نیاز به Firewall OS یا Router OS

[{ AliReaza }]

سلام دوستان

قرار است در یک سازمان تغییراتی در شبکه داده شود.

کلا ۱۴ تا شبکه Internet وجود دارد. ( ۵ شبکه بی سیم، بقیه DSL ) همه شبکه ها با سرعت متفاوت بین 2MB تا 8MB

قراره که این شبکه ها به یک System مثل Mikrotik وصل بشن و با Load Balancing به ۵ شبکه با سرعت های مختلف تبدیل شوند.

از اونجایی که قیمت سیستم عامل Microtik یک مقدار بالاست ( البته برای این سازمان  ). قرار شده اول در سیستم عامل های رایگان و منبع باز موجود جستجو بشه.

اما امکاناتی که نیاز داریم:
۱− بشه تمام Client ها را توسط MAC در شبکه مدیریت کرد.
می خوایم بجای اینکه تک تک برای هر Client تنظیمات Gateway را انجام دهیم، توسط MAC تنظیم کنیم که کدام Client به کدام Gateway دسترسی داشته باشد.

۲− برای دسترسی به Internet هر Client باید Username و Password وارد کنه. فکر کنم بهش میگن Hotspot.
برای جلوگیری از سوء استفاده از MAC مدیران یا افراد دیگر، باید تایید هویت بشن. اگر Username و Password وارد شده برای MAC دیگری باشد اطلاع داده شود و...

۳− امکان مدیریت میزان استفاده از Internet.

۴− امکان Filter کردن آدرس ها.
بعضی از Client ها مثل مدیر باید بتونند به Server و DVR Server دسترسی داشته باشند، اما بقیه نه.

۵− امکان مدیریت ساعت دسترسی.
مثلا از ساعت ۸ صبح تا ۴ بعد از ظهر همه با Username و Password وارد بشن. عملا اینطوری میشه زمان شروع و پایان کار را هم بهتر مدیریت کرد.
ساعت ۴ باید همه کاربران از شبکه به صورت خودکار خارج شوند.
بین ساعت ۴ تا ۷ به عنوان اضافه کاری هست. پس کاربر میتونه دوباره وارد شبکه بشه و اضافه کاری کنه.
اما در نهایت از ساعت ۷ شب تا ۸ صبح کله شبکه باید غیرفعال بشه. ( برای جلوگیری از سوء استفاده های احتمالی. )


آیا اینجا کسی از سیستم عامل های Router یا Firewall رایگان استفاده کرده؟ یا از امکاناتشون خبر داره؟
کدام یک امکانات بالا را دارند؟ ( منظورم به صورت پیشفرض هست. )


من خودم تاحالا با Mikrotik کار نکردم، آیا تمام امکانات بالا در Mikrotik قابل اجرایی است؟ ( جستجو کردم و دیدم ۴ مورد اول قابل اجرایی هستند ( اما تا خودم انجام ندم نمی تونم مطمئن بشم ). اما مورد ۵ را نفهمیدم چطوری باید اجرایی کرد. )


بخوام خلاصه بگم: آیا سیستم عاملی مثل MicroTik داریم، اما رایگان و OpenSource که بشه کارهای بالا را باهاش انجام داد؟

[abyz]

کلا من پیشنهادم استفاده از pfSense هست که تقریبا تمام این ویژگی‌ها رو داره. اما برم سراغ نیازمندی‌های شما

امکان loadbalancing وجود داره

۱- شما می‌تونید کاربران رو از روی mac توی dhcp و توی اتصال به اینترنت دسترسی بدی
۲- امکان captive portal وجود داره
۳- با استفاده از پکیج freeradius می‌تونید زمان، میزان و پهنای باند کاربران رو مدیریت کنید
۴- اگه شبکه سرورها و dvr از شبکه lan مجزا باشه با استفاده از firewall rule ها می‌تونید این کار رو انجام بدید
۵- توی freeradius فکر میکنم این امکان هست. همچنین قوانین firewall میتونه زمانبندی داشته باشه که شاید با این روش بشه نیاز شما رو رفع کرد

اما نکته مهمی که هست اینه که شما بایستی بری pfSense رو یاد بگیری و دردسر config کردن رو بپذیری.

وگرنه الان تو شبکه شرکت ما به سناریوهایی شبیه به این تقریبا ۲ ماه هست که این سیستم بدون مشکل کار می‌کنه.

حالا یه نگاهی بهش بندازید ببینید به دردتون میخوره یا نه

[{ AliReaza }]

کلا من پیشنهادم استفاده از pfSense هست که تقریبا تمام این ویژگی‌ها رو داره. اما برم سراغ نیازمندی‌های شما

امکان loadbalancing وجود داره

۱- شما می‌تونید کاربران رو از روی mac توی dhcp و توی اتصال به اینترنت دسترسی بدی
۲- امکان captive portal وجود داره
۳- با استفاده از پکیج freeradius می‌تونید زمان، میزان و پهنای باند کاربران رو مدیریت کنید
۴- اگه شبکه سرورها و dvr از شبکه lan مجزا باشه با استفاده از firewall rule ها می‌تونید این کار رو انجام بدید
۵- توی freeradius فکر میکنم این امکان هست. همچنین قوانین firewall میتونه زمانبندی داشته باشه که شاید با این روش بشه نیاز شما رو رفع کرد

اما نکته مهمی که هست اینه که شما بایستی بری pfSense رو یاد بگیری و دردسر config کردن رو بپذیری.

وگرنه الان تو شبکه شرکت ما به سناریوهایی شبیه به این تقریبا ۲ ماه هست که این سیستم بدون مشکل کار می‌کنه.

حالا یه نگاهی بهش بندازید ببینید به دردتون میخوره یا نه

اتفاقا گرفته بودم و می خواستم آزمایشش کنم، اما کار پیش اومد.
الان نصبش کردم و از Web Interface وارد شدم و خیلی گزینه های زیادی داره.

با توجه به MikroTik Demo می تونم بگم، اگر از MikroTik حرفه ای تر نباشه، کمتر هم نیست. ( البته با توجه به امکاناتی که نیاز هست. )

فقط باید سر فرصت وقت بذاریم پاشو و امتحانش کنیم.


به غیر از pfSense آیا مورد دیگه ای هست؟

راستی pfSense بر اساس FreeBSD هست. مورد دیگه ای که بر اساس توزیعات Debian یا Arch باشه چی هست؟


و اینکه منظورتون از اینکه pfSense را بایستی یاد گرفت چیه؟
اگر منظورتان یاد گرفتن تنظیمات و غیره برای کار کردن هست، که تا اونجا که میدونم در MicroTik هم همینطور هست.
و اگر منظورتون از دردسر Config هم وقت گذاشتن برای انجام کارهای مورد نیاز هست! خب در MicroTik هم باز باید وقت گذاشت.

کلا به غیر از تفاوت ظاهری و کم و زیاد بودم امکانات تفاوت خاصی ندارند و باید برای همشون از آموزش تا تنظیمات، وقت گذاشت.

فعلا در اولویت نیاز به سیستم عاملی داریم که امکاناتی که می خوایم رو داشته باشه، و تا جای ممکن مثل MicroTik پر امکانات باشه.

نکته: علت مقایسه با MicroTik فقط بخاطر مشهور بودن و پر امکانات بودن هست.

[abyz]

در مورد یادگیری باید بگم چیزی که اینجا یادمیگیری احتمالا جای دیگه‌ای به دردت نمیخوره. چون من هر جایی رفتم گفتم pfSense گفتن که نه یا mikrotick یا cisco یا اینجور چیزا.

در مورد زمان بر بودن کانفیگ باید بگم که کاری که مثلا من توی kerio دیدم با چندتا کلیک ساده انجام میشه اینجا یکم پیچیده تره و زمان بیشتری می‌گیره. گفتم شاید mikrotik هم یه چنین چیزایی داشته باشه.

از نظر من بخاطر ساختار pf کلی امکانات بهتری از mikrotik بهت میده اما باید خودت تجربه کنی تا بهش برسی.


چیزای زیادی هستن که براساس لینوکس هستن. اما من الان حضور ذهن ندارم. فکر کنم دوتاش clean os و zeroshell باشه. این دوتا رو سرچ کنی بقیش رو پیدا میکنی.

اما من جایی کار میکردم که قرار بود UTM درست کنیم و اونجا بعد از تست و بررسی زیاد به این نتیجه رسیدیم که pfsense‌ بهتره.

مهمترین دلیل برتری هم freebsd بودنش هست. چون tcp/ip stack توی freebsd توی مستندات رسمی ۵۰ برابر تست ها بهتر وتوی تست های ما چندین برابر(عدد دقیقش یادم نیست) هم بهتر از لینوکس عمل میکنه.

من فرار کنم الان یه سری میان منو میزنن که گفتم freebsd بهتر از لینوکسه

[nixoeen]

چون tcp/ip stack توی freebsd توی مستندات رسمی ۵۰ برابر وتوی تست های ما چندین برابر(عدد دقیقش یادم نیست) بهتر از لینوکس عمل میکنه.

چه نیازی به بیان الکی عددهای ساختگی هست؟ یا اینکه اون مستندات رسمی رو نشون ما هم بدید کمی اطلاعاتمون زیاد شه

[abyz]

اول از همه بگم که من غیرتی روی لینوکس یا freebsd ندارم و توی خونه از لینوکس و برای شبکه از freebsd(pfSense) استفاده میکنم.

خب من رفتم یکم بگردم که ببینم اون مستندات رو پیدا میکنم که نکردم پس نظراتم رو اصلاح کردم

یک جای قدیمی هست که این دوتا رو باهم مقایسه کرده که اینجاست و freebsd بهتر از لینوکس عمل کرده
http://bulk.fefe.de/scalability/
http://www.net.t-labs.tu-berlin.de/papers/SWF-PCCH10GEE-07.pdf

اما توی تستهای جدید که اکثرا هم سعی کردن کارتهای جدید ۴۰ گیگ رو تست کنن. لینوکس و freebsd تقریبا مثل هم عمل کردن. این گزارشها رو ببینید

http://www.chelsio.com/wp-content/uploads/resources/T5-40Gb-Linux-DPDK.pdf
http://www.chelsio.com/wp-content/uploads/resources/T5-40Gb-Linux-iSER.pdf
http://www.chelsio.com/wp-content/uploads/resources/T5-40Gb-Linux-NVMe.pdf
http://www.chelsio.com/wp-content/uploads/resources/T5-40Gb-FreeBSD-TOE-DDP.pdf
http://www.chelsio.com/wp-content/uploads/resources/T5-40Gb-FreeBSD-Netmap.pdf

[nixoeen]

یک جای قدیمی هست که این دوتا رو باهم مقایسه کرده که اینجاست و freebsd بهتر از لینوکس عمل کرده
http://bulk.fefe.de/scalability

حداقل لینک‌هایی که می‌دید رو خودتون یک بار بخونید

توی اینجا Linux 2.6 برنده‌ی اکثریت Benchmarkها هستش بجز برای باز کردن سوکت که همونطوری که توی خود سایت هم گفته شده، FreeBSD فقط بصورت ظاهری اتصال سریع‌تری انجام میده (و به قول سایت تقلب می‌کنه) و طبق گرافی که داره و سرعتش قبل از باز کردن ۳۵۰۰ تا File Description، سرعت Linux 2.6 بالاتره. حتی توی mmaping تنها هسته‌ای که پیچیدگی (O(1 داره، Linux 2.6 هستش.

طبق منبع خودتون که ۱۲ سال هم از عمرش می‌گذره، Linux 2.6 بهتر عمل می‌کنه!

همینطور که گفتم، نیازی به ایجاد تنش با چنین جمله‌هایی مثل BSD بهتر از گنو-لینوکس توی TCP/IP هستش (چه با عدد، چه بی‌عدد) نیست، چون برای هر دو طرف میشه مدرک پیدا کرد که اون یکی بهتر عمل می‌کنه و در پایان بیشتر وابسته به تنظیمات سیستم‌عامل هستش تا به پیاده‌سازی TCP/IP.

[aso_asw]

با سلام
تمام امکاناتی که شما گفتید هر فایروالی که اسم خودش رو گذاشته فایروال باید داشته باشه، یعنی موارد بسیار ابتدایی بودند ، مواردی که شما فرمودید.
یکی از این فایروالا که تمام قابلیتهای بالارو داره PFsense هستش ، اما موردی که برای شما هم تمام موارد بالارو انجام میده و هم کار UTM هم کار Cloud Service ، هم کار FTP Server WebServer ، DnsServer ،  و خلاصه هر چیزی که فکرتون بهش میرسه رو براتون انجام بده ، ClearOS هستش ، که منی که با انواع فایروال و UTm کار کردم ، به نظرم هیچ مورد دیگری به این ClearOS نمیرسه!
تنها ضعف این UTM نداشتن پشتیبانی از mplsه!!!!
پیشنهاد من به شما دوست عزیز ClearOS هستش.
با تشکر

[{ AliReaza }]

با سلام
تمام امکاناتی که شما گفتید هر فایروالی که اسم خودش رو گذاشته فایروال باید داشته باشه، یعنی موارد بسیار ابتدایی بودند ، مواردی که شما فرمودید.
یکی از این فایروالا که تمام قابلیتهای بالارو داره PFsense هستش ، اما موردی که برای شما هم تمام موارد بالارو انجام میده و هم کار UTM هم کار Cloud Service ، هم کار FTP Server WebServer ، DnsServer ،  و خلاصه هر چیزی که فکرتون بهش میرسه رو براتون انجام بده ، ClearOS هستش ، که منی که با انواع فایروال و UTm کار کردم ، به نظرم هیچ مورد دیگری به این ClearOS نمیرسه!
تنها ضعف این UTM نداشتن پشتیبانی از mplsه!!!!
پیشنهاد من به شما دوست عزیز ClearOS هستش.
با تشکر

خیلی ممنون دوست عزیز

قبلا ClearOS را امتحان کردیم، تقریبا ۳ روز پیش.

اما یک مشکلی که هست، باید حتما به Internet وصل بود و ثبت نام کرد تا بشه مراحل نصب را تکمیل و ابزارهای جانبی نصب کرد.

خیلی دنبال راهی گشتم که بشه بدونه ثبت نام بشه ClearOS را استفاده کرد، اما نشد.
فقط تونستم در مراحل نصب ClearOS، ثبت نام را دور بزنم. اما برای نصب ابزار های جانبی نیاز به Internet و ثبت نام هست.


باتوجه به اینکه ممکنه به هردلیلی نتوان به Internet دسترسی داشت، کار با ClearOS سخت میشه.

تازه این را هم باید اضافه کرد، که نسخه سازمانی ClearOS پولی هست.

اما در اینجا نیاز به Firewall هست که رایگان باشد.