Re: Gateway software

From: Henrik Lund Kramshøj (none@hlk--kramse.dk.lh.bsd-dk.dk)
Date: Mon 10 Sep 2007 - 08:10:08 CEST


From: Henrik Lund Kramshøj <none@hlk--kramse.dk.lh.bsd-dk.dk>
Subject: Re: Gateway software
Date: Mon, 10 Sep 2007 08:10:08 +0200
To: bsd-dk@bsd-dk.dk


On 09/09/2007, at 22.19, Claus Krogsgaard wrote:

> Godaften folkens.
>
> Jeg skal sætte en gateway op i min andelsboligforening. I den
> sammenhæng vil
> jeg høre om der er nogle i denne tråd, der har nogle gode inputs til
> software konfigurationen. Pt. er der tilknyttet 125 brugere.
Det er allerede sat op? eller skal I til at trække kabler?

>
> Linien der kommer ind i foreningen er en 50/50MBit fiber.
>
> Vi plan lægger at købe en server med god kapacitet.
Jeg tror I med fordel kan dele det op i flere enheder.

>
> Vi skal bruge noget software som kan følgende:
>
> - Håndtere brugere (udfra MAC eller andet).
Sørg for at købe ordentlige switche, med mangement som
gør at I kan lukke for en port eller lignende remote
- plus det er uvurderligt til statistik

> - Logge disse brugers benyttelse af internetadgangen i henhold til
> antiterror loven.
uuuuoooohhhhhh noooooo, jeg misunder dig ikke - har du undersøgt
en enkelt gang mere om det reelt er et krav. Jeg tror netflow
er en af de mest almindelige logningsmetoder, men man har også mulighed
for noget med hver 500. pakke (ja det giver ikke mening, men det
har jeg ladet mig fortælle, terrorlogning er dyrt og ubrugeligt)

Personligt ville jeg nok som administrator overveje
kun at logge hvad jeg mener er nødvendigt for almindelig
fejlsøgning og minimalt hvad folk laver. Så må man spille
dum hvis de kommer og kræver mere end man har
"det var underligt, jeg troede vi loggede mere ..."

Ja, det kunne give problemer i det lange løb, men den nuværende
ide om logning er jo SYG i grundtanken!

> - Lave traficshaping på en god måde.
> - Lade "alle" komme på andelsboligforeningens netværk, men kun de
> "betalende kunder" komme på internettet.
Det lyder ikke som en god ide, enten er man eller også er man ikke
- for meget administration fordi nogle få vil spare 20% - det
koster jo også en del til at køre infrastrukturen internt.

> - Prioritere trafikken ie. Fildeling har laveste prioritet - ip
> telefoni
> har højst - surfing på nettet mellem.
> - Have en gennemsigtig proxy med 20 - 500 GB kapacitet
en af grundende til at jeg ville dele det op i flere enheder
>
> - Have en SMTP server indbygget, samt muligheden for at blokere
> brugen af
> alle andre SMTP services på eksternt netværk.
Du kan prøve at blokere port 25

> - Have caching DNS server.
+ DHCPD

> - Understøtte multikernet processor i serveren.
Ja, det er vel fint nok og understøttes af både Open/Free/Net
>
> Jeg har pt. kig på pfsense, som jeg mener kan klare opgaven. Har
> dog også
> kig på checkpoint's secureplatform, men den er temmelig dyr.
Jeg ville nok heller ikke købe en så dyr firewall til en boligforening
men start med pfsense eller tilsvarende - man kan jo altid opgradere
senere. Sørg for at lægge lidt ind i budgettet til diverse
opgraderinger.

>
> Politiken omkring brugen af nettet i foreningen er at vi ikke
> ønsker at
> begrænse folk i det de fortager sig. Dog vil vi nedprioritere
> aktiviteter
> som fildeling oa. således man ikke oplever at man ikke kan surfe,
> fordi
> naboen sidder og "suger". Vi vil lægge ansvaret for benyttelsen af
> nettet
> over til den enkelte bruger. Deraf også kravet om bruger registrering.
> Således at såfremt politiet eller internetudbyderen henvender sig med
> krav/henstillinger eller påbud at vi kan diagnostisere os frem til
> hvem af
> brugerne der skal sanktioneres.
>
> Jeg håber der er nogle derude der kan hjælpe med deres erfaringer
> og input.
Det vil være en god ide at se på de andre tilsvarende netværk og
eventuelt prøve at komme i kontakt med administratorerne direkte.

Man kan få utroligt meget at vide over en kop kaffe :-)

Det er længe siden jeg var med til at sammensætte et lille
netværk til en boligforening med 32 lejligheder - dengang
klarede vi os med en Cisco 677, switch og en 486'er der
fungerede som posthus, dhcpd m.v. ;-)

Idag er traffic shaping et must, som du selv er inde på

Mvh

Henrik

--
Henrik Lund Kramshøj, Follower of the Great Way of Unix
hlk@security6.net, +45 2026 6000 cand.scient CISSP CEH
http://www.security6.net - IPv6, sikkerhed, netværk
http://e-learning.security6.net - gratis kursusmateriale



This archive was generated by hypermail 2b30 : Sun 30 Sep 2007 - 23:00:03 CEST