Посоветуйте firewall
Добавлено: 17 июн 2013, 19:03
Нам необходимо организовать доступ специализированных терминалов сбора данных с помощью WI-FI-сети к определенному программному приложению, работающему на одном компьютере.
Так как терминалы не поддерживают современные уровни шифрования WI-FI (WPA/WPA2 не поддерживается, а поддерживается только WEP), то необходимо защитить этот компьютер от WI-FI-сети с помощью firewall-а.
В компьютере для данной WI-FI-сети установлена отдельная сетевая карточка.
Меня интересует два варианта:
1) Простейший аппаратный firewall, который бы имел два Ethernet-порта (внешний и внутренний), который бы позволил отбрасывать все сетевые пакеты (входящие и исходящие) кроме например следующих:
- Входящий TCP например на порт 1024
- Входящий TCP например на порт 10100
- Исходящий ICMP Type 8 (ping request)
- Входящий ICMP Type 0 (ping reply)
WI-FI-сеть в этом случае будет организовываться любой сторонней обычной точкой доступа.
При этом нужно, чтобы устройство поддерживало проброс портов с компьютера на внешний Ethernet-порт (нужно чтобы терминалы сбора данных и IP-адрес программы, с которой работают терминалы, находились в одной IP-подсети), и при этом, соответственно, NAT.
Например в правилах IPFW FreeBSD это выглядело бы так:
add allow all from any to any via eth1
add allow tcp from 192.168.100.0/24 to me 1024,10100 in via eth2 setup keep-state
add allow icmp from any to 192.168.100.0/24 out via eth2 keep-state icmptypes 8
add deny all from any to any
Так же хотелось бы иметь возможность управлять firewall-ом через командную строку (для пакетной загрузки настроек, правил и т.п.).
2) Этот же firewall, но объединенный с точкой доступа WI-FI (соответственно внешний Ethernet-порт заменяется точкой доступа WI-FI).
При этом:
- нужна максимальная мощность радио-сигнала WI-FI, разрешенная на территории РФ;
- в качестве дополнительной защиты хотелось бы иметь возможность фильтрации доступа WI-FI-устройств по MAC-адресу;
Никаких дополнительных требований к подобному устройству нет, поэтому хотелось бы увидеть самые простейшие и недорогие варианты.
Так как терминалы не поддерживают современные уровни шифрования WI-FI (WPA/WPA2 не поддерживается, а поддерживается только WEP), то необходимо защитить этот компьютер от WI-FI-сети с помощью firewall-а.
В компьютере для данной WI-FI-сети установлена отдельная сетевая карточка.
Меня интересует два варианта:
1) Простейший аппаратный firewall, который бы имел два Ethernet-порта (внешний и внутренний), который бы позволил отбрасывать все сетевые пакеты (входящие и исходящие) кроме например следующих:
- Входящий TCP например на порт 1024
- Входящий TCP например на порт 10100
- Исходящий ICMP Type 8 (ping request)
- Входящий ICMP Type 0 (ping reply)
WI-FI-сеть в этом случае будет организовываться любой сторонней обычной точкой доступа.
При этом нужно, чтобы устройство поддерживало проброс портов с компьютера на внешний Ethernet-порт (нужно чтобы терминалы сбора данных и IP-адрес программы, с которой работают терминалы, находились в одной IP-подсети), и при этом, соответственно, NAT.
Например в правилах IPFW FreeBSD это выглядело бы так:
add allow all from any to any via eth1
add allow tcp from 192.168.100.0/24 to me 1024,10100 in via eth2 setup keep-state
add allow icmp from any to 192.168.100.0/24 out via eth2 keep-state icmptypes 8
add deny all from any to any
Так же хотелось бы иметь возможность управлять firewall-ом через командную строку (для пакетной загрузки настроек, правил и т.п.).
2) Этот же firewall, но объединенный с точкой доступа WI-FI (соответственно внешний Ethernet-порт заменяется точкой доступа WI-FI).
При этом:
- нужна максимальная мощность радио-сигнала WI-FI, разрешенная на территории РФ;
- в качестве дополнительной защиты хотелось бы иметь возможность фильтрации доступа WI-FI-устройств по MAC-адресу;
Никаких дополнительных требований к подобному устройству нет, поэтому хотелось бы увидеть самые простейшие и недорогие варианты.