Firewall a dalsi funkce

[Ing. Leoš Houser]

Dobrý den.

Souhlasím s tím, že FortiGate aktuálně nabízí asi nejlepší poměr 
cena/možnosti konfigurace v komerčních řešeních. Ale i když sítím rozumíte 
docela pěkně, bez absolvování (nelaciného) školení od Fortinetu je ale třeba 
nastavení IPSEC VPN docela náročné. (Moje vlastní zkušenost.)

Z otevřených řešení na Linuxu je to, co potřebujete, možné realizovat na 
všech běžně užívaných distribucích Tedy na:
- IPCopu,
- Endianu,
- IPFire

V IPCopu se rozšíření jmenuje, tuším, Block Outgoing Traffic. To umožnuje 
definovat přístupy na venkovní IP adresy a navázat je nejen na IP adresy, 
ale na MAC adresy síťovek počítačů. To vám už uživatelé nedokážou podle mých 
zkušeností obejít.

Separovat od lokální sítě firewallem lze z prncipu jen oddělením, tzn. 
poslední skupinu bych dal na jinou fyzickou síť. Nejméně práce asi budete 
mít, pokud je dáte v IPCopu na "Oranžovou" síť.

Pokud budete mít konkrétnější dotazy, kontaktujte mě na níže uvedeném 
emailu.

S pozdravem

--
Ing. Leoš Houser, jednatel
AA COMPUTER, s.r.o.
Konečná 917/25
360 05 Karlovy Vary
Mob.: +420 737 107 202
E-mail: leos.houser na aacomputer.cz
WWW: http://www.aacomputer.cz
Blog:    http://it-blog.cz



----- Původní zpráva ----- 
Od: "Petr Špatka" <petr na spatka.cz>
Komu: "'Diskuse o Linuxu v cestine'" <linux na linux.cz>
Odesláno: 5. listopadu 2014 8:46
Předmět: RE: Firewall a dalsi funkce


Jestli někdo zná rozumné free řešení toho problému, tak taky budu rád za
info.

Každopádně v komerční sféře jsem to vyřešil pomocí Fortigate
http://www.fortinet.com/products/fortigate/index.html
Jak jsem se díval, tak je nyní konkurence nejen dražším směrem (Cisco,
Juniper), ale konečně i levnějším směrem (např. Netgear).
Nevím jaké možnosti mají free řešení a jaké konkurenční, ale např. fortigate
má stránky kategorizovány a s velkou účinností lze povolit/zakázat celou
kategorii (sociální sítě, sport, ilegální drogy, ...), dělat kouzla s
trafficem podle IP, kategorie, podsítě, ... . Povolit/zakázat něco podle
času a dne. Nepustí to na facebook ani přes https :-).

Důležité, kolik za to chce šéf utratit peněz a kolik času toho, kdo to bude
nastavovat. V případě obvyklé varianty: chci to zadarmo a do 5 minut
nastavování, tak bych ho opatrně odkázal na Všemohoucího, nikoliv na správce
sítě.

Pokud by bylo rozhodnutí pro fortigate, tak přes soukromý mail mohu dát
doporučení, kdo mě dobře pomáhal s počátečním nastavením. Případně popsat,
co kde drhlo a co bylo bez problémů.

Petr

-----Original Message-----
From: linux-bounces na linux.cz [mailto:linux-bounces na linux.cz] On Behalf Of
Milan Kratochvíl
Sent: Wednesday, November 5, 2014 7:33 AM
To: Diskuse o Linuxu v cestine
Subject: Firewall a dalsi funkce

Zdravim vsechny,
mame ve firme firewall IPcop a doposud stacilo na vse. Proste jsem to
nainstaloval, nastavil DHCP a vse doposud makalo, ale protoze nekdo prilis
vytezuje chce po mne sef udelat opatreni.
V rychlosti popisu pozadavky nasledovne.
udelat 3 skupiny uzivatelu, prvni pristup vsude, druha pristup jen na
firemni siti, mail a win update (něco jako url white list) a treti zadny
pristup na firemni siti a neomezeny pristup na internet.
udelat automaticke statistiky kdo, kolik a kam na internetu a s tim ze chce
rovnou jmena a nikoli ip adresy.
nepovolit komunikaci pevnym IP adresam.
Zkousel jsem najit pro IPcop nejake rozsireni, ale protoze to neni moje
parketa tak jsem sice nasel dost rozsireni, ale nakonec porad nemam to co je
po me pozadovano.
Muzete mi doporucit co vlastne hledat a zda je to v IPcopu mozne nebo
pripadne doporucit klidne i jiny firewall.
Diky za kazde postrceni.
Milan