Consiglio Router / Firewall ufficio

[tgmx]

Ciao Ragazzi,
in ufficio è un po' che stiamo valutando l'acquisto di un nuovo router / firewall dal momento che quello che abbiamo (un d-link entry-level) non offre sufficienti possibilità di parametrizzazione o controllo sulla lan.

In particolare sarebbe utile avere un router che desse la possibilità di gestire la banda per ogni host nella lan. Ultimamente capita che qualcuno in azienda si metta a scaricare qualcosa (magari dei semplici pdf da internet) e, data la scarsa qualità della connessione dati, gli altri host hanno serie difficoltà anche ad effettuare una semplice ricerca su google.

Chiaramente il router che andremo ad acquistare dovrà essere abbastanza semplice da impostare da non richiedere particolari corsi di formazione.

Che mi consigliate?

[twister]

Linux+iptables+squid

[tgmx]

Linux+iptables+squid

Seeee certo... lo sapevo pure io...

[man_in_green]

Se hai la possibilità (spazio/rumore e consumi elettrici) ti consiglio l'uso di una distribuzione ad hoc come la "Endian cmmunity" oppure "Ipcop".
Sono delle buone alternative a fare tutto a mano oppure all'acquisto di un prodotto tipo Cisco o simili che si collocano in una fascia sia di utilizzo che di prezzo molto alta.
Le Distro che ti ho segnalato sono liberamente utilizzabili, hanno una comoda interfaccia web ed integrano nativamente o tramite plugins proxy, content filtering, antivirus per mail e ftp otre che la gestione del QoS che ti può tornare utile per la gestione della bada dei diversi client di rete., grafici di utilizzo rete/sistema, backup della configurazione ed altre amenità varie che li collocano un p'ò più su del classico router/firewall soho.
Unico neo, la necessità di un modem esterno (anche pppoe) e di un pc dedicato con almeno 2/3 schede di rete.
Per la Endian esistono pure a prezzi relativamente contenuti le appliance.

[navajo]

Se hai la possibilità (spazio/rumore e consumi elettrici) ti consiglio l'uso di una distribuzione ad hoc come la "Endian cmmunity" oppure "Ipcop".
Sono delle buone alternative a fare tutto a mano oppure all'acquisto di un prodotto tipo Cisco o simili che si collocano in una fascia sia di utilizzo che di prezzo molto alta.
Le Distro che ti ho segnalato sono liberamente utilizzabili, hanno una comoda interfaccia web ed integrano nativamente o tramite plugins proxy, content filtering, antivirus per mail e ftp otre che la gestione del QoS che ti può tornare utile per la gestione della bada dei diversi client di rete., grafici di utilizzo rete/sistema, backup della configurazione ed altre amenità varie che li collocano un p'ò più su del classico router/firewall soho.
Unico neo, la necessità di un modem esterno (anche pppoe) e di un pc dedicato con almeno 2/3 schede di rete.
Per la Endian esistono pure a prezzi relativamente contenuti le appliance.

Quoto.
Io sto usando ipcop da oramai tre anni in un ufficio di un amica.
l ho messa su un p3. Gestisce 4 pc su una rete fastweb. mai un problema. Ha una miriade di plugin per espandere le sue opzioni. Di Endian ne ho sentito parlare molto bene, ma non la conosco direttamente.

[man_in_green]

Io sto usando ipcop da oramai tre anni in un ufficio di un amica.
l ho messa su un p3. Gestisce 4 pc su una rete fastweb. mai un problema. Ha una miriade di plugin per espandere le sue opzioni. Di Endian ne ho sentito parlare molto bene, ma non la conosco direttamente.

Per integrare le informazioni date da navajo posso solo aggiungere che a lavoro uso la Endian, da alcuni mesi una delle Appliance per l'esattezza, ma vi sono arrivato dopo aver provato la versione "endian community" e prima ancora "IPCop".
Se può essere utile la mia esperienza, consiglierei IPCop a chi ha voglia un poco di "sporcarsi le mani" per fare un prodotto attagliato al massimo alle proprie esigenze (necessità di installare in alcuni casi parecchi plugins che comunque sono molto ben fatti), mentre la Endian è consigliabile per l'integrazione estrema di tutte le componenti (avendo quindi un prodotto già chiavi in mano alla prima installazione).
Comunque saltando dal tecnico allo storico entrambe sono derivate se non sbaglio da Smoothwall quindi come configurazione e impiego sono molto simili

[tgmx]

Grazie Ragazzi,
già conoscevo ipcop (per grandi linee) e so di cosa è capace, preferivo però acquistare un router sia perché è meno rumoroso sia perchè ultimamente non ho molto tempo da dedicare alla gestione della rete.
Come ho detto all'inizio, attuamente utilizzo un semplice d-link senza tante pretese. Cercavo qualcosa che fosse abbastanza completo da consentire controlli maggiori sulla rete ma non pensavo certo di mettere su un pc per questo...

[krisis]

Se vuoi fare qos ed avere controllo sul router devi comprare un cisco o un apparato di classe equivalente , niente roba presa in un megastore.
Al limite prendi un linksys ed installaci openwrt.
Se vuoi usare ipcop o simili allora devi installare nel server una scheda adsl altrimenti dovrai sempre e comunque tenerti il giocattolino della dlink che ti farà da collo di bottiglia.

[tgmx]

Al limite prendi un linksys ed installaci openwrt.

In effetti pensavo a una soluzione di questo tipo...

Come si comporta openwrt per questi scopi? Quale linksys è più adatto considerando che non mi interessa il wifi?

[kobaiachi]

Cisco ASA 5505

[tgmx]

Cisco ASA 5505

Ho appena controllato il prezzo e sembra ragionevole...
Secondo te con questo router riesco a gestire ciò di cui ho scritto nel primo post?

[kobaiachi]

ecco un esempio abbastanza chiaro di cosa puoi fare

Codice: Seleziona tutto

    Enable 'mls qos' globally. This has several effects, which include transmit queue partitioning, so hopefully it's already on. If not, I recommend further reading.
    Define an ACL and traffic class. If you want to rate-limit the whole port, regardless of addresses or ports, you can just use the built-in "class-default". Otherwise, do something like this:

        ip access-list extended acl-bad
         permit ip host 1.2.3.4 any eq www
         permit ip any eq www host 1.2.3.4

        class-map match-any class-bad
         match access-group name acl-bad

    Define a policy that does policing

        policy-map policy-bad
         class [ class-bad | class-default ] ! specific traffic, or all
          police 30000000 ! 30 Mbps

    Apply the policy to the interface, per direction.

Make sure you don't have 'mls qos vlan-based' configured for the port. This command shifts policy enforcement to the layer-3 SVIs, which is probably not what you want.

    interface g1/1
     service-policy input policy-bad
     service-policy output policy-bad

comunque è una cosa che va studiata e ragionata prima di farla ed è una configurazione abbastanza avanzata.
se vuoi prendere l'asa dovrai imparare un po di ios e di ASDM (l'interfaccia grafica) ..

la configurazione di sopra è usata su un router ma va bene con qualche aggiustamento anche per l'asa .

il tuo caso è un po diverso ma non di tanto .

comunque come vedi è roba che si configura da cli se hai la voglia di imparare un asa offre tantissimo

altrimenti potresti usare uno zyxel che forse è po piu friendly dell asa