Краткое содержание статьи: Многие администраторы не доверяют программным межсетевым экранам, предпочитая аппаратные решения. Но не следует забывать, что последние часто представляют собой программный брандмауэр под специальной версией Linux. Почему бы не собрать подобное решение самостоятельно? При этом вы получите уникальную гибкость. Бесплатный брандмауэр m0n0wall выполняет не только традиционный набор функций, но может работать конечной точкой VPN, обеспечивает обрезание трафика и поддерживает организацию сетей публичного доступа (хот-спотов).
Ниже приведены результаты тестирования производительности, выполненного Маньюэлом Каспером, которые отражают производительность брандмауэра с использованием NAT и фильтрации пакетов, а также пропускную способность IPSec VPN.
Тестовая конфигурация
[Ноутбук с WinXP] ----- LAN [Тестовая система] WAN ----- [ПК c FreeBSD]
При тестировании пропускной способности туннелей IPsec, туннель ESP устанавливался между m0n0wall и FreeBSD (использовались racoon и FAST_IPSEC).
FreeBSD работала на ПК с процессором P4 2,8 ГГц (загрузка процессора во время тестирования не превышала 50%).
Конфигурация m0n0wall: параметры по умолчанию (кроме отключения правила "блокировать частные адреса на WAN", включения привязки NAT для входящего трафика + правило в тесте WAN->LAN без Ipsec, и, конечно же, туннель IPsec).
Использовалось наибольшее из трёх полученных значений iperf TCP (по 10 секунд).
Все сетевые подключения использовали 100 Мбит/с Ethernet.
Пропускная способность между ноутбуком с XP и ПК с FreeBSD без m0n0wall составляла 94 Мбит/с в обоих направлениях.
Все результаты приведены в Мбит/с (LAN->WAN / WAN->LAN).
Таблица 2.
В реальных условиях производительности net4501 окажется более чем достаточно для большинства задач, поскольку немногие из нас являются счастливыми обладателями каналов со скоростью более 15 Мбит/с. Однако, производительность IPSec вполне может стать недостаточной, особенно при использовании нескольких туннелей.
Как видно, скорость процессора влияет на производительность (2,07/2,02 Мбит/с). Однако использование более эффективного алгоритма шифрования Blowfish позволяет увеличить пропускную способность до 3,99/3,89 Мбит/с.
Хотя мы более подробно остановились на платформе Soekris net4501, информация, приведённая в таблице выше, отражает и возможности стандартного аппаратного обеспечения для ПК. Производительность net4501 примерно соответствует производительности Pentium 100; net4801 и WRAP.1C-2 - Pentium 266 и 233 МГц, соответственно.
Если такой производительности вам недостаточно, то можно использовать более современное "железо", например, процессор уровня Pentium III, 128 Мбайт ОЗУ и хорошие сетевые карты, скажем, 3Com или Intel, которые показывают скорость передачи данных порядка 90 - 95 Мбит/с. Такая конфигурация позволит использовать m0n0wall в качестве маршрутизатора/брандмауэра между подразделениями сети крупной организации.
Наиболее значимой нам показалась поддержка Captive Portal и VLAN. Captive Portal позволяет строить публичную сеть на одном из интерфейсов брандмауэра, что позволяет реализовать общественную точку беспроводного доступа - хотспот или зону общественного доступа, например, в библиотеках. При первой попытке выхода в Интернет из публичной зоны Captive Portal отображает специальную web-страницу, на которой обычно находятся правила пользования, с которыми нужно ознакомиться перед тем, как будет разрешён доступ в сеть. Captive Portal также позволяет использовать внешний сервер RADIUS для аутентификации клиентов перед тем, как предоставить доступ в Интернет.
VLAN обеспечивает совместную работу с управляемым коммутатором, поддерживающим 802.1Q VLAN на основе тэгов. Это позволяет создавать дополнительные виртуальные интерфейсы на m0n0wall и работать с большим количеством сегментов сети.
Следующие возможности занесены в список ближайшей работы "To do/Wish list":
поддержка OpenVPN;
поддержка аутентификации с использованием сертификатов для IPSec VPN;
группы хостов/сетей, что позволит задавать правила брандмауэра на их основе;
активация правил брандмауэра по времени и дню недели;
определение сканирования портов с автоматическим отбрасыванием пакетов;
дополнительные сети WAN, возможно, с балансировкой нагрузки;
Здесь нам особенно интересной показались поддержка сертификатов IPSec VPN, группы хостов/сетей, вторых интерфейсов WAN и резервных соединений.
Заключение
Надеемся, что мы представили достаточно подробное описание возможностей m0n0wall, а также показали лёгкость их настройки. Но за рамками изложения остались другие функции. Кроме того, следует отметить небольшой размер готового образа (4-5 Мбайт), возможность загрузки с CD-ROM без установки программного обеспечения на диск. Так что m0n0wall крайне удобен в использовании.
Подробнее о проекте можно узнать на сайте m0n0wall. К сожалению, документация пока весьма скудна, но поскольку это совместный проект, то она постоянно пополняется. Документация доступна здесь.
Если вы не можете найти то, что вас интересует, рекомендуем воспользоваться архивом списка рассылки. С m0n0wall работает огромное сообщество активных пользователей, которые взаимодействуют через списки рассылки. Вы всегда можете задать вопрос, но сначала поищите ответ в архивах форума, вдруг ваша тема уже обсуждалась.
Итоговая информация о продукте
Модель
Программный брандмауэр m0n0wall
Заключение
Мощный и простой в настройке брандмауэр для FreeBSD с web-интерфейсом, конечными точками IPsec и PPTP, позволяющий ограничивать трафик
Преимущества
- Может работать как на интегрированных платформах, так и на обычных ПК - Позволяет ограничивать трафик и может работать как сервер VPN - Бесплатен
Недостатки
- Настройка брандмауэра может отпугнуть неопытных пользователей
История мейнфреймов: от Harvard Mark I до System z10 EC Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.
Пятнадцать процессоров Intel x86, вошедших в историю Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.