Помогите с выбором роутера для защиты домашнего сервера

[ERET1K]

Есть сервеная машина. Работает у меня дома. Хочу обезопасить её от угроз из вне (хотя бы от умников которые видят мой сервер по локалке и пытаются что то сделать).
Подключен интернет через кабель и авторизация у провайдера через PPPoE.
Надо бы сделать так чтоб из под-сети провайдера(по локалке) не было видно мой серв, ни открытые порты ни вообще что подключен сервер. Но при этом чтоб через PPPoE соединение на которое Я получаю внешний выделенный IP можно было спокойно подключиться, в кратце на сервере уже 2 сайта и почтовый сервер. Вот нужен роутер который не нарушит работу ни почтового сервера, ни веб, ни чего того что Я туда ещё могу установить. Также желательно чтоб роутер имел защиты от какого либо вида атак.

Роутер хочу купить с нормальным запасом мощности и функционала (интересует функция фаервола).

Бюджет около в раене 200$ +- 50$ (но это не критично)

[vqd]

http://mikrotik.ru/katalog/katalog/mars ... -951g-2hnd

[podarok66]

Можно взять http://mikrotik.ru/katalog/katalog/besprovodnye-marshrutizatory/routerboard-450g, хороша железка. Только нужно учитывать, что это лишь материнская плата, необходимо будет докупить корпус и блок питания...

[Dragon_Knight]

У меня похожая ситуация, но оборудования побольше, 4 сервера и гигабитный линк.
В данный момент стоит 450G, но простой DoS http запросами, и роутер падает (20-30кп\с, 30-60Мб\с).
От 951G-2HnD тоже никакого толку не будет, ибо железо почти такое-же...

Честно говоря у Микротика нету оборудования под данные нужды, т.к. после хороших моделей для дома за 4-5к сразу идут модели за 40к, а в промежутке цен ничего нету...
Хотелось-бы увидеть модельку, уровня 1100AHx2 (или два 1100AHx2) + SFP + 5-10 GLan

[vqd]

эм, а с ддос вы как боритесь?

[Dragon_Knight]

vqd, Я? никак. Только от DoS и SYN. Как-бы было неприятно это признавать, но даже самый простой DDoS положит мои сервера...
Конечно имея Cloud Core Router 1036-12G-4S-EM, можно написать сотни правил, десятки скриптов и реализовать более мене защиту от всего, но извините 40к у меня нету

[vqd]

не, я имею в виду правила ваши.
А вообще мне как то площадку ддосили упорно, чего только не делал, потом банально icmp снаружи закрыл и все ддоса больше просто нет

конкретно боролся с ддос по 53 порту,.

[simpl3x]

ну тут суть наверное в том, что ВСЁ что не должно светить наружу - не должно светить наружу. закрываем все сервисы лишние.
Но встает вопрос о том, что должны быть какие то сервисы, для внешнего использования - например веб сервер. и тут уже так не закроешь. и ... над правилами тут можно сидеть долго и упорно - НО, все равно у микротика будет задача думать над каждым прилетающим пакетом и ресурсы его процессора не безграничны. И если не откажет сам веб-сервер, не загнется ваш аплинк, то есть вероятность, что микротик задумается сильно. мне кажется, что в таких ситуациях железкой за 30к не обойтись. хотя у тех же dlink начиная от ветки des заявлена какая то борьба с ddos и прочие фильтры.

[vqd]

Я просто встречал народ которые подобные правила вешают и они применяются ко всему трафику который через фильтры проходит и естественно железка начинает упираться.
Описываешь правило что бы оно к конкретному трафику применялось и железке уже по проще. Например указать входящий интерфейс, порт и т.п.

[Dragon_Knight]

vqd, 53 порт это уже старая тема, нада блочить этот порт на вход.
Сейчас правила простые:
Если на WAN порт, на 80 порт открыто больше 5 конектов на 1 удалённый IP и есть этот IP в адресс листе, то дропаем.
Если на WAN порт, на 80 порт открыто больше 25 конектов на 1 удалённый IP, то создаём адресс-лист;

Защита от SYN точно такая-же как в wiki, только 'включатель' немного под себя переделал.

simpl3x, Я считаю что железки с 36 ядрами на платформе PPC хватит что-бы защититься от всего, в разумных пределах конечно.