Hallöchen,
möchte einen Linux Fileserver (voraussichtlich Debian) in einem heterogenen Netzwerk integrieren und überlege dabei eine Firewall od. Packetfilter für DSL Zugang gleich am Fileserver über eine 2. Netzwerkkarte mitzuinstallieren.

Spricht etwas dagegen oder wäre ein eigener Rechner vorteilhafter.
Von der CPU Auslastung sollte es kein Problem sein (AMD 1500).
Danke
Bobb

Hallo!

Bei einem Grossteil unserer sparsamen Kunden haben wir genau das installiert. Das klappt grundsätzlich gut und wenn Du die Maschine wohlüberlegt designst, dann ist das auch kein supergrosses Sicherheitsrisiko.

"By the book" ist das aber natürlich nicht! Da sollte es eine DMZ mit davor und dahinter einer eigenen Firewall geben - also mindestens drei Kisten zum Anfang. Die beiden Firewalls sollten auch komplett unterschiedliche Technologie haben (z.B. einmal Linux Selbstbau und einmal Kaufware) und alle Maschinen definitiv nicht fernwartbar sein. Was das kostet (vor allem dann in der Wartung) möchte ich aber nicht diskutieren. Kein Wunder, dass vielen Kunden ein minimales Sicherheits-Surplus der Aufwand nicht gerechtfertigt erschien. Manche sind aber durch drüberstehende Organisationen an gewisse Mindestvoraussetzungen gebunden und dort geht's dann eben "by the book".

Es kommt vor allem darauf an, ob Du Dich mit Firewaling gut genug auskennst, oder nicht. Wenn Du aber "eine Firewall alleine" gut und sicher installieren kannst, dann werden allfällig darauf installierte weitere Dienste (File-/Printserver, Proxy, Mailserver, Mailrelay, DNS, DHCP, LDAP, VPN/Dialin, ...) auch kein Mirakel mehr darstellen - und vor allem kein weiteres Risiko.

Bezüglich Kapazität brauchst Du Dir keine Gedanken zu machen: eine normale Firewall braucht wenig Ressourcen. Gute Netzwerkkarten (3COM, Intel, ... - aber z.B. keine RealTek!) können weit mehr Performance bringen (oder kosten!), als Dual-CPUs mit Turbolader und Nachbrenner. Wir haben jahrelang als zentrale Firewall eines ISPs mit 100MBit/s internationaler Anbindung und 80.ooo IP Adressen eine 300MHz AMD K7 Maschine mit 256MB gehabt. Der gesamte Traffic lief da drüber und die Maschine war auf Load 0.0x und max. 30% Systemauslastung. Es werden ja nur Daten hin und her geschaufelt... :)

Thomas

Wir haben jahrelang als zentrale Firewall eines ISPs mit 100MBit/s internationaler Anbindung und 80.ooo IP Adressen eine 300MHz AMD K7 Maschine mit 256MB gehabt. Der gesamte Traffic lief da drüber und die Maschine war auf Load 0.0x und max. 30% Systemauslastung. Es werden ja nur Daten hin und her geschaufelt... :)

:eek: :eek: :eek:

Das würde ich nicht laut sagen...

Danke für die schnelle Antwort Thomas
Nachdem wir einen Netgear Router mit Firewall davor haben, werde ich die Firewall am Server integrieren und mir den Platz für ein zusätzliches PC-Gehäuse sparen.
LG
Bobb

Das würde ich nicht laut sagen...
Weil?

Thomas

Weil?
Als ISP einen ausrangierten Rechner als Router benutzen. Finde ich irgendwie sehr kritisch, oder ist das gang und gäbe?
Stichwort Ausfallsicherheit?

Gruss
Chrigu

Als ISP einen ausrangierten Rechner als Router benutzen. Finde ich irgendwie sehr kritisch, oder ist das gang und gäbe? Stichwort Ausfallsicherheit?
Wie kommst Du auf ausrangiert? :)

Zu der Zeit, als wir die Kiste gekauft haben, hat die etwa 4.000 Euro gekostet und war ziemlich das Modernste, was es damals gab! Mit SCSI RAID, 19"-Technik, redundantem Netzteil und allem (damals) möglichen Schnickschnack! DREIHUNDERT Megahertz, ZWEIHUNDERSECHSUNDFÜNGZIG Megabyte RAM und DREI Netzwerkkarten - sogar mit HUNDERT Megabit/s! Uns wurde damals fast schwindlig bei der Performance! Bloss weil sie heute ein alter Krempel ist, schliesse nicht gleich falsch, dass wir als zentrale Maschine einen Müllhaufen installiert hätten! :)

Und ausfallsicher war sie ja auch! Die lief viele Jahre ohne irgendein Problem und mit Uptime-Highscores von 400 Tagen und mehr! Erst, als wir die Leitungen zunehmend auf Gigabit Glasfaser umstellten, wurde die Maschine zu klein.

Also keine voreiligen Schlüsse ziehen bitte.

:)
Thomas


P.S: jede Armbanduhr hat heute tausendfach mehr Performance als mein erster "Computer": 8-Bit-CPU mit 833KHz (KILOhertz!), 256 Byte RAM (nix KB oder MB! 256 einzelne Bytes!), 1KB ROM "Betriebssystem", 6stellige Siebensegmentanzeige und 20 Eingabetaster auf der Hex-Tastatur. Tja, lang isses her; bald 30 Jahre. Damals war ich möchtig stolz auf das selbst zusammengelötete Ding! *in Nostalgie schwelg* :o

Wie kommst Du auf ausrangiert? :)

Zu der Zeit, als wir die Kiste gekauft haben, hat die etwa 4.000 Euro gekostet und war ziemlich das Modernste, was es damals gab! Mit SCSI RAID, 19"-Technik, redundantem Netzteil und allem (damals) möglichen Schnickschnack! DREIHUNDERT Megahertz, ZWEIHUNDERSECHSUNDFÜNGZIG Megabyte RAM und DREI Netzwerkkarten - sogar mit HUNDERT Megabit/s! Uns wurde damals fast schwindlig bei der Performance! Bloss weil sie heute ein alter Krempel ist, schliesse nicht gleich falsch, dass wir als zentrale Maschine einen Müllhaufen installiert hätten! :)

Und ausfallsicher war sie ja auch! Die lief viele Jahre ohne irgendein Problem und mit Uptime-Highscores von 400 Tagen und mehr! Erst, als wir die Leitungen zunehmend auf Gigabit Glasfaser umstellten, wurde die Maschine zu klein.

Ok, ok..
Bei deiner ersten Beschreibung habe ich einfach an einen knattrigen alten Rechner gedacht.. :D
Mit deinen Erklärungen kann ich es einigermassen verstehen ;)

Gruss
Chrigu