Neko jeftino resenje za hardwerski firewall pod open source sistemom

Bojan970

Well-known member
Joined
Jan 12, 2021
Messages
612
Reaction score
343
Danas je prioritet licna bezbednost podataka kako opstih tako i licnih.
Odnosno svih datoteka koji korisnik ima na svom racunaru.
Bilo u prenosnoj varijanti ili kao desktop kod kuce.
Ako je tako kako je potreba u buducnosti zahtevace vece angazovanje sistema bezbednosti od spoljnjeg upada sa strane i moram napisati ceprkanje po sistemu korisnika.
Da bi se takvo nesto predupredilo moje pitanje ili predlog bi bio kako ga resiti.
Posto ti i takvi sistemi postoje i to nije nista novo a opet ima svoju cenu i svako ne moze sebi to da priust.i Da li postoji neka mogucnost po metodi uradi sam odnosno DYI molim za predloge i sugestije iz svog ili nekog drugog iskustva.
Unapred hvala na komentarima i odgovorima.
 
Last edited:

Commander

Well-known member
Staff member
Joined
Jan 13, 2012
Messages
9,235
Reaction score
530
Ovo ima smisla samo ako braniš servere, desktop nema potrebu za HW FW metodom.
 

Bojan970

Well-known member
Joined
Jan 12, 2021
Messages
612
Reaction score
343
Hvala Commander na odgovoru.
Ali u suštini da li običan korisnik -user može na neki način poboljšati svoju zaštitu.
Kada ovo kažem mislim na svakodnevni rad na računaru sa pojedinim aplikacijama kako na poslovnom tako i na privatnom planu.
A zaštita je potrebna u svakom slučaju zar ne.
 

Bojan970

Well-known member
Joined
Jan 12, 2021
Messages
612
Reaction score
343
Hvala na predlogu ostaje samo da se dobro iscita user manuals.
 

Commander

Well-known member
Staff member
Joined
Jan 13, 2012
Messages
9,235
Reaction score
530
U gužvi sam poslednje 2 nedelje jer sam promenio posao pa tona novih stvari mora da se savlada 😜

Pa pazi, početak i kraj svake zaštite počinje sa korisnikom, tj sa “vlasnikom računara”. Kad kažem da nema potrebe da koristiš fizički appliance na kućnom računaru to je kao da kupuješ najsigurnija “one-touch-lock” vrata za kucu a nemaš otvor za njih, pa ih onako nasloniš na zid i misliš da te štiti, tj štiti ali nema poentu 🙂

Portovi ti nisu otvoreni jer (verovatno) nemaš ekspozovan mrežni interfejs za web servise, jedino šta ti je (možda) otvoreno je port 53 i to je manje više to.

Ako pak, imaš web servise koje puštaš preko eth0_x ka spolja… onda se vraćamo na priču da ti treba ako imaš server 🙂

Ono na čega treba da obratiš pažnju jeste sajtovi gde ostavljaš user/pass, da te neko ne phishing-uje i pokrade identitet jer to može imao/nema fizički firewall.

Menjaj barem jednom u 6 meseci SVE lozinke na svim nalozima (znam da je pain-in-the-ass ali je to vid zaštite/preventive), pritom nemoj da koristiš logičke lozinke koje su pamtljive, već u formatu: !W;.V{83J$QyUs5,h:gd

I biće sve OK, nemoj se opterećuješ previše sa firewall-ima, (sve dokle god ne digneš neki javni web/app servis).
 

Milos

Active member
Joined
Nov 30, 2012
Messages
622
Reaction score
142
Samo da dodam, gde može da se koristi " Two-factor authentication" uključi to, ja puno godina unazad možda već ima 17-18 godina nikad nisam imao problem s tim, dodouše tad nije imao two-factor ali bez obzira… Uključite to ako već ima mogućnosti. 😊
 
Last edited:
Joined
Jan 29, 2012
Messages
110
Reaction score
13
Ubiquity networks edge router Lite na kojem vozi OpenBSD. (koristi se octeon platforma). Vidi spisak OpenBSD/octeon podrzanog hardwera.

Alternativno, moguc je i APU2 firme pc engines PC Engines apu2 system boards (ima ga u netiksu http://www.netiks.rs/ ), to je 64-bitna platforma OpenBSD/amd64

Treba kupiti i odgovarajuce kablove za instalaciju (detaljno procitati uputstva i na sajtu pcengines sa APU2 i na sajtu openbsd.org za Ubiquity edge router LITE.
 
Joined
Jan 29, 2012
Messages
110
Reaction score
13
Pa ne znam. Mene je Ubiquity Edge Router Lite izasao negde oko 200 eur (ako se dobro secam), od cega su polovina bili troskovi carine i spediter. Sada u Srbiji ima modela koje OpenBSD podrzava.

Morao sam da obrijem njegov operativni sistem i instaliram OpenBSD, i evo ga, sljaka 4-5 godina kao stena. Kod nestanka struje sam se ponovo podigne (podesen softdep kod mauntovanja, to je, valjda, OpenBSD/ffs specificna mount opcija), sto nije slucaj sa APU2, koji je amd64.

Usput sam naucio da baratam sa serijskim kablom i ne_znam_kako_se_zove (zaboravio) kabl za APU2.

Iza njega imam dva kucna “servera” - APU2 i BananaPro.

Jedini minus ovakvog pristupa je dvostruki NAT - prvo natuje ruter/firewall, pa onda natuje modem. U planu je da nadjem provajdera koji ce mi podesiti modem u “bridge mode” - da sve pakete samo salje “iza” (na ruter), onda ne bi bilo dvostrukog natovanja.

Ko ima da investira tih 150-200 eur, vremena i volje, toplo preporucujem.
 
Joined
Jan 29, 2012
Messages
110
Reaction score
13
Milose, ja ovde predlazem nesto sto moze da bude svemirski brod, helikopter, avion, kamion, luksuzna limuzina, sve zavisi kako ga sklopis, a ti predlazes ficu (ili spaceka, ako znas sta je to) za odprilike iste pare.

OpenBSD ima najbolji firewall koji postoji (pf). FreeBSD ga takodje ima kao jedno od resenja, ali je FreeBSD verzija neka stara verzija pf sa OpenBSD koja se vise ne razvija, nego se na FreeBSD samo azurira, tako da je cak i sintaksa pravila skromnija od OpenBSD pf verzije.

Neko vreme je Juniper prodavao svoje hardverske fajrevale za 30.000 $ - 50.000 $ sa FreeBSD baziranim operativnim sistemom i njegovom (“hendikepiranim”) pf verzijom, sve do otkrivanja Juniper specificnog sigurnosnog propusta, kojim je dokazano da su pametniji oni koji su koristili OpenBSD.

Mikrotik ima neki hardver i neki operativni sistem zatvorenog koda, koji je INFERIORAN u odnosu na OpenBSD, a po meni inferioran i u odnosu na neku dobro odrzavanu Linux distribuciju.

Dakle, UBEDLJIVO NAJBOLJA varijanta je OpenBSD na nekom od podrzanih hardvera, link do octeon platforme dao sam u mom inicijalnom postu.

Ovo sto ti predlazes nije ono sto je pokretac teme trazio. To moze da bude resenje za small office bez IT podrske, baziran na Vindozama, kojom ce sebi obezbediti laznu sigurnost i ziveti u zabludi da su zasticeni.
 
Last edited:

Milos

Active member
Joined
Nov 30, 2012
Messages
622
Reaction score
142
Koliko košta to tvoje rešenje da bude operativno i da krene sa radom?
 
Last edited:
Joined
Jan 29, 2012
Messages
110
Reaction score
13
Pise ti u mom drugom postu koliko je mene kostalo. U prvom postu imas linkove do podrzanih modela na OpenBSD, pa guglaj koliko kosta hardver.

Softver ne kosta nista, trazi coveka koji zna, a slobodno je donacijama podrzati projekat, od donacija se pravi.

Pokretac teme na MikroTik ne bi naucio nista, odnosno naucio bi malo i pogresno, a na OpenBSD bi naucio mnogo i ispravno. MikroTik ne moze da se poredi sa OpenBSD na odgovarajucem hardveru, prosto ne da nisu ista liga, nego ne igraju istu igru, toliko je OpenBSD superioran.

Edit: Da bude operativno i da krene s radom, ja mogu da ga poteram za manje od 120 minuta kad imam hardver.
 
Last edited:

Commander

Well-known member
Staff member
Joined
Jan 13, 2012
Messages
9,235
Reaction score
530
@bestragamuglava nije te dugo bilo na diskusijama pa kad si vec tu (znam da si ceo zivot sa unix-ima)… imas li iskustva sa iredmail na BSD-u, generalno me interesuje postoji li neki downside ili mozda bolje resenje za email servis a da trci na BSD-u a da pritom ima neki lagan instaler jer nemam vremena da sve radim “from scratch”.
 
Joined
Jan 29, 2012
Messages
110
Reaction score
13
Nemam iskustva sa iredmail, ne izgleda mi kao nesto sto bih koristio kao trajno resenje (problem azuriranja i na OpenBSD i na FreeBSD, nije u sistemu paketa), iako je vidljivo da su autori ulozili dosta truda da sve sloze.
 

Nik014

Member
Joined
Jan 27, 2022
Messages
39
Reaction score
55
Vjerovatno si se već snašao, ali OpenSMTPd je bombonica, u paketu sa rspamd i dovecot-om. Samo gledaj da je neka svježija verzija, starije <6.2 umiju da baguju.
 
Top