Аналоги Pfsense в Linux
Обновлено: 28.06.2024
Обратите внимание, что эта сборка скоро будет обновлена.
Введение:
Как и многие технические директора, я доверял Cisco и ее дочерним компаниям все, кроме самых конфиденциальных данных, делая ставку на этику и конфиденциальность компании. Из-за недавних событий, свидетельствующих о вопиющем отсутствии этики и ценности, приписываемой конфиденциальности их клиентов, я больше не могу этого делать. Для тех из вас, кто не слышал, обратите внимание на следующую статью:
На данный момент все оборудование Cisco должно считаться подозрительным из-за корпоративного отношения и практики, доведенных до нашего сведения. Дело не в том, что было сделано, а в том, как и почему.
Из всех компаний Cisco должна была знать лучше. На самом деле не имеет значения, украл ли кто-то ноутбук, взломал и забрал что-то с сервера, отслеживает и декодирует пакеты, поступающие в общедоступную сеть, или взламывает брандмауэр для корпоративного контроля и интеллектуального анализа данных, результаты одинаковы. У кого-то есть информация, которая им не нужна, и у меня нет на это разрешения. Правда в том, что Cisco должна была знать лучше, но, очевидно, сломала это доверие за разумную цену.
После краткого обсуждения этого вопроса совет директоров Lobo Savvy Technologies, LLC принял решение опубликовать базовый дизайн брандмауэра для широкой публики. Это было сделано по трем причинам:
<р>1. Если бизнес считает необходимым удалить оборудование Cisco из своих офисов, необходима замена, прежде чем работа может быть начата.2. Дизайн не является нашим коммерческим предложением, хотя он имеет много общих характеристик. Нам не повредит разглашение этой информации.
3. Хотя многие знают о возможностях Linux в обычном ПК, используемом в инфраструктуре, это настолько очевидная демонстрация, насколько это возможно.
Объем выпуска аппаратного обеспечения с открытым исходным кодом представляет собой простую комбинацию частей, а также использование общедоступного оборудования ПК для брандмауэра. Это делается для предотвращения такого использования закона об интеллектуальной собственности в будущем. Выпускаемый нами брандмауэр:
Зеленый. Соответствует RoHS, потребляет 12-20 Вт в зависимости от нагрузки.
Тишина. Нет движущихся частей.
Мощный. Достаточно для управления компанией среднего размера (до 50 пользователей).
Тяжело. Он помещен в защищенный от взлома стальной корпус.
Надежный. Он продемонстрировал время безотказной работы 6 сигм в экстремальных условиях.
Просто. Это не требует изучения тайного языка или специального кабеля.
Доступно. Все администрирование происходит на защищенной внутренней веб-странице.
Интуитивно понятный. Он имеет удобную для чтения панель инструментов, которая дает вам информацию о состоянии с первого взгляда.
Проект выпущен как оборудование с открытым исходным кодом в соответствии с лицензией OSHW Draft Definition 1.0, принадлежащей Lobo Savvy Technologies, LLC. Является подписантом. Рекомендуемым программным обеспечением является Endian Firewall версии 2.5.1 Community Edition, которая представляет собой усиленную версию RHES, но можно использовать любое программное обеспечение брандмауэра для ПК (например, IPCop или PFSense). В конце концов, это ваш брандмауэр.
Ничто в этой конструкции не является критическим, хотя каждый из перечисленных компонентов был тщательно отобран с учетом ряда факторов. В результате брандмауэр построен из общедоступных компонентов в хорошо сбалансированную, надежную систему, потребляющую мало энергии. Кроме того, с перечисленными поставщиками было приятно иметь дело и продавать в отдельных количествах широкой публике. Фактическая стоимость оборудования от перечисленных поставщиков составляет немногим более 350 долларов США, включая доставку.
Один вопрос, который я всегда получаю, звучит так: "Как процессор с такими низкими характеристиками может делать что-то полезное, не говоря уже о том, чтобы работать наравне с чем-то от крупной компании, стоимость которого в 10 раз превышает стоимость деталей?" На это легко ответить. Во-первых, процессор с «низкими характеристиками» — не лучший выбор для настольного компьютера, особенно с современной графической операционной системой… но мы ведь не этим занимаемся, не так ли? Мы не запускаем никакую графику через брандмауэр, освобождая процессор для выполнения тяжелой работы. Именно по этой причине сервер Linux лучше, чем любой продукт Windows или Mac на том же оборудовании.
Самая большая проблема при работе с высококлассными продуктами Cisco — это командная строка. Чтобы сделать его более интуитивным, существуют инструменты для их графического администрирования, но они на самом деле не обладают той максимальной мощью, которой обладает командная строка. Дистрибутивы брандмауэров, которые мы перечислим позже, имеют веб-конфигурацию и отчетность, что позволяет интуитивно изменять что-либо на лету без необходимости находиться перед оборудованием. Администратор брандмауэра может даже настроить его для администрирования с планшета или смартфона без каких-либо ограничений. Небо - это действительно предел.
Если вам не хочется самостоятельно собирать собственный брандмауэр, мы будем рады помочь. Наша цена составляет 999,95 долларов США за собранное и протестированное устройство, отправленное в любую точку США с 5-летней гарантией на детали и работу. Срок исполнения 2 недели.Установка и обучение доступны за дополнительную плату.
С другой стороны, хотя подробности выходят за рамки этой статьи, можно использовать старый ПК с парой сетевых карт. Хотя мы не можем рекомендовать его из-за пониженной производительности и рисков, присущих бывшему в употреблении оборудованию, он должен быть в пределах навыков любого, кто считает себя технически склонным. Это может быть выходом для компьютерного энтузиаста, у которого есть некоторые детали на их личном «кладбище», поскольку это может снизить стоимость деталей до нуля.
Обратите внимание, что это не список всего программного обеспечения брандмауэра, используемого в системе. Это список программного обеспечения брандмауэра, которое, как известно, работает на этой платформе. Поскольку это ПК, настроенный для определенного использования, он может работать на чем угодно, если учитываются возможности оборудования.
Перед началом полностью прочитайте инструкции. Это должно быть интуитивно понятно, но будет иметь больше смысла, прочитав инструкции, увидев детали и выполнив работу. При этом используются все три стиля обучения; слуховые, зрительные и кинестетические.
Электронные компоненты чувствительны к статическому электричеству. Используйте статическое безопасное рабочее место и браслет. Если у вас нет к ним доступа, есть другой способ. Тщательно следуя этим протоколам, вы можете свести накопление статического электричества к минимуму почти так же, как если бы у вас было надлежащее оборудование:
Перед началом или возобновлением работы коснитесь голой стали в корпусе перед электронными частями.
Находитесь в почти постоянном контакте с оголенной сталью в корпусе при работе с внутренними деталями.
Не вынимайте электронику из защитных пакетов до готовности, а затем кладите их прямо в корпус.
Закройте корпус, как только внутренние работы будут завершены, чтобы предотвратить случайный контакт.
Ф. Электропроводка
1. Подключите один из прилагаемых кабелей SATA к порту, ближайшему к углу материнской платы.
2. Подключите другую сторону к порту на жестком диске, спрятав лишний кабель под мостом.
3. Найдите кабель питания, поставляемый с материнской платой, и подключите его к разъему питания на материнской плате.
4. Подсоедините другой конец кабеля питания к жесткому диску, используя маленькие стяжки, чтобы он оставался аккуратным.
5. Обрежьте концы стяжек с помощью бокорезов, стараясь не порезать провода.
Х. Включите питание
1. Подключите монитор SVGA, клавиатуру, компакт-диск и блок питания
2. Нажмите на утопленный выключатель питания концом скрепки.
3. Как только вы увидите активность на экране, нажмите клавишу для входа в настройки.
4. Вы можете увидеть ошибку, связанную с оперативной памятью или жестким диском. На данный момент это нормально.
Я. Изменить настройки BIOS
1. Нажмите Enter, чтобы войти в стандартные функции CMOS.
2. Не беспокойтесь об установке даты, так как большинство брандмауэров автоматически синхронизируют часы.
3. Убедитесь, что жесткий диск отображается в SATA 1 Port Master.
4. Установите для параметра «Остановка» значение «Все, кроме клавиатуры». Нажмите Esc, чтобы выйти из меню стандартных функций CMOS.
5. Наведите стрелку вниз на Advanced BIOS Features и нажмите Enter.
6. Убедитесь, что USB CD-ROM отображается как загрузочное устройство перед жестким диском, затем нажмите Esc.
7. Перейдите в меню «Встроенные периферийные устройства» и установите для состояния после сбоя питания значение «Предыдущее состояние».
8. Остальные значения по умолчанию должны быть в порядке. Нажмите F-10, чтобы сохранить изменения и выйти.
Дж. Установите программное обеспечение брандмауэра
1. Загрузите дистрибутив брандмауэра и запишите его на компакт-диск. Мы рекомендуем Endian 2.5.1.
2. Вставьте компакт-диск с выбранным программным обеспечением брандмауэра в дисковод для компакт-дисков.
3. Перезагрузите систему.
4. Следуйте инструкциям на экране и/или в руководстве по выбранному дистрибутиву брандмауэра.
К. Установка
1. Найдите место для брандмауэра рядом с другим сетевым оборудованием, к которому он будет подключаться.
2. Обязательно сориентируйте монтажную пластину таким образом, чтобы ребра радиатора материнской платы были вертикальными.
3. Закрепите пластину с помощью стандартного оборудования в зависимости от монтажной поверхности.
4. Наденьте брандмауэр на выступы монтажной пластины и зафиксируйте его ключом.
Л. Окончательная конфигурация и тестирование
1. Подключите сети и питание (монитор, клавиатура или CD-ROM вам не понадобятся).
2. Нажмите на утопленный выключатель питания концом скрепки и дайте ему полностью загрузиться.
3. Войдите в веб-браузер, чтобы завершить настройку в соответствии с инструкциями программного обеспечения или руководства.
4. Проверьте наличие доступа в Интернет, изменив настройки по мере необходимости.
Некоторые заключительные примечания:
Эта конструкция брандмауэра способна защитить три внутренние сети от внешней среды. Эти сети, называемые зонами, также защищены друг от друга брандмауэром и будут взаимодействовать только так, как вы разрешаете с помощью установленных вами правил. Можно сделать правила настолько слабыми, что в брандмауэре действительно не будет смысла. Также можно заблокировать себя, установив слишком жесткие правила.Подумайте, что вы делаете, прежде чем изменить правило. В этом случае просто переустановите брандмауэр.
Не потеряйте ключ от корпуса брандмауэра. Поскольку и последние 4 винта корпуса, и болты крепления пластины недоступны, когда брандмауэр установлен на пластине и заблокирован, в случае потери ключа потребуется геркулесово усилие, чтобы снять и/или открыть брандмауэр. Есть способ, но он некрасивый и может убить аппаратное обеспечение брандмауэра. Просто держите запасной ключ с пометкой и там, где вы можете его найти, это предотвратит это.
Хотя ровная плоская верхняя поверхность корпуса брандмауэра может выглядеть как удобное место для размещения таких вещей, как блоки питания, эта область должна оставаться свободной, чтобы сохранить конвекционный поток воздуха, который необходим брандмауэру для охлаждения. По этой причине межсетевой экран необходимо крепить к стене, а не ставить горизонтально или вертикально на стол. Корпус сильно нагревается при нормальной работе. Пока будет недостаточно жарко, чтобы разжечь огонь, руководствуйтесь здравым смыслом.
Наконец, настройте программное обеспечение для отправки вам файлов журналов по электронной почте. Читать их. Они будут содержать подсказки о потенциальных проблемах, проблемных пользователях, машинах в сети с вредоносными программами, потенциальных проблемах с оборудованием и, конечно же, внешних атаках. Картина, которую дают вам эти данные, будет иметь огромное значение для безопасности и надежности вашей сети.
Проект лицензии на оборудование с открытым исходным кодом 1.0:
Введение
Оборудование с открытым исходным кодом (OSHW) — это термин, обозначающий материальные артефакты — машины, устройства или другие физические объекты, дизайн которых был обнародован таким образом, что любой может создавать, модифицировать, распространять , и используйте эти вещи. Это определение предназначено для предоставления рекомендаций по разработке и оценке лицензий на оборудование с открытым исходным кодом.
Аппаратное обеспечение отличается от программного обеспечения тем, что для создания физических товаров всегда должны выделяться физические ресурсы. Соответственно, лица или компании, производящие товары («продукты») по лицензии OSHW, обязаны четко указать, что такие продукты не производятся, не продаются, не гарантируются или иным образом не санкционированы первоначальным разработчиком, а также не использовать какие-либо товарные знаки. принадлежит оригинальному дизайнеру.
Условия распространения оборудования с открытым исходным кодом должны соответствовать следующим критериям:
1. Документация
Оборудование должно быть выпущено с документацией, включая файлы дизайна, и должно быть разрешено изменение и распространение файлов дизайна. Если документация не прилагается к физическому продукту, должны быть широко разрекламированные средства получения этой документации по цене не выше разумной, предпочтительно с бесплатной загрузкой через Интернет. Документация должна включать файлы проекта в предпочтительном формате для внесения изменений, например, в собственном формате файла программы САПР. Умышленно запутанные файлы дизайна не допускаются. Промежуточные формы, аналогичные скомпилированному компьютерному коду, такие как готовые к печати медные изображения из программы САПР, не допускаются в качестве заменителей. Лицензия может требовать, чтобы файлы дизайна предоставлялись в полностью документированном открытом формате.
2. Объем
Документация на аппаратное обеспечение должна четко указывать, какая часть проекта, если не вся, выпускается по лицензии.
3. Необходимое программное обеспечение
Если лицензионный дизайн требует, чтобы программное обеспечение, встроенное или иное, функционировало должным образом и выполняло свои основные функции, то лицензия может требовать выполнения одного из следующих условий:
a) Интерфейсы в достаточной степени задокументированы таким образом, чтобы можно было разумно считать простым написание программного обеспечения с открытым исходным кодом, которое позволяет устройству работать должным образом и выполнять свои основные функции. Например, это может включать использование подробных временных диаграмм сигнала или псевдокода для наглядной иллюстрации интерфейса в действии.
b) Необходимое программное обеспечение выпускается под одобренной OSI лицензией с открытым исходным кодом.
4. Производные работы
Лицензия разрешает модификации и производные работы, а также разрешает их распространение на тех же условиях, что и лицензия на исходную работу. Лицензия разрешает производство, продажу, распространение и использование продуктов, созданных из файлов дизайна, самих файлов дизайна и их производных.
Проект лицензии на оборудование с открытым исходным кодом 1.0 (продолжение):
<р>5. Свободное распространениеЛицензия не ограничивает продажу или передачу проектной документации какой-либо стороне. Лицензия не требует роялти или других сборов за такую продажу. Лицензия не требует каких-либо роялти или сборов, связанных с продажей производных произведений.
6. Атрибуция
Лицензия может требовать, чтобы производные документы и уведомления об авторских правах, связанные с устройствами, указывали авторство лицензиарам при распространении файлов дизайна, производимых продуктов и/или их производных.Лицензия может требовать, чтобы эта информация была доступна конечному пользователю, обычно использующему устройство, но не должна указывать конкретный формат отображения. Лицензия может требовать, чтобы производные работы носили имя или номер версии, отличные от оригинального дизайна.
7. Отсутствие дискриминации в отношении лиц или групп
Лицензия не должна дискриминировать какое-либо лицо или группу лиц.
8. Отсутствие дискриминации в отношении областей деятельности
Лицензия не должна запрещать кому-либо использование произведения (включая промышленное оборудование) в определенной области деятельности. Например, он не должен ограничивать использование оборудования в бизнесе или в ядерных исследованиях.
9. Распространение лицензии
Права, предоставляемые лицензией, должны распространяться на всех, кому произведение распространяется без необходимости оформления дополнительной лицензии этими сторонами.
10. Лицензия не должна быть привязана к конкретному продукту
Права, предоставляемые лицензией, не должны зависеть от того, является ли лицензированная работа частью конкретного продукта. Если часть произведения извлечена из произведения и используется или распространяется в соответствии с условиями лицензии, все стороны, которым перераспределяется это произведение, должны иметь те же права, что и права, предоставленные исходному произведению.
11. Лицензия не должна ограничивать другое аппаратное или программное обеспечение
Лицензия не должна накладывать ограничения на другие элементы, объединенные с лицензированной работой, но не производные от нее. Например, лицензия не должна настаивать на том, чтобы все другое оборудование, продаваемое с лицензируемым элементом, было с открытым исходным кодом, или чтобы только программное обеспечение с открытым исходным кодом использовалось вне устройства.
12. Лицензия должна быть нейтральной в отношении технологии
Ни одно положение лицензии не может быть основано на какой-либо отдельной технологии, конкретной части или компоненте, материале или стиле интерфейса или их использовании.
Насколько безопасна ваша сеть? Используете ли вы файрвол для защиты вашей сети конфиденциальности?
Ранее я написал об управлении облачными файрволами и получил предложение написать о бесплатных файрволах или файрволах с исходным кодом.
Вот, пожалуйста!
Следующие бесплатные файрволы отмечают от файрволов веб-приложений. Они используются для защиты конфиденциальности, а не код или приложения.
1. пфсенс
Это решение для обеспечения безопасности с вероятным исходным кодом на основе ядра FreeBSD. pfSense – это одна из составляющих файрволов с коммерческим повышением функционала.
pfSense доступен как оборудование, облачное устройство и загружаемый исходник (общая версия).
Бесплатно выработана общая версия.
Мне нравится иметь документацию, хорошо понятную и простую в сборе. Вот некоторые из значимых выявленных особенностей pfSense:
- файрвол — фильтрация IP/портов, закрытие подключений, работа на канальном уровне, нормализация пакетов;
- таблица стены — по умолчанию все находятся в отслеживаемом состоянии правил, множественные конфигурации таблиц для обработки стены;
- серверная балансировка нагрузки — встроенный балансировщик нагрузки для ее распределения между многочисленными серверами;
- NAT (преобразование сетевых адресов) — переадресация портов, отражение;
- HA (высокая доступность) — переход на вторичный сервер, если основной дал сбой;
- мульти-WAN (глобальная компьютерная сеть) – использование более одного интернет-соединения;
- VPN (виртуальная частная сеть) — поддержка IPsec и OpenVPN;
- создание отчетов – сохранение информации об использованных ресурсах;
- мониторинг – мониторинг в режиме реального времени;
- динамический DNS – включено несколько DNS-клиентов;
- поддержка ретрансляции DHCP.
Поразительно, не так ли?
Кроме того, у вас также есть возможность использовать пакеты всего одним одним мышью.
- безопасность — stunner, snort, tinc, nmap, arpwatch;
- мониторинг – iftop, ntopng, softflowd, urlsnarf, darkstat, mailreport;
- создание сети — netio, nut, Avahi;
- маршрутизация — frr, olsrd, routed, OpenBGPD;
- обслуживание — iperf, widentd, syslog-ng, bind, acme, imspector, git, dns-server.
2. IPFire
IPFire основана на Netfilter и доверяет компаниям, присутствующим по всему миру.
IPFire можно использовать как файрвол, прокси-сервер или VPN-шлюз — все зависит от того, как вы настроите его. Он обладает большой гибкостью.
IDS (система обнаружения вторжений) является встроенной, поэтому обнаружение происходит и предотвращается с самого начала, а с дополнениями Guardian вы можете использовать автоматическую профилактику.
Вы можете понять, как работать с IPFire менее чем за 30 минут. Прочитать больше о его возможностях можно здесь.
3. OPNSense
OPNSense является ответом pfSense и m0n0wall. Графический интерфейс доступен через несколько дней, таких как французский, китайский, японский, итальянский, русский и др.
OPNSense обладает множеством серьезных уровней безопасности и функций файрвола, таких как IPSec, VPN, 2FA, QoS, IDPS, Netflow, Proxy, Webfilter и т.д.
Он совместим с 32-битной или 64-битной системной архитектурой и доступен для загрузки как ISO-образ и USB-установщик.
4. Брандмауэр NG
NG Firewall от Untangle — это единая платформа, где вы можете получить все необходимые для защиты сети своей организации.
Он получит расширенную панель инструментов, попробовать демо-версию можно здесь. Он работает как магазин приложений, где вы можете запускать или отключать определенные приложения (модули) в соответствии со своими указанными.
В дневной версии вы получаете доступ к платформе NG Firewall, бесплатные приложения и 14 самую пробную версию платных функций.
5. Гладкая стенка
Smoothwall Express — это бесплатное решение с внутренним веб-интерфейсом и управлением файрволом.
Smoothwall Express поддерживает локальную сеть (локальную сеть), DMZ (демилитаризованную зону действия), внутреннюю и внешнюю сеть файрвол, веб-прокси для сбора данных, статистику трафика и др.
Выключение или восстановление возможно через веб-интерфейс.
Примечание: Следующие две программы нацелены только на серверы Linux.
6. уфв
ufw (несложный файрвол) работает с Ubuntu. Для управления фильтрацией пакетов ядра Linux (Netfilter) используется интерфейс командной строки.
7. csf
csf (безопасность ConfigServer) протестирован и протестирован на следующих ОС и серверах серверов:
- RHEL/CentOS
- Облачный Linux
- Федора
- OpenSUSE
- Дебиан
- Убунту
- Слэкваре
- ОпенВЗ
- КВМ
- Виртуальная коробка
- ЗЕН
- VMware
- Виртуозо
- УМЛ
Я надеюсь, что вышеперечисленные бесплатные решения для файрвола помогут сэкономить деньги и защитить вашу инфраструктуру от взлома.
Хорошо, у меня есть 1 сервер с pfSense и много виртуальных серверов. Я использую восходящую функциональность Nginx для запуска нескольких веб-серверов на одном и том же общедоступном IP-адресе. Конечно, мне нужно знать НАСТОЯЩИЙ IP-адрес пользователя, а не прокси-сервер Nginx, который равен 192.168.2.2, но после переключения на pfSense (недавно был простой потребительский маршрутизатор) веб-серверы не могут видеть IP-адреса реальных пользователей.
Я пытался изменить различные настройки в разделе "Система" / "Дополнительно" / "Брандмауэр и NAT", например: Режим отражения NAT для перенаправления портов Включить автоматический исходящий NAT для отражения
Также в Firewall / NAT / Outbound пробовал все режимы, ничего не помогло, все равно у каждого пользователя есть IP моего прокси-сервера.
Итак, как отключить маскировку или как передать реальный IP-адрес клиента.
Обновить
Хорошо, похоже, проблема связана с поддоменами, а не с доменами. Ситуация сейчас:
Все записи доменов A указывают на внешний IP-адрес, затем pfSense перенаправляет порт 80 на прокси-сервер, затем прокси-сервер в зависимости от домена перенаправляет на соответствующий внутренний сервер.
У меня есть 2 физических сервера, 1 – маршрутизатор pfSense и еще один с виртуальным боксом, на котором работает много виртуальных машин, в этом примере – 4 ВМ
С nginx все в порядке, потому что, как я уже сказал: до pfSense у меня был подключен простой потребительский маршрутизатор с тем же переадресацией портов, но после изменения все работает так же, просто все пользователи приходят с 192.168.2.2 в журналах сервера и т. д. или просто в php удаленный_адрес
2 ответа 2
В основном существует два способа переадресации портов: один из них — это то, что сейчас делает ваш pfSense («полный» NAT, conntrack в Linux): когда новое соединение инициируется клиентом, pfSense создает новое сопоставление в своей таблице NAT, заменяет исходный адрес своим собственным, изменяет исходный порт, если это необходимо, и отправляет измененный пакет на ваш веб-сервер. Ваш веб-сервер автоматически направит свои ответы на машину pfSense, которая затем может снова поменять местами поля и отправить пакет клиенту. Преимущество этого подхода в том, что вашему веб-серверу не нужно знать об этом, он просто работает. Насколько я помню, вы можете отключить это в pfSense, если переключите режим NAT на «AON» и отключите NAT для (webserverip, targetport).
Ваш потребительский маршрутизатор выполнял простую переадресацию портов (DNAT в Linux): по прибытии пакета он просто менял адрес назначения и отправлял пакет на ваш веб-сервер. Поскольку у пакета теперь все еще есть реальный адрес источника, веб-сервер может видеть реальный адрес клиента. К сожалению, когда он отправляет ответ, он помещает свой собственный (частный) адрес в поле источника, который маршрутизатор должен заменить на ваш общедоступный IP-адрес на выходе (SNAT в Linux). Поскольку веб-сервер напрямую адресует пакет клиенту, маршрутизатор может сделать это только в том случае, если он также является шлюзом по умолчанию! (или когда вы настроили довольно странные политики маршрутизации на своем веб-сервере)
Да, все домены. Запись A указывает на мой внешний IP-адрес, затем порт pfsense перенаправляет 80 на тот же порт прокси. Конфигурация Nginx проста, и до pfSense проблем не было. Конфигурация Nginx очень проста, просто вышестоящий сервер 1 < server 192.168.2.12:80; >и сервер proxy_pass1;
Если у вас есть несколько разных доменов, вы должны иметь несколько разных серверных блоков, чтобы разделить их? Кроме того, видят ли клиенты IP-адрес блока pfSense или IP-адрес блока nginx?
Лучшие бесплатные брандмауэры Linux, упрощающие управление безопасностью брандмауэра на компьютерах и в сетях Linux.
И хотя в Linux есть брандмауэр, встроенный прямо в ядро, пользоваться им не очень удобно. Есть несколько графических утилит, которые могут помочь вам управлять им, но его защита ограничена вашей установкой Linux. А как насчет других устройств в вашей сети?
Являетесь ли вы домашним пользователем или управляете небольшим бизнесом, скорее всего, у вас есть несколько устройств, подключенных к Интернету. В дополнение к компьютерам в учреждениях любого размера также довольно часто имеется множество устройств IoT, которые необходимо защитить от нежелательных элементов в Интернете.
Выделенный брандмауэр стоит между Интернетом и очищает весь трафик до того, как он достигнет вашей внутренней сети.
Несмотря на то, что для его настройки с нуля требуются определенные навыки, существует несколько специализированных дистрибутивов, которые помогут вам с легкостью настроить выделенный брандмауэр.
1. IPFire
Простой в использовании брандмауэр с расширенными функциями
Причины для покупки
IPFire – это дистрибутив брандмауэра с отслеживанием состояния на основе Linux, построенный на основе Netfilter. Он начинался как ответвление проекта IPCop, но с тех пор был переписан на основе Linux From Scratch. IPFire можно развернуть на самых разных устройствах, включая устройства ARM, такие как Raspberry Pi.
Из-за своего минималистского характера IPFire более доступен по сравнению с некоторыми аналогами. Процесс установки позволяет настроить вашу сеть на различные сегменты безопасности, причем каждый сегмент будет иметь цветовую маркировку. Зеленый сегмент — это безопасная зона, представляющая всех обычных клиентов, подключенных к локальной проводной сети. Красный сегмент представляет Интернет. Никакой трафик не может проходить из красного сегмента в какой-либо другой, если вы специально не настроили его таким образом в брандмауэре.
Помимо функций брандмауэра, IPFire также имеет функции обнаружения и предотвращения вторжений, а также может использоваться для предоставления услуг VPN. Дистрибутив также можно доработать с помощью удобного набора надстроек, которые придадут ему дополнительные функциональные возможности.
2. OPNsense
Разветвление оригинального проекта pfSense, ориентированное на безопасность
Причины для покупки
OPNSense является результатом усилий двух зрелых проектов с открытым исходным кодом, а именно pfSense и m0n0wall.
Вместо Linux в OPNsense используется HardenedBSD, ориентированная на безопасность ответвление FreeBSD. Дистрибутив брандмауэра предназначен для использования в качестве платформы брандмауэра и маршрутизации и, помимо фильтрации трафика, также может использоваться для отображения авторизованного портала, формирования трафика, обнаружения и предотвращения вторжений, а также для настройки виртуальной частной сети (VPN) и многого другого. .
Стремясь своевременно реагировать на угрозы, дистрибутив брандмауэра предлагает еженедельные обновления безопасности.Одной из лучших особенностей OPNsense является то, что он предоставляет все свои функции из веб-интерфейса, которым приятно пользоваться и который доступен на нескольких языках.
OPNsense реализует брандмауэр с отслеживанием состояния и позволяет пользователям группировать правила брандмауэра по категориям, что, согласно его веб-сайту, является удобной функцией для более требовательных сетевых настроек.
Брандмауэр использует встроенную систему предотвращения вторжений. Это мощная форма глубокой проверки пакетов, при которой вместо простой блокировки IP-адреса или порта OPNsense может проверять отдельные пакеты данных или соединения и при необходимости останавливать их до того, как они достигнут отправителя.
3. пфсенс
Многофункциональный брандмауэр и маршрутизатор на основе FreeBSD
Причины для покупки
pfSense описывает себя как самый надежный брандмауэр с открытым исходным кодом. Оригинальный дистрибутив брандмауэра на основе FreeBSD, pfSense, имеет много общего с OPNsense. Например, помимо того, что это мощная и гибкая платформа брандмауэра и маршрутизации, она включает в себя длинный список связанных функций. Для начала, как и в случае с OPNsense, вы можете использовать pfSense для развертывания системы предотвращения вторжений, а также для включения доступа к VPN.
Кроме того, как и все его аналоги, вы можете полностью управлять pfSense через интуитивно понятный веб-интерфейс. Однако, в отличие от большинства своих аналогов, pfSense доступен в виде аппаратного устройства, виртуального устройства и загружаемой версии для сообщества.
Благодаря своей богатой истории pfSense, пожалуй, имеет самую обширную документацию и одно из самых больших сообществ пользователей, которые публикуют учебные пособия и видео на своих официальных каналах поддержки, а также в других местах в Интернете. Коммерческие хосты дистрибутива также предлагают платные учебные курсы, которые помогут вам наилучшим образом использовать развертывание pfSense.
4. ClearOS
Хорошо продуманный дистрибутив, невероятно простой в использовании
Причины для покупки
ClearOS – это дистрибутив на базе CentOS, который разработан как полнофункциональная замена коммерческим серверным дистрибутивам, таким как Red Hat Enterprise Server или Windows Small Business Server.
Существует несколько выпусков ClearOS, в том числе выпуск, поддерживаемый сообществом, который можно загрузить бесплатно. Вы можете использовать версию ClearOS для сообщества, чтобы развернуть все виды сетевых служб, включая брандмауэр, с функциями фильтрации содержимого и обнаружения вторжений.
Самое лучшее в ClearOS — простота развертывания. Поскольку большинство дистрибутивов брандмауэров написаны для стереотипных гиков, приятно видеть освежающее изменение в том, что, кажется, стало стандартом де-факто «собери все воедино, а потом подумай об интерфейсе».
После установки вы можете управлять брандмауэром на базе ClearOS через веб-интерфейс управления. Интерфейс администрирования интуитивно понятен и не только поможет вам настроить и контролировать брандмауэр, но также может быть использован для добавления в дистрибутив нескольких других сетевых служб несколькими щелчками мыши.
Кроме того, в ClearOS есть много документации, которая помогает новичкам справиться с некоторыми из наиболее распространенных задач. На самом деле, даже в самом интерфейсе есть множество полезных подсказок, которые помогут вам в процессе настройки и администрирования.
Читайте также: