Jag vidhåller att pfSense (eller annan mjukvarubrandvägg) på en hyfsad dator ger oöverträffad flexibilitet.
 
Visst, men det tar större plats, kostar mer pengar (om man inte redan har en överbliven burk, och de flesta har inte det) och drar mer el.
 
Bygger man inte datorn speciellt för låg energiförbrukning blir det för dyrt med elen för mig i alla fall. De datorer jag har över är energislukande och duger inte...
 
Amatörsnickaren skrev:
Bygger man inte datorn speciellt för låg energiförbrukning blir det för dyrt med elen för mig i alla fall. De datorer jag har över är energislukande och duger inte...
Ja, så var det förut. Om man tar en gammal "desktop" och bara gör brandvägg av den så blir det energiförbrukning i "onödan". Men idag finns det många andra allternativ. T ex datorer i små formfaktorer som inte drar så mycket ström, i samma storleksordning som "hemma routrar", och som är mer än väl kraftfulla nog att klara ett brandväggsjobb och mer därtill. (En RaspberryPi klarar t ex att routa 40Mbps, och där är begränsningen USB-bussen, så det behövs inte mycket mer). Men visst. Behöver man köpa en ny dator för det så blir ju kostnaden högre. Man vinner å andra sidan en hel del i flexibilitet.

Själv har jag gått åt andra hållet och kör en gemensam brandvägg/server/arbetsstation som står på hela tiden och står centralt placerad i huset. I effektförbrukning så ligger den inte direkt över vad alla dessa komponenter skulle dra tillsammans, även om jag exv. hade en NAS istf en "riktig" server, och en "router/brandvägg"-burk.
 
lars_stefan_axelsson skrev:
(En RaspberryPi klarar t ex att routa 40Mbps, och där är begränsningen USB-bussen, så det behövs inte mycket mer). Men visst. Behöver man köpa en ny dator för det så blir ju kostnaden högre. Man vinner å andra sidan en hel del i flexibilitet.
Går det att köra pfsense på en paj?

Sen var det ju inte frågan nu om att ha nåt som klarade 40 Mbit/s utan nåt som klarade 100+ Mbit/s.

Hos mig drar "fiberbox"+router+en extra switch totalt 20W.
 
Nerre skrev:
Går det att köra pfsense på en paj?

Sen var det ju inte frågan nu om att ha nåt som klarade 40 Mbit/s utan nåt som klarade 100+ Mbit/s.

Hos mig drar "fiberbox"+router+en extra switch totalt 20W.
Det bör det göra eftersom en RaspberryPi kör Linux "rakt av". Men sedan så finns det ju mera kapabla små linuxdatorer/kort som skulle klara 100Mbps.

Vad gäller effektåtgång så drar en RasberryPi 5W typisk max (har med USB att göra). Min Shuttle XS35v2 media pc drar typiskt 16-20W, har Gbit-interface och skulle bli en alldeles utmärkt brandvägg/server om man fick till ett extra interface. Det finns ju många liknande.

MEN, det här är naturligtvis för entusiasten.
 
Jag försökte googla på det och det är tydligen inte riktigt så enkelt att få in pfsense på en Pi.

Sen är ju som sagt var fråganvad en sån där annan kapabel liten linuxdator kostar jämfört med en router.

Även min router kör linux (i bemärkelsen att det kör en linuxkernel med iptables för routingen). Lite special är det iofs eftersom operativet bootas från read-only-media och skrivbara filer främst ligger på RAM-disk (eller USB-ansluten media), men efter att ha satt sig in i skillnaderna är det inga större skillnader. Fördelen är att hårdvaran är specifikt anpassad för att köras i en router.
 
Nerre skrev:
Jag försökte googla på det och det är tydligen inte riktigt så enkelt att få in pfsense på en Pi.

Sen är ju som sagt var fråganvad en sån där annan kapabel liten linuxdator kostar jämfört med en router.
Där ser man, men det finns ju andra brandväggslösningar som funkar i så fall.

Ja, vad gäller "hemma-routrar" så är de ju extremt prispressade, så att komma billigare undan i det lägre segmentet det blir nog svårt. Men sedan så är ju också prispressen sådan att man knaprar på kvalitet och kapacitet också i den ändan.

MEN, det är nog egentligen inte så att jag rekommenderar alla att bygga sin egen. Man måste ha både tid och intresse för att det skall vara värt besväret. Har man det så kan man få många extra funktioner (exv. intrångsdetektering), men har man inte det så är det nog inte att rekommendera.
 
Precis som några nämnt så är det ju inte den billigaste lösningen precis. Men man får ju en betydligt mer kapabel maskin. Jag har t ex svårt att tro att många konsumentroutrar klarar att routa valfri enhets trafik ut via en uppsatt VPN-tunnel (för att komma åt amerikansk netflix t ex). Jag vet att det finns plugins till Chrome och annat, men försök fixa det på en surfplatta.

Jag kör min virtuellt på en HP Microserver tillsammans med lite linuxservrar och kan lätt maxa mina 100 Mbit. Sedan finns det ju speciella kort som klarar at köra t ex pfSense.

Men som sagt, det är ju svårt att få en dylik lösning billigare än en standardrouter.
 
Bergling skrev:
Jag har t ex svårt att tro att många konsumentroutrar klarar att routa valfri enhets trafik ut via en uppsatt VPN-tunnel (för att komma åt amerikansk netflix t ex).
Det fixar man väl med iptables? Och alla konstumentroutrar som kör Linux idag använder ju iptables. Det enda som krävs då är ju att man har en router där man har möjlighet att konfigurera iptables som man vill. Och det klarar de flesta idag, om inte med den medföljande mjukvara så med openwrt, dd-wrt, Tomato eller nån annan anpassad mjukvara.
 
Nerre skrev:
Och det klarar de flesta idag, om inte med den medföljande mjukvara så med openwrt, dd-wrt, Tomato eller nån annan anpassad mjukvara.
Jo, fast då är vi ju så inne i "speciallösningar" att man i många fall lika gärna kan ta en "riktig" dator. Om det är något som en "vanlig" router *inte* klarar så är det ju att hänga med när man börja lägga på alla de där roliga funktionerna som exv. dd-wrt/Tomato osv. bjuder på. (Samma med en NAS, börjar man köra webservrar osv. så går den ju snabbt på knäna).
 
Det är inte mer speciallösning är att uppgradera mjukvaran.

Anledningen till att man kan behöva annan mjukvara är att normalt så finns inga konfig-filer på routern när den är avslagen. De skapas "on the fly" när routern bootar, av script som skapar dem baserat på variabler i NVRAM. Det innebär att konfigfilerna har en massa saker hårdkodade. De sakerna går visserligen att ändra på när routern väl är igång (eftersom konfig-filerna är vanliga filer på en RAM-disk), men de sakerna försvinner vid boot eftersom scripten som skapar konfig-filerna inte stödjer dem.

Installerar man nån annan mjukvara brukar det finnas stöd att lägga konfigurering på USB-minne, ett minneskort eller rentav en separat partition i flash-minnet.

Så routern "klarar" det även utan annan programvara, dock "klarar" den inte att behålla den konfigurationen vid omstart.


Sen var ju min poäng här att hårdvaran i en router är oerhört prisvärd och dessutom anpassad för att användas i en router.
 
Nerre skrev:
Det fixar man väl med iptables? Och alla konstumentroutrar som kör Linux idag använder ju iptables. Det enda som krävs då är ju att man har en router där man har möjlighet att konfigurera iptables som man vill. Och det klarar de flesta idag, om inte med den medföljande mjukvara så med openwrt, dd-wrt, Tomato eller nån annan anpassad mjukvara.
Nu har jag ingen egen erfarenhet av moderna routers (har kört pfsense i 5-6 år), så mitt exempel var kanske inte helt korrekt (även om jag tror att en "normal" router har svårt att bara styra om EN klients trafik via VPN).

Men när man tittar på det dyrare segmentet konsumentroutrar så börjar man komma upp i prisklassen kring vad en liten tyst och strömsnål mini-pc/server kostar. Så om man ändå kollar på en router som kostar fyrsiffrigt, så bör man inte utesluta t ex en microserver (köpte min för 1600) med lämplig mjukvarubrandvägg.
 
Vad är det för burk för 1600?
 
Nerre skrev:
Det är inte mer speciallösning är att uppgradera mjukvaran.
Nej, det var det jag menar. Att lägga på ny programvara på sin dator som ser ut som en router, eller att lägga på i stort sett samma programvara på sin router som ser ut som en dator är ju inte väsensskilt. Det är ungefär samma svårighetsgrad att installera linuxbaserad brandväggsprogramvara på en dator som att uppgradera sin router till liknande programvara. (Eftersom det i stort sett är samma så vore det ju konstigt annars.)

Sedan så finns det ju ganska många "barebones" eller "small form factor" pc/servrar med antingen PCI eller dubbla NICar för en $200 eller så, som både har mycket, mycket mer kraft och lagring än en normal routerplattform och som drar ungefär samma ström (12-15W eller så) så att komma under 1500-2000 är ju inte omöjligt, särskilt om man kan hitta någon liten disk och/eller minne som man ändå har liggande hemma och skräpar.

Så vill man ändå ta det steget så är det inte självklart att det enda rätta är att köpa en färdig "router" och ändra programvara på den. Behöver man inte den trådlösa funktionen så kan en "riktig" dator mycket väl vara den rätta lösningen. Det beror på vad man vill göra, och vad man tror att man kommer att vilja göra i framtiden. En liten barebones går ju exv. alldeles utmärkt att senare bygga ut till en halvkapabel NAS, vilket är svårare med en router-plattform. (Ja, jag vet att några redan bjuder på den funktionen via en USB-disk, men då är den IMHO inte "halvkapabel").
 
Vi vill skicka notiser för ämnen du bevakar och händelser som berör dig.