Allgemeine Fragen etwas OT [gelöst]
-
Für eine richtig gute Lösung mit Extrahardware würde ich ca. 300€ brauchen und ca. 20 Watt Mehrverbrauch… naja.
Die von BlueKobold genannte Alix APU kostet weniger als 200, wenn du sie selbst zusammenschraubst, und braucht ca. 10W im normalen Firewall-Betrieb.
Für den hp hätte ich noch eine Intel Pro Dual, er hätte dann drei Ports, 4GB, und SSD für OS. Das würde mich also nichts kosten, 24h läuft er eh schon.
Auf diesem möchtest du 3 Maschinen virtualisieren? Da muss du mit der RAM Zuordnung aber sparsam umgehen. Ich würde da noch einen Riegel reinstecken.
Was ich nicht ganz verstanden habe, ist der Host gefährdet durch die Weiterleitung der Ports oder ist das ein eher theoretisches Problem. Gut, irgendwie müssen die Pakete vom Port zu der VM mit der Firewall kommen. Und ein Fehler könnte irgendwie ausgenutzt werde um in den Host einzubrechen aber würde ein solcher Fehler nicht auch dazu führen, dass man eine in Hardware vorgeschaltete Firewall ebenfalls umgehen könnte?
Von der I/O MMU Technik, die ich oben genannt habe, noch nichts gehört? Da arbeitet die virtuelle Maschine direkt mit der Hardware, während der Host nichts anderes damit zu tun hat die Hardware der VM bereit zu stellen. Vom Traffic, der da über die Schnittstelle geht, weiß der Host gar nichts, er wird ihn dir auch nicht anzeigen können. Es ist keine Softwarezugriff möglich.
Wenn deine Hardware diese Technik nicht unterstützt, dann hängst du auf der NIC, die du für WAN verwendest, nichts weiteres drauf, auch nicht den Host. Dann geht der Traffic zwar über den Treiber des Hosts, sonst gibt es aber keine Berührungspunkte.
Ja, sicher kann man das auch irgendwie hacken, aber nachdem es keine direkten Zugriffe auf den Host gibt, müssten diese über eine VM erfolgen, aber einerseits sollten diese entsprechend durch die Firewall abgesichert sein, natürlich sind auch die Sicherheitsupdates zu machen und andererseits ist ein solcher "Durchgriff" sehr schwierig.Übrigens habe ich SUSE sowohl als Wirt als auch als Webserver im Einsatz und bin damit zufrieden. Aber eine Diskussion darüber gehört nicht ins pfSense Forum.
-
@BlueKobold:
Klar wenn Du Dich bei der Konfiguration vertan hast ist Dein Netz offen wie ein Scheunentor,
ob nun virtuell oder nativ auf eigener Hardware ist dabei völlig egal.Wenn du beim Weggehen zuhause den Wohnungsschlüssel außen am Türschloss stecken lässt, ist die auch offen wie ein Scheunentor und womöglich die Wohnung leer, wenn du wieder nach Hause kommst.
Fehler kann man überall im Leben machen. Manche sind auch Brand-gefährlich, andere nur dumm. Dort wo es gefährlich ist, sollte man mit doppelter Aufmerksamkeit arbeiten.@BlueKobold:
Wenn der Server mal nicht mehr läuft oder Probleme macht hat man aber auch gleich keine Firewall mehr
und wenn das nur eine kleiner Server ist, ist da meist auch kein Platz mehr nach oben für die pfSense.Die braucht er dann wohl auch nicht.
-
@viragomann:
ich dachte bei "Fehler" weniger an einen Einrichtungsfehler als eher an eine Art Exloit auf niederinger Ebene. Irgendetwas obskures, unwahrscheinliches…@jegr:
bei der Dreiportlösung, meinst du, den internen Port der Firewall nicht virtuell verbinden, so der wirklich als Kabel raus und über n Switch an den Serverport wieder rein?Zum Alix, der scheint zwar schön sparsam im Verbrauch aber auch recht exotisch, muss ich mir genauer ansehen. Für die Leistungsklasse ist das Board aber recht teuer und mit Rackgehäuse und Netzteil sind es dann auch 300€. Wenn man mit dem ca. doppelten Verbrauch leben kann, gibts auch ein Supermicro X10SBA (Gehäuse + NT + RAM) auch für fast den gleichen Preis.
-
bei der Dreiportlösung, meinst du, den internen Port der Firewall nicht virtuell verbinden, so der wirklich als Kabel raus und über n Switch an den Serverport wieder rein?
Ja. Den Zugriff auf den Host/Hypervisor solltest du eh sehr selten brauchen (je nachdem) und damit wäre der zusätzlich rein physikalisch isoliert. Im Fehlerfalle dass jemand was falsch konfiguriert oder steckt, hinge der Port dann immer noch am internen Switch und nicht nackig im Netz :)
Zum Alix, der scheint zwar schön sparsam im Verbrauch aber auch recht exotisch, muss ich mir genauer ansehen
Inwiefern exotisch? Es ist eine x86 Architektur als embedded Board. Nichts abgefahrenes daran. Die ALIX wäre aber eh zu langsam um mehr als 30-50MBit zu wuppern, alles unter einer APU würde ich da nicht anfassen. Und bitte @alle nicht immer ALIX APU o.ä. schreiben. Das sind 2 verschiedene Brands. Genauso wie die WRAP vorher. Das war auch keine WRAP ALIX danach ;) Die Produktschiene heißt einfach so. ALIX ist die alte x86 Struktur und APU (AMD T40e x64) die neuen Boards mit mehr Power.
Wer noch mehr möchte, kann entweder warten, bis bspw. die J1900 Serie von Lanner raus kommt (soll die Lücke zwischen APU und C2358er Atom füllen und hat AES-NI und Quickassist!), ein Device mit C23x8er Atom ins Auge nehmen (dann ist man aber auch bei ~400-450€) oder man muss es komplett selbst bauen. Was dann aber wieder schwierig wird, wenn man Rackmounted möchte. An der Stelle würde ich eher eine richtige Appliance einsetzen und nicht mehr selbst basteln.
@catalpa: bei X120SBA hast du aber auch nur 2 NICs onboard. Reicht das dann überhaupt? Ein kompletter SuperServer mit dem Board wäre ja der E200-8B der auch schon bei ~350€ liegt - als Barebone. Bis man da fertig ist, hat man auch ~450€ weg. Da lohnt sich vielleicht der Blick auf Geräte wie die Lanner Fw7525B oder SG2220.
Grüße
-
Zum Alix, der scheint zwar schön sparsam im Verbrauch aber auch recht exotisch,
Auf den alten Alix Board und auch den neuen PC Engine APU Boards laufen so viele Firewall und Router OS
das man wohl eher von dem Standard und nicht von einem exotischen Board reden kann/sollte.muss ich mir genauer ansehen. Für die Leistungsklasse ist das Board aber recht teuer
Aber es kommt mit 3 GB LAN Ports, 3 miniPCIe slots + 1 SIM slot und 4 GB RAM + SDCard slot und
SATA Anschluss. und Qualität hat eben Ihren Preis, die sollen ja auch 24/7 durchlaufen.Die von BlueKobold genannte Alix APU kostet weniger als 200, wenn du sie selbst
zusammenschraubst, und braucht ca. 10W im normalen Firewall-Betrieb.Die ~220 € verstehen sich auf ein pfSense Komplettpaket auf PC Engines APU Basis von Varia-Store.
und mit Rackgehäuse und Netzteil sind es dann auch 300€.
Das sollte man dann aber auch mal vorher sagen denn dadurch wird sich fast jedes Angebot verteuern.
Wenn man mit dem ca. doppelten Verbrauch leben kann, gibts auch ein Supermicro X10SBA (Gehäuse + NT + RAM) auch für fast den gleichen Preis.
Sicherlich, funktionieren tut ja vieles, nur dann lieber ein Jetaway mit gleicher CPU und;
Jetway NF9HG-2930 Thin mini-ITX Network Motherboard- SIM Slot onboard
- 2 x PCIe x1 slot
- 2 miniPCIe slots
- 4 Intel GB LAN Ports
-
ja, sorry: im 19-Zoll-Gehäuse wäre schön. Unser "Serverraum" ist der Hauswirtschaftsraum und da ist schon genug SchnickSchnack drin. In einem Anfall von Ordnungsliebe habe ich seinerzeit die aus der Decke kommenden LAN-Kabel auf ein anständiges Patchfeld in einem kleinen Rack geführt und einen 19-Zoll-Switch eingebaut. Wenn der Router nun auch dort einziehen würde wäre das schön aufgeräumt und nur der hp ein NAS stehen doof rum.
Das Jetway sieht in der Tat gut aus und bietet mehr für den fast gleichen Preis. Der DC-Stromanschluss ist auch nicht schlecht, weiß jemand etwas zur Stromaufnahme?
-
Das Jetway sieht in der Tat gut aus und bietet mehr für den fast gleichen Preis. Der DC-Stromanschluss ist auch nicht schlecht, weiß jemand etwas zur Stromaufnahme?
Das Board sollte auch für pfSense, Squid und Snort reichen, das Netzteil wird direkt vorne am Board
angeschlossen und somit braucht man auch nur ein externes Netzteil und keine PicoPSU und sonstige
Adapter. Den Verbrauch kenne ich nicht. -
Vielen Dank an alle, ihr habt mir gute Tips gegeben :)
Auf lange Sicht werde ich Extra Hardware benutzen, das Jetway gefällt mir gut. Der Preisunterschied zur APU ist zu gering für meinen Geschmack, aber mal sehen.
Für erste Experimente probiere ich es in der VM mit drei Ports.
Danke,
Patrick
-
Auf lange Sicht werde ich Extra Hardware benutzen,
Was heißt extra Hardware? Und wozu?
das Jetway gefällt mir gut.
- das doppelte an Kernen
- das doppelte an GHz
- das doppekte an GB RAM
- zwei PCIe x1 Slots
- nur zwei miniPCIe Slots
- nur mini ITX Format
Der Preisunterschied zur APU ist zu gering für meinen Geschmack, aber mal sehen.
Der Mehrwert sollte das aber auch wieder wett machen, denn bei Varia-Store kann man auch ein
19" Dual Rack mount Gehäuse kaufen und sich das mit diesem Board ausrüsten, je nach Wunsch.Für erste Experimente probiere ich es in der VM mit drei Ports.
würde ich auch machen wollen und gleich die VM wenn installiert mal kopieren
und wenn dann einmal etwas "passiert" kann man die VM einfach löschen und
wieder mit der nächsten Kopie zu arbeiten. Denk dran immer alles sichern,
also so oft wie möglich die Konfiguration sichern, dann kommt man auch
schnell wieder an den Punkt wo man ein "Malörchen" hatte. -
mit Extrahardware meinte ich halt nur "Router auf eigener Hardware", keine VM im hp ;)