Помогите выбрать марштуризатор с гибким фаерволом

Question

[Kolh]

Есть четыре обособленные сети в одном здании, построенные на D-Link'овских свичах. В каждой сетке около четырех Windows машин. На каждой машине стоит COMODO Antivirus. Объем данных, передаваемых по сети, небольшой.

Задачи и требования:

• Объединить все машины в одну сеть с делением на рабочие группы, пустить с них в интернет антивирус, так же пускать определенных пользователей на определенные сайты
• На одну из машин нужно с помощью NAT круглосуточно переадресовывать UDP пакеты, приходящие извне
• Доверху нужен гостевой WiFi
• Было бы здорово ограничивать пользователям объем трафика, потому что тариф лимитный
• Если ко всему он будет гигабитный, то я только ЗА
• Цена не выше стоимости офисного компьютера (ориентировочно 15 000)

Сейчас на его месте стоит Keenetic, но он умеет только пускать/не пускать машину во внешнюю сеть. Посоветуйте устройство, которое способно со всем этим справиться (я сам кошусь на D-Link DIR-615, год назад кому-то ставил, помнится там был отличный гибкий firewall)

Серверной нет, места тоже нет, поэтому желательно решить задачу именно «маленькой веселой коробочкой с антеннами и мигающими лампочками» — начальству это понравится

UPD: Что вы можете сказать о D-Link DSR-250N?

Answer 1

[Maximus43]

Поставьте Soekris net6501 (http://soekris.com/products/net6501/net6501-30-board-case.html) и к нему точку доступа Wi-Fi. Можно воткнуть в виде платы mini-PCI, можно прикупить отдельное устройство и включить в Ethernet порт.
В коробочке 4 гигабитных порта, два USB (можно воткнуть 3G модем), операционная система pfSense на базе FreeBSD. Все ваши потребности покрываются с лихвой.
Если наличие гигабитных портов не принципиально, то берите решение ALIX.2D13 (http://www.pcengines.ch/alix2d13.htm)

Comments

[Kolh]

А попроще? :)

Answer 2

[Ruslan_Voloshin]

картинка мало что прояснила, я в принципе так и предполагал.
Не усираясь в детали, если без задачи подсчета траффика я-б взял наверно какой-то микротик 5 и более портовый и отдельно точку вайфай.
Если Учет траффика всетаки важен тогда любой комп соотв. мин. требованиям дебиана с 3мя сетевухами + свич 2 уровня, например DGS-1100-16 + вайфай точку.
С микротиками не работал, не помогу, если решишь по второму варианту пиши в личку.

Answer 3

[slpdmn]

посмотрите asus n56 открытый линуксовый файрвол, открытая архитектура, открытая установка optware. Настраивайте и добавляйте что угодно и как угодно, памяти полно процессора тоже. Я штук пять роутеров сменил, пока не этом не остановился.

Answer 4

[rinx]

Так же рекомендую обратить внимание на дистрибутив Pfsense.org на основе FreeBSD. там есть всё что вам нужно, в том чисое и гостевой Wifi (http://tinyurl.com/7r7brve).

Ставится на обычный комп с несколькими сетевыми интерфейсами и настраивается очень легко через веб морду.

Answer 5

[Ruslan_Voloshin]

какая-то кривая задача imho…
давай по пунктам:

Объединить все машины в одну сеть с делением на рабочие группы

точно только именами рабочих групп надо разделить? и как вытекающее — а сокральный смысл в этом каков?
Если уж делить то я-б разделял по подсетям или вообще по 802.1q если свитч(и) поддерживает(ют). Ваше решение в большинстве случаев только жизнь усложняет пользователям и мастербраузеру.

пустить с них в интернет антивирус

перефразируйте пожалуйста, кого куда пустить?

Доверху нужен гостевой WiFi

С «только интернетом»? или еще и с (запрещенным/) доступом к какой-то рабочей группе?

Было бы здорово ограничивать пользователям объем трафика, потому что тариф лимитный

Любого траффика или только http? ибо это совсем разные пути решения и ни тот ни другой вариант желаемой вами железкой не решается.
марштуризатор с гибким фаерволом и учетом траффика по вашим требованиям может быть только на базе *nix подобной системы, рекомендованый asus с левой прошивкой вам скорее всего поможет но красноглазия вам придется отведать в полной мере.
я-б всетаки поставил любой комп хоть на миниITX с линукс+iptables, свичи 2ого уровня с 802.1q и отдельную вай-фай точку.
по Длинку — найдите в своем городе регионального представителя и попросите данную железку в тест. я так делал неоднократно, почти всегда прокатывало — все в плюсе.

с помощью NAT круглосуточно переадресовывать UDP пакеты, приходящие извне

тож поведайте сокральный смысл? прям вот все-все UDP?

Comments

[Kolh]

точно только именами рабочих групп надо разделить? и как вытекающее — а сокральный смысл в этом каков?
Если уж делить то я-б разделял по подсетям или вообще по 802.1q если свитч(и) поддерживает(ют). Ваше решение в большинстве случаев только жизнь усложняет пользователям и мастербраузеру.

Зачем мудрить, вполне хватит рабочих групп для того, чтобы один этаж не печатал на принтерах, стоящих на другом этаже.

перефразируйте пожалуйста, кого куда пустить?

На каждой пользовательской машине стоит COMODO Antivirus (бесплатный для корпоративного использования), который надо обновлять (чисто ради успокоения начальственных нервов). Заморачиваться с оффлайн апдейтером мне не хочется, там все так шатко работает, что версией от версии придется все переделывать. А в моей схеме предположительно не имеет значения какой антивирус и какой версии полезет обновляться на свои сервера, при смене антивируса будет достаточно поменять IP сервера обновлений на фаерволе.

С «только интернетом»? или еще и с (запрещенным/) доступом к какой-то рабочей группе?

Скажу честно, просто понравилось название. Смысл в том что приходят дорогие гости, которые любят «кушать» вайфай. Задача стоит в том, чтобы не давать им скачать данных больше, скажем, чем 100 МБ, разумеется не пуская их к внутрисетевым ресурсам

тож поведайте сокральный смысл? прям вот все-все UDP?

Не все, конечно, только приходящие на конкретный порт. Но это важно. То есть NAT должен быть, без него никак. Даже, возможно, понадобится DMZ в этом месте.

[Ruslan_Voloshin]

Зачем мудрить, вполне хватит рабочих групп для того, чтобы один этаж не печатал на принтерах, стоящих на другом этаже.

это неработает в 99,99%, проверено. Или разделяйте насовсем — или не компостируйте мозги.

COMODO Antivirus

Выбор антивируса — дело вкуса, но увязывая платный трафф и следствующие ограничения вы сами себе противоречите. М.б. стоит всетаки обосновать начальству либо безлимитный инет хоть на 256кбпс и/или толковый платный антивирь? Поверьте и вашим и начальственным нервам так будет проще и это не на столько сложно втолковать как кажется.

Смысл в том что приходят дорогие гости, которые любят «кушать» вайфай

В 100Мб эти хотения если не ограничятся — у вас будет больше гемороя чем если этого вайфая не будет вообще. А вопрос недопуска к сетевым ресурсам решать всеравно придется через разделение подсетей.

Даже, возможно, понадобится DMZ в этом месте.

Не хочу строить из себя Гуру, но мне кажется вы слабо понимаете что вы пишете. Чуть больше времени посвятите теории сетей. И в качестве практических занятий попробуйте все предложенные выше варианты, это будет вам очень полезно, тем более за чужие деньги. В любом случае ваш единственный путь ИМХО с такими желаниями IPTABLES.

[Kolh]

;(

вы сами себе противоречите

Так точно. Я все понимаю и осознаю.

вы слабо понимаете что вы пишете

Ну, да, я не профессионал. Поэтому я и прошу помощи.

[Ruslan_Voloshin]

тогда опиши вопрос целиком в деталях, можно с картинками, с тарифами, с моделями имеющегося оборудования, с городом нахождения -> будут более конкретные рекомендации что делать. Я могу помочь только если с IPtables немного и с активным оборудованием.

[Kolh]