pfsense

фря

http://m0n0.ch/wall/

На подавляющем большинстве железячных роутеров стоит Linux. Даже на Cisco ASA. Делай выводы.

offtopic: На подавляющем большинстве десктопов стоит windows. Делай выводы.

topic: роутер? obsd!

Монетку кинь.

zeroshell, но лучше какой либо дистрибутив поставить, ИМХО, гибче будет.

http://www.engardelinux.org/
Ну или netinstall + все под себя

Некорректное сравнение. Windows стоит потому, что хомячки привыкли и консумерского софта куча написано. При выборе ОС для embedded систем такой проблемы нет. Так что делай выводы, ага.

а что? другие хомячки тоже привыкли затыкать единым им знакомым решением всё и вся. такие вот выводы.

Без конкретного тз разницы нет. Для моих задач мне нравится простая опенбздя.

Меня удивляет что оно не умеет делать правила firewall по MAC адерсам. Конечно я понимаю, что MAC не сложно и поменять, но ip адрес поменять ещё легче.

Linux

Если с текстовой консолью дружишь - Vyatta Core твой выбор.

Если нужен веб-гуй - то гугли, тысячи их, на базе и того, и другого.

FreeBSD. Посмотри вот тут.
/месть.

Конечно я понимаю, что MAC не сложно и поменять, но ip адрес поменять ещё легче.

Не хотел бы оскорблять, но очень похоже на слова админа локалхоста.
В сетях от n устройств - dhcp. А вот ip, который выдаст сервер - можно легко завязать на mac<->ip.
И никакая из ваших проблем больше не актуальна.
ЗЫ: а если у вас можно украсть мас другого юзера(!), да еще и с возможностью поменять его на целевой машине, от прав обычного пользователя(!) - то тут 2 варианта: или это цирк, или локалхост с ребёнком.

Та, к которой привыкли.

И лучше смотреть не в сторону полновесных дистров, а в сторону роутерных. LEAF, m0n0wall, pfsense и иже с ними - тысячи их. Ибо из серии «настроил и забыл» - ФС в рид-онли либо монтируется однократно при буте, отключение питания нагорячую никак не повредит раздел и т.д.

та, которой ты умеешь пользоваться.

А если это офисная сеть/домонет на 10 машин, части из которых надо зарезать выход в интернеты? :) Что, ставить свич за 200 баксов, чтобы юзеры не могли сменить ип? :)

Великая Вселенная...
А тут в чём проблема работать с dhcp?

чтобы юзеры не могли сменить ип

Вы не читали что я писал выше.
И это печально.

OpenBSD

у меня прекрасно работает на двух древних тазах. на одном пень2 266 64 ОЗУ на другом пень3 чуть лучше ттх. даже сидюки не нужны для инстала, легко ставится по сети. все что касается сети они потянут, даже айписек совсем чуть-чуть.

ClearOS!

А тут в чём проблема работать с dhcp?

Да ни в чем, не считая того что любой кулхацкер Вася ставит себе ип Пети статикой и получает интернеты, в то время как Петя сосет сосиску. В принципе вполне обыденное явление для пионернета на мыльницах. И с ним никак не побороться, кроме как сменив железо на управляемое, с ip source guard или (хуже) с ACL или хотя бы с вланами. Можно лишь как-то ограничить этот пир духа, введя привязку к маку.

Ну тогда даже не знаю, если на сеть из 10ти машин жаль железки за 200$.

FreeBSD

самое беспроблемное - pfSense

На подавляющем большинстве железячных роутеров стоит Linux. Даже на Cisco ASA. Делай выводы.

Если по порядку:

Железячный роутер и линукс. Я знаю только одну линейку с линукс - Cisco ASR 1000. Там действительно стоит линукс на каждом модуле. Но - линукс там только для запуска оригинальных процессов из IOSа. Зовется это все вместе IOS-XE. То есть control plain - все тот же IOS, хоть распотрашенный на отдельные составляющие, поверх линукса, а data plain - как обычно - ASIC. Тут про железные роутеры и линукс мимо. Кстати абсолютно также сделано у Jumiper в их JunOS, где FreeBSD только для запуска сервисов.

Далее Cisco ASA, да там линукс во все поля. За ASA не могу сказать - собственный там софт поверх линукса или линукс используется чуть более чем пускалка приложений. Но зато точно - Cisco ASA софтарный роутер. Так что тут тоже мимо.

На новых high-end маршрутизаторах Cisco - IOS-XR, базирующаяся на QNX. Но это же не заставит аргументировать ставить на домашний роутер QNX?

Так вот такие вот выводы.

FreeBSD- старое проверенное решение.

Любая железка управляется софтом, так что про любую можно сказать - софтварный роутер. Или разделять их по наличию асиков и ткам? Так тут понятно, что железяка с тухленькими процами не сможет протянуть через системную шину нужный PPS, поэтому она только control plane.

В общем непонятно о чем спор. То, что в подавляющем большинстве soho роутеров стоит линупс - это факт. Про то, что он стоит в асе, хоть и сильно перепиленый - тоже факт. А кто из них софтовый или железячный - дело терминологии.

Любая железка управляется софтом, так что про любую можно сказать - софтварный роутер

Внезапно нет.

Или разделять их по наличию асиков и ткам?

Внезапно да.

Так тут понятно, что железяка с тухленькими процами не сможет протянуть через системную шину нужный PPS, поэтому она только control plane.

Непонятно, что значит _только_ control plane? Control plane и data plane - разные сущности. И весь смысл в том, что на софтовых роутерах control и data plane на процессоре общего назначения, а на железных - data plane на отдельных asic'ах. Железные коробки зачастую и имеют не самый выдающийся проц, вот как пример:

#sh version | i CPU    
SR71000 CPU at 600Mhz, Implementation 0x504, Rev 1.2, 512KB L2 Cache

а форвардит десятки гигабит.

В общем непонятно о чем спор.

Форвардингом трафика на железных коробках занимается не линукс. Поэтому приплетать линукс к железным коробкам в контексте форвардинга трафика - неверно.

софтовый или железячный - дело терминологии.

Да и уже вполне определено, что есть что.

Выбирай то, в чем сам больше разбираешся. Ну или хочешь научится разбираться. Также неплохо было бы узнать что за машинка? Ведь устаревшим ПК теперь и P4 считается.

Спасибо всем участникам за подробное разъяснение вопроса

Буду использовать для софтварного роутера pfSense.

massive

Также неплохо было бы узнать что за машинка?

CPU Pentium 4 2.66Ghz RAM 1Gb HDD 80Gb

Кх кх. Как по мне, для такой машинки под силу любая ОС и дистрибутив. У самого крутиться роутер на Debian 6. На нем запущен Squid, munin, free-sa(по крону раз в день) и lighttpd для отображения статистики. Машинка Celeron 667, 256Mb ОЗУ, 4.3 Гб. винт.

А вот FREESCO (http://www.freesco.org) на одной дискете умещался раньше.

Проект уже год как заглох, ядро 2.0.39. А так да, на одной дискете, 486 даже пойдет.

Я так понял, есть у тебя личный опыт с zeroshell?
Как у него с:
- WAN failover;
- OpenVPN;
- шейпингом?

- WAN failover;

Ok, с одним допуском. Астериск перестает передавать звук после отработки скриптов переключения. Не нашел в чем дело

OpenVPN

Ok

шейпингом

Не использовал. Даже не знаю есть он там.

У вас есть альтернативное решение, как на неуправляемых свичах контроллировать, кто подключен к порту/с какого порта коннектится клиент? Или на оных зарезать возможность украсть мак другого юзера? Поделитесь тайной методикой :)

И, повторюсь, ограничить это можно лишь частично, введя привязку к маку и отсеяв т.о. некую часть «особо умных». Если файрвол не поддерживает это - да, можно извратиться и забить маки статикой в арп (или бздя и это не умеет?), но все же правильнее будет не плодить сущности. Тем более, если нужно не резать траффик, а определять обладателей шаловливых ручонок...

речь не идет о десктопном компьютере.