Ищу специализированный шлюзовой дистрибутив

0

2

Что нужно:

1. NAT.
2. Кластеризация.
У pfsence сделано очень годно. CARP, pfsync.
3. Возможность подключения к нескольким провайдерам.
У pfsence это Outbound and Inbound Load Balancing.
4. VPN сервер.
5. Snort.
6. BGP Community.
7. Возможность прикрутить к zabbix и ELK. Желательно ещё Moloch.

Из двух серверов собрать кластер, в качестве шлюзов:
2 Xeon x5670
ОЗУ 16 гб
2 PSU
2 SSD HW/Raid 1
Intel I350-T2

Чего хотелось бы:

Linux, а не BSD.

Задачи:

Из текущих серверов нужно построить «отказоустойчивую» сеть, в которой должно быть два провайдера, с локальной сетью, фильтрацией. В локальной сети скорости 1Гб/сек. В мире - 100Мб/сек. Трафик должен принимать «кластер» из серверов и на выходе выдавать чистый свитчам.

Данные задачи сейчас решает: коммутатор -> кластер из SRX 240H -> текущие сервера с Snort -> свитчи.

Опыта в данной задаче мало. Скромный личный бюджет, без возможности проводить эксперементы - нет шанса на ошибку. Прошу критики, советов и тп

Ссылка

←	Как восстановить нормальную работу systemd?

postfix ограничить отправку

→

Рекомендую debian.

Deleted
(22.01.18 17:34:32 MSK)

Ответ на: комментарий от Deleted 22.01.18 17:34:32 MSK

Рекомендую debian.

Полезно. Особенно, в выборе специализированного софта - из коробки, желательно.

Сейчас читаю про ipfire

BitSum ★★
(22.01.18 17:37:15 MSK) автор топика
Последнее исправление: BitSum 22.01.18 17:37:26 MSK (всего исправлений: 1)

Ответ на: комментарий от BitSum 22.01.18 17:37:15 MSK

Ага сначала работает из коробки, а потом когда всё поломается, ты с 0 ставить будешь всё ?
Ставишь дистр, нужный софт, настраиваешь всё, пока настраиваешь - понимаешь как чинить в случае чего = профит.

Deleted
(22.01.18 17:40:06 MSK)

Ссылка

Fedora Server

~~Deathstalker~~ ★★★★★
(22.01.18 17:43:42 MSK)

ZeroShell, еще что то на debian было не вспомню, ну и pfsence но он на bsd

julixs ★★★
(22.01.18 17:45:48 MSK)

Ссылка

pfSense.

spijet ★★★
(22.01.18 17:45:53 MSK)

Ссылка

zeroshell посмотри, лет 8 назад он мне очень нравился

futurama ★★★★★
(22.01.18 17:47:16 MSK)

Ссылка

Прошу критики

Вот сейчас это работает, что именно Вас побудило все сломать ?

robot12 ★★★★★
(22.01.18 17:57:40 MSK)

Ссылка

Ответ на: комментарий от Deathstalker 22.01.18 17:43:42 MSK

Fedora Server

Туда, где нужна стабильность (безопасность)/аптайм? :)

BitSum ★★
(22.01.18 18:27:36 MSK) автор топика

Любой.

xaTa ★★★★
(22.01.18 20:50:41 MSK)

Ссылка

Очень советую nethserver ибо линукс , есть DPI фишки

pinachet ★★★★★
(22.01.18 21:19:35 MSK)

Ссылка

ClearOS

HTaeD ★★★★
(23.01.18 09:40:59 MSK)

Ответ на: комментарий от HTaeD 23.01.18 09:40:59 MSK

Но лучше OPNsense (BSD-based)

HTaeD ★★★★
(23.01.18 09:41:56 MSK)

Ответ на: комментарий от BitSum 22.01.18 18:27:36 MSK

Да.

~~Deathstalker~~ ★★★★★
(23.01.18 10:00:11 MSK)

Ссылка

vyos?

~~onlybugs~~ ★★
(23.01.18 19:11:55 MSK)

Ссылка

Ответ на: комментарий от HTaeD 23.01.18 09:41:56 MSK

Но лучше OPNsense (BSD-based)

Чем? Вроде форк pfsense, а разницы, лично я, не знаю.

BitSum ★★
(23.01.18 21:30:27 MSK) автор топика

Gentoo

Harald ★★★★★
(23.01.18 21:33:42 MSK)

Ссылка

Еле вспомнил, как называется то, что в Ubiquiti EdgeRouter стоит: https://ru.wikipedia.org/wiki/Vyatta
Но устроит ли - это вопрос... Я не знаю, всё ли там есть. Вообще, пакеты можно доустановить. Управления через интерфейс доустановленными пакетами, видимо, не будет. Хотя не знаю.

Если по пунктам, и просто любой дистрибутив, то:

1. iptables
2. vrrpd наверное....
3. Никто не запрещает, тем более, если 6 уточнить.
4. Какой хочешь.
5. Ставь
6. Это как ? Если речь про BGP, то это Quagga, либо стремительно развивающийся BIRD. Разумеется, раз там BGP реализован, то и BGP Community есть. Без этого скучно.
7. Как в любом дистрибутиве.

AS ★★★★★
(23.01.18 21:48:28 MSK)

Ответ на: комментарий от AS 23.01.18 21:48:28 MSK

Я пока что pfsense ковыряю, там есть весь необходимые функционал (по докам по крайней мере). По факту - буду пробовать все предложенные варианты.

Слышал ещё в 2015-ом про opnsense - форк pfsense, но разницы не могу понять, кроме веба на бутстрапе.

BitSum ★★
(23.01.18 23:38:49 MSK) автор топика
Последнее исправление: BitSum 23.01.18 23:39:12 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от BitSum 23.01.18 21:30:27 MSK

Все функции без ограничений, в отличии от.

HTaeD ★★★★
(24.01.18 08:40:26 MSK)

Ответ на: комментарий от HTaeD 24.01.18 08:40:26 MSK

Все функции без ограничений, в отличии от.

И какие функции в pfsense ограничены по сравнению с opnsense?

BitSum ★★
(24.01.18 08:58:18 MSK) автор топика

pfsense

Lordwind ★★★★★
(24.01.18 10:14:55 MSK)

Ссылка

Ответ на: комментарий от BitSum 24.01.18 08:58:18 MSK

Когда трогал его пару лет назад, что-то было доступно только при покупке подписки. Как сейчас - не знаю.

HTaeD ★★★★
(24.01.18 11:09:44 MSK)

Ссылка

Непонятно, кластер из серверов что будет замещать в текущей схеме? кластер из SRX 240H? кластер из SRX 240H и текущие сервера с Snort?

zyxar
(24.01.18 11:21:30 MSK)

Ответ на: комментарий от zyxar 24.01.18 11:21:30 MSK

Непонятно, кластер из серверов что будет замещать в текущей схеме? кластер из SRX 240H? кластер из SRX 240H и текущие сервера с Snort?

Это:

кластер из SRX 240H и текущие сервера с Snort

BitSum ★★
(24.01.18 12:19:27 MSK) автор топика

2 Xeon x5670

Планируем заменить на x5690 x 2. То есть, две машины будут с x5690 x 2.

BitSum ★★
(24.01.18 12:24:31 MSK) автор топика

Ссылка

Ответ на: комментарий от BitSum 24.01.18 12:19:27 MSK

У SRX кластера при отказе одного из роутеров переключение происходит очень быстро практически без потери пакетов.

В случае использования Open Source решений будет использоваться аналог VRRP - CARP, keepalived. Там время реакции от 1 секунды. Cам VRRP протокол очень уязвим и как его защитить нужно думать самому, что бы например какой нить пользователь локальной сети не стал master router и завернул весь трафик на себя. Если будет NAT то нужно еще синхронизировать connection tracking table. Ну и при изменении конфигурации придется править настройки уже на двух роутерах или городить костыли с синхронизацией конфигураций на роутерах.

Насколько знаю у SRX серии роутеров есть IDS/IPS, антивирус функционал это дополнительная лицензия подписка вроде от 1 года до 3х лет. Конечно это стоит денег. IDS/IPS нагрузит SRXы, но думаю что 100 Мегабит трафика из инета потащит. Плюс - можно избавится от snort серверов.

P.S. Думаю так же стоит обратить внимание на Suricata вместо Snort, Suricata многопоточная => лучше балансируется нагрузка по ядрам CPU, Snort однопоточный. https://www.aldeid.com/wiki/Suricata-vs-snort

zyxar
(24.01.18 13:05:17 MSK)

Ответ на: комментарий от zyxar 24.01.18 13:05:17 MSK

Спасибо, очень полезная информация, которая была так необходима. Особенно в сторону open source решений.

Насколько знаю у SRX серии роутеров есть IDS/IPS, антивирус функционал это дополнительная лицензия подписка вроде от 1 года до 3х лет. Конечно это стоит денег. IDS/IPS нагрузит SRXы, но думаю что 100 Мегабит трафика из инета потащит. Плюс - можно избавится от snort серверов.

Для SRX 650, которые планировались покупаться бушными - у IPS просто космическая стоимость. p.s. https://www.juniper.net/us/en/local/pdf/datasheets/1000281-en.pdf А ещё 650ые, да и 240ые (всё по ссылке) - EOL.

P.S. Думаю так же стоит обратить внимание на Suricata вместо Snort, Suricata многопоточная => лучше балансируется нагрузка по ядрам CPU, Snort однопоточный. https://www.aldeid.com/wiki/Suricata-vs-snort

Взял на заметку. Спасибо.

BitSum ★★
(24.01.18 13:23:45 MSK) автор топика

Ссылка

Ответ на: комментарий от zyxar 24.01.18 13:05:17 MSK

Ну и при изменении конфигурации придется править настройки уже на двух роутерах или городить костыли с синхронизацией конфигураций на роутерах.

Wiki:

Так же pfSense предоставляет возможность синхронизации настроек: если изменены настройки на одном фаерволе, то они автоматически будут синхронизированы на другом.

BitSum ★★
(24.01.18 13:29:12 MSK) автор топика

Ссылка

кластер из SRX 240H - отличное же железо, зачем ты туда лезешь?

stels ★★★
(24.01.18 13:43:32 MSK)

Ответ на: комментарий от stels 24.01.18 13:43:32 MSK

кластер из SRX 240H - отличное же железо, зачем ты туда лезешь?

Затем, что приходят атаки, где проседает этот волшебный кластер.

BitSum ★★
(24.01.18 13:44:45 MSK) автор топика

Ответ на: комментарий от zyxar 24.01.18 13:05:17 MSK

P.S. Думаю так же стоит обратить внимание на Suricata вместо Snort, Suricata многопоточная => лучше балансируется нагрузка по ядрам CPU, Snort однопоточный. https://www.aldeid.com/wiki/Suricata-vs-snort

http://www.opennet.ru/opennews/art.shtml?num=46934#7

BitSum ★★
(24.01.18 14:08:12 MSK) автор топика

Ссылка

Ответ на: комментарий от BitSum 24.01.18 13:44:45 MSK

Непонятно как проседает SRX кластер, судя по схеме SRX только маршрутизирует трафик, фильтрует snort, вроде как при атаках вся нагрузка приходится на snort сервера?

zyxar
(24.01.18 14:14:55 MSK)