Acquisto Firewall Router

[peg87]

Nella tua lista hai messo anche "server proxy"...nel senso che vuoi fare anche del web filtering e cache? Se si, allora i Mikrotik non vanno bene, perchè non arrivano a arrivano a quel layer. La web cache in ambito home secondo me è inutile perchè i siti sono troppo dinamici al giorno d'oggi, e visto che vai quasi 200Mb non ne vedo l'utilità.

Il mio consiglio è: provali.
Partiamo da alcuni presupposti:

1. mikrotik ha il suo HW, quindi se prendi qualcosa di loro, prendi un sistema già fatto e la spesa si chiude lì.
2. Se valuti altro come zyxel, netgear, ecc anche lì prendi un sistema completo.
3. Se invece guardi software come pfsense, ipcop, opnsense, sophos NG firewall, moonwall, ecc.. dovrai prendere un HW dedicato, spesso e volentieri basta un sistema fanless quindi assolutamente silenzioso (se metti ssd).

Io uso Untangle che è un UTM e la licenza costa 50€ all'anno. Non è flessibile come mikrotik ma quello che cerchi lo fa senza problemi. Fa parte del gruppo 3.
Anche io un rack in casa. Il mio firewall è fatto da un mini pc, appoggiato ad una mensola da rack.
Io ne ho provati diversi e questo è quello con cui mi sono trovato meglio. Semplice da usare e abbastanza completo.
A puro scopo ludico devo trovare il tempo per testare opensense.
Avevo provato sophos NG firewall (gratuito per uso home), ma era uscito da poco quindi non andava molto bene. A quasi 2 anni distanza sicuramente è migliorato molto (ma ormai ho fatto la licenza per 5 anni per il mio).
Per molti software trovi anche le demo se vuoi farti una idea!

Sempre nel caso 3 se vuoi prenderti un hw con porta 10GB farai secondo me farai molta fatica a meno che tu non voglia andare su sistemi assemblabili o molto costosi. In ogni caso, considerando che ancora buona parte del nostro paese ha ancora una DSL, parlare di "oltre 1 GB" mi sembra prematuro. Secondo me puoi fermarti al GB, e se mettessi da parte 3€ al mese fino all'avvento dei 10Gb o simili, secondo me avresti una cifra tranquilla per prendere un dispositivo di fascia alta adatto all'epoca. In ambito home, ora, avere i 10 GB lato wan, lo trovo inutile visto che nessun operatore la propone e soprattutto non ne capisco il vantaggio a meno che tu non sia a trasferire ogni giorno tera di dati.

Se vuoi aggiornamenti frequenti (quasi mensili), untangle, mikrotik, sophos. Gli altri non lo so perchè non li ho provati. Gli aggiornamenti di pfsense invece mi sembrano molto più sporadici. Se poi un software verrà sostituito tra 3 anni, nessuno lo sa.

 

[Moffetta88]

mah, mikrotik fanno da web cache
https://wiki.mikrotik.com/wiki/Manual:IP/Proxy#Cache_Contents

 

[peg87]

Sulla carta, ma non avendo un storage (o meglio essendo solo pochi mega) non riesce a fare quello che web-caching richiede, cioè memorizzare le pagine web. Quello che fa è velocizzare le richieste web. Lo scopo della web cache è si accelerare le richieste, ma perchè le pagine sono già caricate sul proxy, questo riduce anche il traffico dati.
Ma ripeto che secondo me con la connessione che ha lui è una funzione trascurabile.
Diverso è il discorso se vuole il proxy per web filtering (motivo per il quale ho abbandonato Mikrotik).

 

[r3dl4nce]

Per web filtering pfSense con il pacchetto squid e in caso squiguard, provato e funziona, anche se per fare transparent proxy in https poi ti serve un certificato ssl.
Non vedo sinceramente il senso di fare web filtering in ambito home.
Proxy cache con le connessioni attuali e i siti dinamici ormai è decisamente inutile. Comunque i mikrotik con porta usb possono usare una pennina USB come storage per la cache del proxy /ip proxy set cache-on-disk=yes

 

[peg87]

Per mikrotik non lo sapevo, ma non si finisce mai di imparare. Ma vedo che comunque siamo d'accordo sulla sua inutilità!
Per pfsense se non ricordo male, l'ultima volta che lo ho provato, avevo notato che le estensioni squid e squiguard erano state rimosse e non più installabili. Magari era solo un bug.

Personalmente il web filtering lo uso molto.
Esempio: io guardo molti anime e li scarico. Spesso i siti dove sono "hostati" i vari file sono partner con siti porno e gioco d'azzardo. Io li blocco direttamente dal firewall. Lo stesso vale anche per i siti che possono contenere del malware.
Inoltre fa anche le veci di un adblocker. Questo blocca le pubblicità senza installare estensioni sui browser, comodo quindi anche sugli smarphone e sui siti che rilevano i vari adblocker. Riconosco però che non è così efficace come un adblocker sul browser, ma aiuta molto.

In ogni caso anche nel mio sistema per la scansione del traffico https serve un certificato, infatti lo ho attivato solo sui PC, farlo sui dispositivi mobili è un casino, se non impossibile.

 

[r3dl4nce]

Non è impossibile, serve un certificato ssl rilasciato da authority, mi pare non basti un certificato di let's encrypt
Per fare un po' di ad block da router, io uso pihole su un SBC a casa

 

[peg87]

Da quello che ho letto le app hanno un loro certificato non aggirabile. Quindi qualsiasi certificato userai, le app non funzioneranno. Almeno così ho letto.
Ho provato pi hole, ma lo ho dovuto abbandonare perchè le whitelist non funzionavano.

 

[Moffetta88]

Da quello che ho letto le app hanno un loro certificato non aggirabile. Quindi qualsiasi certificato userai, le app non funzioneranno. Almeno così ho letto.
Ho provato pi hole, ma lo ho dovuto abbandonare perchè le whitelist non funzionavano.

Mah, io lo uso in casa su Raspberry e alcune aziende ( ha ridotto le chiamate di intervento di un buon 25% ) e funziona tutto secondo regola senza intoppi.

Inviato da TA-1021 tramite App ufficiale di Tom\'s Hardware Italia Forum

 

[r3dl4nce]

Mah, io lo uso in casa su Raspberry e alcune aziende ( ha ridotto le chiamate di intervento di un buon 25% ) e funziona tutto secondo regola senza intoppi.

Inviato da TA-1021 tramite App ufficiale di Tom\'s Hardware Italia Forum

Idem. In molte realtà neppure si sono accorti che gli faccio risolvere i dns da pihole però I computer sono più pulito da schifezze, pop-up e simili. Per un software che può girare da un SBC (anche se di solito nelle aziende lo installo su macchina virtuale o su docker) è un bel lavoro

 

[peg87]

Mah, io lo uso in casa su Raspberry e alcune aziende ( ha ridotto le chiamate di intervento di un buon 25% ) e funziona tutto secondo regola senza intoppi.

Inviato da TA-1021 tramite App ufficiale di Tom\'s Hardware Italia Forum

Idem. In molte realtà neppure si sono accorti che gli faccio risolvere i dns da pihole però I computer sono più pulito da schifezze, pop-up e simili. Per un software che può girare da un SBC (anche se di solito nelle aziende lo installo su macchina virtuale o su docker) è un bel lavoro

Un attimo, @Moffetta88 ha citato 2 frasi di due cose diverse: La prima si riferiva ai certificati , la seconda a pihole (blocco pubblicità).
Io ho precisato che nel mio caso erano solo le white list pihole a non funzionare (che non centra nulla con i certificati). Se per esempio sbloccavo i googleadvice o quelli relativi di Amazon, in realtà rimanevano bloccati. Se posso per permettermi un'osservazione, dubito che in azienda un utente segnali che gli si è bloccata un pubblicità quando, spesso e volentieri sono legate a siti non coerenti con il lavoro. Come se io andassi a lamentarmi del fatto che tomshw in ufficio è bloccato!
In ogni caso sarà passato un annetto, quindi magari quel problema lo hanno risolto. Per curiosità, blocca anche le pubblicità di youtube?

Poi chiedo scusa ma il termine SBC mi è oscuro...trovo solo prodotti di cosmetica!

 

[Moffetta88]

sì io dicevo di pihole.
Guarda, ho un'azienda con pihole installato e che fanno anche pubblicità di google e quindi ho dovuto mettere in whitelist le pubblicità di google proprio perchè si lamentavano che non si vedevano le loro.

 

[peg87]

sì io dicevo di pihole.
Guarda, ho un'azienda con pihole installato e che fanno anche pubblicità di google e quindi ho dovuto mettere in whitelist le pubblicità di google proprio perchè si lamentavano che non si vedevano le loro.

Riproverò allora, al momento il raspberry lo ho spento.

In ogni caso mi sembra siamo andati un po' OT.

 

[r3dl4nce]

SBC single board computer.
Raspberry, BananaPi, Odroid, Rockpro, ecc

 

[Utente 125751]

Per proxy server mi riferisco: http/https, soc3 e soc4. Un alternativa indipendente, economica e completa ai web proxy a pagamento.
Per quanto riguarda la web cache pensavo che fosse utile per la mia rete lan, poi non so.

Ho letto ora dell' esistenza di Pihone e non so se lo userò oppure no oppure andrò su un programma alternativo.

Per la 3) e per la 2) io non so che hardware scegliere. Dev' essere avere il giusto rapporto calore/prestazioni, dev' essere longevo e dev' essere abbondante (il giusto). Mi stato detto che deve durare 10 anni però gli ho detto (alla persona) che è impossibile.
Nel rack non ho ripiani quindi come preferire una soluzione che non necessiti di un ripiano.

Pfsense ha ad es. ha un antivirus integrato e questa cosa mi interessa.

Se possibile, vorrei avere la possibilità di navigare ad internet offline per quanto riguarda quelle pagine web che ho visitato in precedenza.

Non conoscevo l' esistenza di Pihole. Preferire lasciare la porta aperta nel caso dovessi decidere in seguito di usarlo o se andare su un software alternativo.

Non mi serve/servirà avere una porta 10 gbit.
Mi sarebbe piaciuto avere almeno una porta che supporti IEEE 802.3bz-2016.

 

[Moffetta88]

domanda: ma tu hai una casa o un centro di telecomunicazioni xD
Per uso domestico è davvero un bell'impiantino che chiedi xD
Di sicuro se compri un server linux hai la possibilità di renderlo silenzioso tramite custom loop/ dissipatori aio e ventole ad alte prestazioni ( sia silenziose che performanti )