално. Сега е в тестов период. Тоест една седмица нонстоп работа.
Добрите новини не свършват до тук.
Next generation of pfSense embedded now available
Добрите новини са че няма да е необходимо да правя такива маймонджулъци, за да го подкарам както си искам, а пакетите ще са достъпни в 1.2.3. Прегледайте го, има още доста интересни неща.
За забавление се оказа че enclosure-a дето съм взел трябва леко да се модне. Нямаше подходяща отвор за двата USB конектора. След половин час с дремела и няколко пили имаше.
Good to find an erpxet who knows what he’s talking about!
Приветствую! NICs based on Intel chipsets tend to be the best performing and most reliable when used with pfSense software. We therefore strongly recommend purchasing Intel cards, or systems with built-in Intel NICs up to 1Gbps. Above 1Gbps, other factors, and other NIC vendors dominate performance.