Home made router firewall

  • Αγαπητοί φίλοι και φίλες.

    Με ιδιαίτερη χαρά σας προσκαλούμε στην κοπή της πρωτοχρονιάτικης πίτας του AVClub στη Θεσσαλονίκη για το 2024 την Κυριακή 07 Απριλίου και ώρα 14.00

    Δηλώστε τη συμμετοχή σας εδώ, θα χαρούμε πολύ να σας γνωρίσουμε από κοντά.

kiriak

Supreme Member
27 November 2006
3,949
σκέφτομαι να αγοράσω ένα fanless mini PC, για να το χρησιμοποιήσω ως firewall router για το σπίτι,

θα εγκαταστήσω το Sophos UTM ή το Sophos XG,

τα χρησιμοποίησα για λίγο καιρό περιστασιακά, σε ένα αρχαίο PC που υπάρχει στην άκρη,

οι δυνατότητές τους για χρήση στο σπίτι είναι σα να χρησιμοποιείς αυτοκίνητο από το WRC για να πας στο μάρκετ, αλλά αφού είναι τσάμπα, γιατί όχι;

σκοπός είναι να έχω μια χοντρική ιδέα για τη δραστηριότητα των παιδιών στο ίντερνετ, η ασφάλεια για απρόσεκτους χρήστες και το βασικότερο να παίξω λίγο,

ήδη τσίμπησα περίεργη δραστηριότητα από τον browser με πρόσθετο που είχε εγκατασταθεί εν αγνοία μου

θα προτιμούσα κάτι open source αλλά δεν βρήκα κάτι εξίσου εύκολο και με τις ίδιες δυνατότητες για έναν αρχάριο σαν εμένα.

τι λέτε; το έχει χρησιμοποιήσει κανείς από εδώ;
 

kiriak

Supreme Member
27 November 2006
3,949
μερικές εικονίτσες για να πάρετε μία ιδέα,

εδώ είναι το Sophos XG, είναι το νεότερο από τα δύο προϊόντα, το οποίο δεν έχει τύχει ενθουσιώδους αποδοχής από τους παραδοσιακούς χρήστες της εταιρείας, που το κατηγορούν για πολλλές ελλείψεις και αδυναμίες, έναντι του παλιού καλού Sophos UTM,

Να σημειώσω ότι και τα δύο έιναι προϊόντα που απευθύνονται κυρίως σε εταιρείες και εγκαθίστανται σε hardware της εταιρείας και κοστίζουν πολλά λεφτά τόσο για αγορά όσο και σε ετήσιες συνδρομές.


Δίνονται ωστόσο και σε home δωρεάν εκδόσεις , με ελάχιστους περιορισμούς, το UTM με όριο τις 50 εσωτερικές IPs και το XG με όριο τα 6Gb RAM και χρήση 2 πυρήνων,
και στις δύο περιπτώσεις υπεραρκετά για home ή SOHO χρήση.


τα έχω εγκαταστήσει επό το καλοκαίρι σε ένα αρχαίο pc που είχα και που και που δοκιμάζω το ένα ή το άλλο προσπαθώντας να δω αν κάνουν για μένα, για επόμενο ρούτερ.


να πω ότι είμαι αρχάριος όσον αφορά δίκτυα και λίγα ξέρω από υπολογιστές, διορθώστε και σχολιάστε ελεύθερα




μία ιδέα από τα reports








στις πιο πάνω εικόνες, τα περισσότερα είναι σύνδεσμοι, και ανοίγουν άλλες επιλογές ή δίνουν περισσότερες λεπτομέρειες,

πχ βλέπω στην πρώτη εικόνα, κίνηση 243 Kb, που αφορά P2P,
ώπα τι είναι αυτό; αφού έχω κόψει τα P2P

Πατάω επάνω και βλέπω ότι αφορά Skype, πιθανότατα είχα βάλει εξαίρεση για το Skype, από την άλλη βλέπω source τον σταθερό με ubuntu, που δεν έχει skype,

εδώ θέλω να το ψάξω λίγο, αν και 243 kb δεν νομίζω ότι είναι λόγος ανυσηχίας

πάντως έχοντας μία παραπάνω γνώση τι περνάει και προς τα που, νοιώθω μία μεγαλύτερη ασφάλεια, ιδίως με συσκευές όπως το NAS κλπ


(όλα τα νούμερα που βλέπετε είναι μικρά, το έκανα boot πριν από λίγο και αναβάθμισα στη νέα έκδοση να δω τι λέει, είχα να το χρησιμοποιήσω για μήνες)
 

kiriak

Supreme Member
27 November 2006
3,949
εδώ οι εφαρμογές που έκαναν χρήση ίντερνετ τις τελευταίες 2-3 ώρες






όπου πατήσεις με το ποντίκι σου δίνει περισσότερες πληροφορίες, όπως από ποιους χρήστες έγινε η κίνηση κλπ,

ας πούμε ότι εδώ βλέπω μία κίνηση που αφορά iCloud, χωρίς να έχω ενργοποιήσει icloud, ίσως κάπου έχω κάτι ανοιχτό; ή απλά τσεκάρει αν άχω κάτι να συγχρονίσω;

μάλλον η κίνηση bookmarks είναι μεγαλούτσικη, ίσως πρέπει να δω τις ρυθμίσεις του safari στο κινητό.


Ότι μας ανησυχεί ή δεν μας αρέσει μπορούμε να δοκιμάσουμε να το κόψουμε, με το application filter,

έχει έτοιμες κατηγορίες στα φίλτρα, έτοιμες κατηγορίες εφαρμογών, αλλά μπορούμε να κάνουμε accept ή deny, σε συγκεκριμένες εφαρμογές , από συγκεκριμένους χρήστες ή σε συγκεκριμένες ώρες

πχ να κόβει το call of duty από το xbox το απόγευμα, ή να επιτρέπει spotify ή farmville (δεν παίζω) σε εμένα αλλά όχι στο κινητό της κόρης μου κλπ κλπ




 

kiriak

Supreme Member
27 November 2006
3,949
και όσο ασχολείται κανείς αρχίζουν τα δύσκολα





το uproxy αφορά κίνηση από ένα κινητό προς το ίντερνετ

και το phisonproxy αφορά κίνηση από έξω προς ένα άλλο κινητό


δεν ξέρω τι σημαίνουν, θα δω αν ενοχλούν κάπου και αν όχι, η πιο εύκολη λύση είναι να το αφήσω έτσι να τα κόβει και τέλος
 

savvasha

New member
29 April 2011
56
Καλημέρα kiriak,

Πολύ ενδιαφέρον τα screenshots που έχεις ανεβάσει. Με ποιο σκεπτικό κατέληξες σε αυτή την υλοποίηση (Sophos) αντί σε κάποια άλλη (π.χ. ipfire);

Τι συνδεσμολογία έχεις για να περνάνε όλα από το Sophos;
 

kiriak

Supreme Member
27 November 2006
3,949
δεν έχω καταλήξει ακόμη, απλά ψάχνομαι προς το παρόν με ένα παροπλισμένο pc στο οποίο πρόσθεσα μία δεύτερη κάρτα δικτύου

περνάνε όλα από αυτό, αφού αντικαθιστά το router μου, στο ένα nic συνδέεται το modem του ΟΤΕ, που λειτουργεί ως bridge, το άλλο nic πάει στο switch,



είχα δοκιμάσει να εγκαταστήσω το pfsense αρχικά, αλλά δεν τα κατάφερα ( στη συνέχεια ανακάλυψα ότι η κάρτα δικτύου που έιχα αγοράσει είναι προβληματική, αν συνδεθεί σε 1000άρι port κρασάρει το pc), ίσως να έφταιγε αυτό

θα ήθελα να δοκιμάσω και open source λύσεις στις οποίες θα είχα περισσότερη εμπιστοσύνη.
από την άλλη τα sophos είναι αρκετά δυνατά και εύκολα να ξεκινήσει κανείς,

είχα δοκιμάσει και το Untangle, με ανάμικτες εντυπώσεις

κοιτούσα και OPNsense, ipfire, clearOS , αν έχεις κάτι να προτείνεις ευχαρίστως να το ακούσουμε,


αν καταλήξω κάπου, θα ψάξω για ένα φθηνό miniPC να το εγκαταστήσω μόνιμα
 

axl_gk

Senior Member
13 February 2007
363
Γιατι δεν κοιτας σε Fortinet FortiGate μεταχειρισμενο που ειναι hardware firewall .
 

kiriak

Supreme Member
27 November 2006
3,949
τι εννοείς hardware;
και αυτό που θέλω να κάνω hardware δεν είναι; (ρωτάω δεν είμαι και σίγουρος)

από το λίγο που έψαξα, δεν θεωρείται καλύτερο (ούτε χειρότερο), αλλά νομίζω ότι και να βρεις τέτοια συσκευή φθηνή, θα έχει μηνιαία συνδρομή.
Επίσης ένα mini pc, θα κοστίσει λιγότερο, με πιο δυνατό hw, και θα βολευτεί πιο εύκολα μέσα σε ένα σπίτι.

Επίσης αν δε μου κάνει τελικά , θα βρεθεί άλλη χρήση ή θα πωληθεί πιο εύκολα.
 

avpap

Μέλος Σωματείου
30 September 2011
9,571
Αθηνα
τι εννοείς hardware;
και αυτό που θέλω να κάνω hardware δεν είναι; (ρωτάω δεν είμαι και σίγουρος)

από το λίγο που έψαξα, δεν θεωρείται καλύτερο (ούτε χειρότερο), αλλά νομίζω ότι και να βρεις τέτοια συσκευή φθηνή, θα έχει μηνιαία συνδρομή.
Επίσης ένα mini pc, θα κοστίσει λιγότερο, με πιο δυνατό hw, και θα βολευτεί πιο εύκολα μέσα σε ένα σπίτι.

Επίσης αν δε μου κάνει τελικά , θα βρεθεί άλλη χρήση ή θα πωληθεί πιο εύκολα.

μην μας δικαιολογεισαι... σε καταλαβαινουμε.. το χαβαλε σου κανεις. Αλλοι λυνουν σταυρολεξα, αλλοι στηνουν diy firewall :D
 

kiriak

Supreme Member
27 November 2006
3,949
πάρτε μία ιδέα τι μπορεί να κάνει ένας άσχετος σαν εμένα με 3-4 κλικ

πάμε στις εφαρμoγές (έχει πάνω από 3000) και διαλέγουμε είτε κατηγορίες είτε μία μία,

πιάνουμε το appstore για δοκιμή,
έχω ήδη κομμένα όλα τα p2p, tunelling και proxy εφαρμογές






φτιάχνουμε έναν καινούριο κανόνα firewall (εδώ είναι γκριζαρισμένος, υπάρχει δηλαδή , αλλά απενεργοποιημένος),
τον ενεργοποιούμε,
δεν επηρεάζει τους ήδη υπάρχοντες




και ο "πελάτης" βλέπει αυτό,
δεν μπορεί να συνδεθεί στο appstore, αλλά οι άλλες εφαρμογές έχουν internet κανονικά (πχ safari, καιρός, email κλπ κλπ)





και από τις αναφορές βλέπουμε, ότι γίνεται η συγκεκριμένη παραβίαση και ποιος την έκανε





έτσι μπορούμε επίσης να τσιμπήσουμε ύποπτες κινήσεις από ιούς, δούρειους ίππους κλπ κλπ
 

kiriak

Supreme Member
27 November 2006
3,949
βρέθηκε και το μηχανάκι,

https://www.pondesk.com/product/Intel-Atom-E3845-4-LAN-3G4G-HD-Fanless-Firewall-Router_MNHO-048

θα προτιμούσα αγορά από Ελληνικό κατάστημα, αλλά δεν μπόρεσα να βρω κάτι



(οι απαιτήσεις είναι

-χαμηλή κατανάλωση-μικρό μέγεθος ,
-2 intel NICS ,



επίσης επιθυμητά αλλά όχι απαραίτητα:
-VGA έξοδος: βοηθάει στην εγκατάσταση
-fanless
)
 

kiriak

Supreme Member
27 November 2006
3,949
ήρθε και το μηχανάκι







βλέπετε το μέγεθος δίπλα στο κινητό (οθόνη 4 ίντσες)


το λειτουργικό στήθηκε και πλεόν προσπαθώ να δω πως θα στήσω καλύτερα το firewall,

ευχάριστη έκπληξη η χαμηλή κατανάλωση (είδα χθες από 6 και κάτι μέχρι 7 και κάτι W, συνήθως λιγο κάτω από 7, ποτέ πάνω από 7.5),


και μία "παρενέργεια", όπως είναι στημένος ο βασικός κανόνας firewall, κόβει τις περισσότερες διαφημίσεις,
πχ από το avclub, βλέπω τις μισές, από άλλα (τα περισσότερα) σάιτ δεν βλέπω τίποτα από διαφημίσεις,
αυτό είναι και καλό και κακό

δεν με ενοχλούν οι διαφημίσεις, εκτός από αυτές που αρχίζουν να παίζουν βίντεο μόνες τους,

θα δω τι κόβει και από κινητά και θα ψάξω να βρω πως θα το φτιάξω
 
Last edited:

newlynx

AVClub Enthusiast
28 August 2006
1,195
Ενδιαφέρον αυτό που χτίζεις. Περιμένουμε και τη συνέχεια με εντυπώσεις!
 

kiriak

Supreme Member
27 November 2006
3,949
οι εντυπώσεις ανάμικτες, από το γεγονός ότι εγώ δεν έχω τις γνώσεις και το χρόνο να εκμεταλευτώ τις δυνατότητές του,

αλλά ακόμη και έτσι μπορώ να δω και να κάνω πολύ περισσότερα από ένα απλό ρούτερ,


πριν από λίγο , ανακάλυψα ότι το NAS δεν μπορούσε να κατεβάσει μία αναβάθμιση,

με ελάχιστο ψάξιμο στα logs είδα ότι το firewall, από τις default ρυθμίσεις, έκοβε το κατέβασμα freeware +shareware προγραμμάτων,
το αφαίρεσα το συγκεκριμένο και όλα ΟΚ,
αν ήθελα να υπάρχει για κάποιες συγκεκριμένες συσκευές, θα μπορούσα εύκολα να το περιορίσω σε αυτές
 

lykman

Supreme Member
29 June 2006
5,798
Aθήνα
παρακολουθώ σιωπηρά το τόπικ από την αρχή, με πολύ ενδιαφέρον...

βασικά με ενδιαφέρει ως προς τον έλεγχο και την ενημέρωση, για το τι κάνουν τα παιδιά, και πως θα μπορώ να το "παρακολουθώ", αλλά και να διασφαλίσω την υγεία των συσκευών και του δικτύου μου, από τα απρόσεκτα κλικς. Συν βέβαια να κόψω διάφορες σαβούρες που κατεβάζουν.

Παρότι νομίζω πως έχω τα πάντα από χρειαζούμενο hardware (πιστεύω για δοκιμή το παλιό μου fanless ΑΤΟΜ - D510MO, με picoPSU, 2GB RAM [+1GB ακόμα αν χρειαστεί], 60GB SSD, ενσωματωμένη gigabit ethernet + μία ακόμα στην PCI), δεν έχω καταλάβει που τοποθετείται στο δίκτυο... Θα κάνω τώρα και ένα google search, αλλά αν υπάρχει έτοιμη η απάντηση...

η τοπολογία μου είναι: χαλκός <-> vdsl modem [bridge mode & voip tel] <-> xiaomi router [wifi AP] <-> 16p gigabit switch [cable lan] <-> ενσύρματες συσκευές

αν αυτό που φαντάζομαι ισχύει (να παρεμβάλεται δλδ μεταξύ lan switch και modem/router με τις δύο κάρτες δικτύου του), σε εμένα δεν μπορώ να σκεφτώ πως και που θα "κάτσει"...

τα ασύρματα μιλάνε με το xiaomi ΑΡ απευθείας, το οποίο διευθυνσιοδοτεί κιόλας, αλλά έχει και τα στοιχεία σύνδεσης στον πάροχο καθώς το vdsl modem, απλά αναλαμβάνει την διεπαφή με το πριζάκι (και την τηλεφωνία του παρόχου).

υγ. το xiaomi έχει ένα πολύ βασικό URL blocklist για παράδειγμα, αλλά π.χ. δεν κατάφερα να κόψω το youtube σε συσκευή που προσπάθησα, άρα φαντάζομαι ότι ή υπάρχουν sub-URLs που δεν τα ξέρω, ή το app του κινητού δεν μιλάει/χτυπάει όπως τα web-based... (αυτά λογικά θα ήταν πολύ πιο αποτελεσματικά με την παρούσα λύση).
 
Last edited:

kiriak

Supreme Member
27 November 2006
3,949
θα πάρει τη θέση του router, θα δίνει αυτό dhcp, θα κάνει την pppoe σύνδεση με τον πάροχο κλπ κλπ,
θα κάνεις το xiaomi να είναι απλά AP,

υπάρχουν και άλλοι τρόποι σύνδεσης, αυτός νομίζω είναι ο βολικότερος


για το τι κάνουν τα παιδιά, θα δεις κάποια πράγματα ,
πχ ποιες εφαρμογές χρησιμοποιούν, πόση ώρα και ποιες ώρες μπαίνουν στο ίντερνετ, μερικές σελίδες που επισκέπτονται,

θα μπορείς να κόψεις τη χρήση εφρμογών, μια μια (πχ viber) ή κατηγορίες (πχ p2p)

δε θα έχεις όμως πλήρη έλεγχο, καθώς μεγάλο μέρος της κυκλοφορίας είναι κρυπτογραφημένο, μπορείς όμως ακόμη και τα περισσότερα από αυτά να τα δεις αν εγκαταστήσεις πιστοποιητικά στις συσκευές που θες να ελέγχεις (pc, smartphones), οπότε θα έχεις τη δυνατότητα να κάνεις decrypt+scan τα https δεδομένα (βαθιά νερά στα οποία δεν έχω μπει, και ούτε σκοπεύω).

θα αν ανακαλύψεις επίσης περίεργες συμπεριφορές ή τυχόν malware, δηλαδή θα τα κόβει το firewall (τα περισσότερα τουλάχιστον)


εγώ έχω βρει 2 android κινητά στο σπίτι που προσπαθούν (ανεπιτυχώς πλέον) να επικοινωνήσουν με Κίνα με το πρόγραμμα psiphon,
επίσης άλλο με το tunello

και επίσης είχα ανακαλύψει πάλι με το XG, malware add on σε firefox σε linux μηχάνημα, δεν ξέρω που το τσίμπησα, δεδομένου ότι είχα ενργοποιημένο το φίλτρο του openDNS που δεν επέτρεπε πρόσβαση σε ύποπτες και περίεργες σελίδες