Посоветуйте firewall

Обсуждение на тему выбора оборудования
Ответить
Mike33
Сообщения: 7
Зарегистрирован: 17 июн 2013, 18:40

Нам необходимо организовать доступ специализированных терминалов сбора данных с помощью WI-FI-сети к определенному программному приложению, работающему на одном компьютере.

Так как терминалы не поддерживают современные уровни шифрования WI-FI (WPA/WPA2 не поддерживается, а поддерживается только WEP), то необходимо защитить этот компьютер от WI-FI-сети с помощью firewall-а.
В компьютере для данной WI-FI-сети установлена отдельная сетевая карточка.

Меня интересует два варианта:

1) Простейший аппаратный firewall, который бы имел два Ethernet-порта (внешний и внутренний), который бы позволил отбрасывать все сетевые пакеты (входящие и исходящие) кроме например следующих:
- Входящий TCP например на порт 1024
- Входящий TCP например на порт 10100
- Исходящий ICMP Type 8 (ping request)
- Входящий ICMP Type 0 (ping reply)

WI-FI-сеть в этом случае будет организовываться любой сторонней обычной точкой доступа.

При этом нужно, чтобы устройство поддерживало проброс портов с компьютера на внешний Ethernet-порт (нужно чтобы терминалы сбора данных и IP-адрес программы, с которой работают терминалы, находились в одной IP-подсети), и при этом, соответственно, NAT.

Например в правилах IPFW FreeBSD это выглядело бы так:

add allow all from any to any via eth1
add allow tcp from 192.168.100.0/24 to me 1024,10100 in via eth2 setup keep-state
add allow icmp from any to 192.168.100.0/24 out via eth2 keep-state icmptypes 8
add deny all from any to any

Так же хотелось бы иметь возможность управлять firewall-ом через командную строку (для пакетной загрузки настроек, правил и т.п.).


2) Этот же firewall, но объединенный с точкой доступа WI-FI (соответственно внешний Ethernet-порт заменяется точкой доступа WI-FI).
При этом:
- нужна максимальная мощность радио-сигнала WI-FI, разрешенная на территории РФ;
- в качестве дополнительной защиты хотелось бы иметь возможность фильтрации доступа WI-FI-устройств по MAC-адресу;


Никаких дополнительных требований к подобному устройству нет, поэтому хотелось бы увидеть самые простейшие и недорогие варианты.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Хотя вы много писали, но ничего не написали про количество клиентов и максимальный трафик, но в самом первом приближении вам будет достаточно
http://mikrotik.ru/katalog/katalog/mars ... rboard-750


По второму варианту http://mikrotik.ru/katalog/katalog/mars ... -951g-2hnd

Помните, что реальное количество беспроводных клиентов ограничено пропускной способностью и здравым смыслом - 16-20 максимум.
Мощность передатчика регулируется.


Mike33
Сообщения: 7
Зарегистрирован: 17 июн 2013, 18:40

gmx писал(а):Хотя вы много писали, но ничего не написали про количество клиентов и максимальный трафик

Количество клиентов: постоянно - 2, иногда может доходить до десяти.
Трафик небольшой (многие клиенты вообще могут соединяться только на 802.11b).
Клиенты - специализированные терминалы сбора данных (http://ru.cipherlab.com/catalog.asp?CatID=7&SubcatID=7)


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вам бы еще описать, насколько большую зону Вы собрались покрыть. Склад в 8000 кв. м. Вам одной точкой не прикрыть, какая бы мощная она не была.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Кстати на такие полщади интересным решением будет Юнифай


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Mike33
Сообщения: 7
Зарегистрирован: 17 июн 2013, 18:40

podarok66 писал(а):Вам бы еще описать, насколько большую зону Вы собрались покрыть. Склад в 8000 кв. м. Вам одной точкой не прикрыть, какая бы мощная она не была.


У нас будет достаточно одной точки доступа. Нужно обеспечить связью относительно небольшую зону.
Но конечно хотелось бы иметь оборудование, которое обладало бы мощностью сигнала максимально разрешенной в России.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

насколько я помню, внутри помещений нет регламентации о мощности передатчиков. ограничения появляются только на улице.


Ответить