Názory k článku
IPFire: domácí router za 15 minut

Je pěkně vidět variabilnost Linuxu jako takového. Provozují se s ním servery na velkých webových, nebo firemních sítích. Používají jej uživatelé na desktopech, NB, nebo mobilech. Nebo takovéto jednoúčelové projekty, které si kladou za cíl maximálně a co nejlépe zprostředkovat nějaký … obor činnosti s počítačem. Hmmm…, je zvláštní – na to jaký jsem morous, ale mám z toho vždycky radost, zvlášť když si uvědomím, že to dělají lidé, pro lidi. :) Díky za článek.

Nicméně, trochu se vkrádá pochybnost zda to ještě někdo využije, když dneska už existují malé routery, které mají vše potřebné už rovnou v sobě od výrobce a pravděpodobně jsou provozně ekonomičtější než PC. :(

Evidentne projekt „autor sobe“, sklada si routery a prestalo ho bavit pokazde vse nastavovat od zacatku rucne. Sam to urcite pouziva ve velkem, ale dale uz asi nikdo (no mozna obcas se nekdo asi najde). Prece jen laik, pokud zatouzi mit svuj router, nebude si kladat pc s dvema sitovkama a instalovat linux, to si rovnou koupi jednoucely v krabicce za 700 kacek. A ti schopnejsi s ohledem na vlastni lenost taky:-) Navic iptables je prilis velka magie na to, aby se dalo shrnout do jednoho web rozhrani s par klikatky a okenky. Distro beru spise jako ukazku dalsich linuxovych moznosti, pokud autor chce do toho vrazet vlastni cas a energii, necht mu to vydrzi co nejdele. Porad lepsi nez nedelat nic.

pokud sledujete články autora, je vám jasné, že je to typický „amatér samodoma“ nicméně v tom nejlepším smyslu. Takže pokud ho (a jiné) taková práce baví proč ne – pochopitelně o jiném smyslu lze pochybovat.
Nicméně nechtěl bych být jednou v kůži jeho zaměstnavatele, až přijde s tím, že dává výpověď – s jeho odchodem to všechno klekne, protože jiný do toho neuvidí – taková práce, co stojí a padá s jedním „géniem“ je naprd…

Autorstvi clanku neni pro mne vypovidajici hodnota. S tim zamestnavatelem to je snad normalni, nebo myslite, ze kdyz odejde vyvojovy tym microsoftu, ze druhy den tam budou plnohodnotni nahradnici? Pokud nekde nejaci cvoci davaji dohromady neco zajimaveho, vzdy hrozi po jejich odchodu urcity kolaps. Dulezite prece je, jestli je vsechno radne zdokumentovano, plus vsechny pristupove udaje k informacim. Navic „jeden genius“ je bohuzel casty ukaz mensich firem s poctem do sta kompu. Mohou sice resit outsourcing, ale pak se jim nikdo nebude piplat s vnitrofiremnimi vylepsovaky, tedy nebude piplat za par kacek;-)

S tim zamestnavatelem to je snad normalni, nebo myslite, ze kdyz odejde vyvojovy tym microsoftu, ze druhy den tam budou plnohodnotni nahradnici?

Když odejde tým tak je to průser. Ale tohle si každý zaměstnavatel ošetří ve smlouvě. Když odejde jeden vývojář, tak by to měl hned převzít jeho kolega, který o tom ví vše.

Dulezite prece je, jestli je vsechno radne zdokumentovano, plus vsechny pristupove udaje k informacim. 

A to je právě kámen úrazu. Tihle kutilové nedělají nic standardně – od použití vlastního jádra místo distribučního počínaje, přes kompilaci programů mimo balíčkovací systém a co možná nejzamotanějším nastavením všeho konče (nejvíce kreativity projeví při nastavení rout, překladů adres apod. – samozřejmě ručně bez zapsání do konfigu, aby po restartu bylo dva dny co dělat). Dokumentaci samozřejmě nepíšou.

Nevim teda kde jste se s podobnym typem setkal ale kazdy kdo ma jen trochu rozumu (a zdrave lenosti) dokumentuje, skriptuje a/nebo zalohuje. Kyz uz neco lehce nestandardniho rozbehnu tak si dam sakra pozor aby mi to jeden vypadek proudu nebo uklizecka ometajici kabely neposlali ke vsem certum a kdyby nedej buh tak at to tam znovu nahodim nejvys na dva kliky. A ano.. mluvim z vlastni zkusenosti.

To ze nektere firmy maji pocit ze jeden admin na 100 stanic a 5 servru je OK (pocitejme ruznorodou infrastrukturu, rozesrany interni aplikace od ruznejch „vendoru“, samozrejmosti je tahani kabelaze, pohotovosti, 2× rocne nejaky ten audit a strzeny premie kdyz clovek serve reditelovu sekretarku, ktera nedokaze pochopit ze mys s vytazenym kabelem proste nepojede) je jina pohadka. Takovym to patri. Co si zaplati to maji a kdyz admin padne nebo odejde na lepsi tak holt maji kulovy.

myslim si ze si sve misto najdou i tyhle stroje, myslim si ze je to presne ta vec ktera se ta jakz takz ohnout a za minimalni naklady, prijde mi to i jako dobra vec ke studiu, kdyz budu chtit udelat stroj podobneho typu s sirsim pouzitim…

To už tu bylo jako zprávička v nedávných dnech.....ale klikátka jsem je ani nepoužíval. Zdá se mi mnohem efektivnější router například s debianem, nastavit pravidla pomocí iptables, jednoduché měření mít obstarané hotsanicem a k tomu ještě několika set gigové disky nasdílet přes NFS a Sambu do LANky.

A jak dlouho jste studoval manualy, nez jste se k tomu know-how dostal? Pokud jste profik, jiste se Vam investovany cas vrati. Pro obycejne smrtelniky muze byt jednodusi specializovane distro s GUI…

Časově asi normální doba. Když jsem s linuxem v roce 2007 na desktopu začínal, tak mi zhruba rok trvalo se seznámit s pricipy fungování a po tom roce jsem si spustil první router. Nejprve dělal základní věci – NAT a Samba. Další věci přicházely postupně s tím jak jsem je začal pomalu potřebovat a nasazovat.

Pokud máte k dispozici silnější stroj, tak doporučuji podívat se na Untangle, má širší možnosti, snadnou konfigurovatelnost a dobrou podporu na fóru. Systém je postavený na debianu a lze provozovat i pod VMware, nebo na Windows, nebo pořídit jako zařízení.

podla popisu mi to pripada ako iba dalsia kopia Smoothwall-u .

nebo vylepseny a rozsireny IPCop.

Doba těchto router-dister je už dávno pryč. Jeden čas jsem všude cpal mon0wall.. a jak to šlapalo. Bohužel ekonomika tohoto řešení je už dávno za zenitem.. (půlroční spotřeba u starého pc plně zaplatí nákup hotové malé krabičky) . Jakýkoli malý instantní router za 300 z inwifi postačí 98% všech domácích userů. Firmy si tohle taky nepořídí, protože se pak víceméně stávají otroky svého tučňáčího dodavetele (jen on ví co je tam dobastlený navíc) takže si radši pořídí nějakýho relativně průhlednýho vymazlenýho mikrotika nebo nějakou vyšší ligu ala cisco. Lowcost poskytovatelé internetu na tom taky routovat nebudou protože často tyhle distra padaj na hubu při větší zátěži. (tam kde se mikrotik 300MHz dloubá v nose, tak stará P4 smaží na chladiči vajíčka a stejně je pomalejší)
Takže tohle řešení zbývá jen pro nadšence kteří mají radost z toho co dokáží, nevadí jim ventilátory starých počítačů, neváhají si za 2–5kKč koupit nějakou prima 12V desku s atomem či geodem, navěsit na to nějaký disk a kromě routeru si z toho udělat třeba sambaserver/ftp/lam­p/vpn server a byt spokojeni. Bohužel počet těhle lidí odhaduji na méně než jedno procento z populace…ale je fajn, že se pořád někdo snaží :)

děláte si doufám srandu? srovnávat 300MHz routerboard s mikrotikem oproti P4 je zvrhlost. Osobně několik let provozuji síť jak na routerboardech tak na x86 a routerboard se nikdy nerovnal P4ce…P4 je mnohem větší síla.

Zkus 450, 450g nebo 750 a 750g. Ja vše o ušech domácností co mám (asi 5) řeším PoE switchem (tp-link za 800) s 4× poe a4× obyc. Žádné jiné adapérky netřeba a sestava:

Router,switch, 2× ip telefon, 1× AP na wifi se mi v pohode vleze pod 35W trvalého odběru. Chci vidět P4 která to za 35W dá. Samotnej NAT dá 750G v pohodě 80mbit/s, bridge 200Mbit/s a pořád má 1/3 rezervu.

Zostava ktorú používam (Thinclient WYSE 9450XE, 4×Ethernet pci karta (via chipset), 250GB IDE HD, 2.5", USB WIFI) sa dostane na 40–45W.
Nákup (TC bol z e-bay, ostatne tu u distributorov) je oproti tebou spomínanemu mikrotiku polovičný.
Bežne máme otvorené 2 – 8 VPN, je tam naraz vždy medzi 10–30 užívateľov, často aj tisíce spojení, ide tam rsync-backup z 8-ich firiem, funguje to aj ako wifi AP. Je tam CARP. Pouzivam to aj ako VNC repeater pre vzdialenu podporu. Je tam cups.
Beží to roky spoľahlivo.

V dobách kedy provideri ponúkaju 100MBit domov a ludia maju doma bezne 3–5 strojov (ja notebook, syn notebook, žena PC, druhy syn PC, jeden stroj na zalohovanie firemných dat ku mne domov, mythtv, synove pda, moj mobil,..... synovi kamarati…) sa casto stava ze jednoduchý broadband router s realtek chipsetom sa stáva problémom. To isté aj mikrotik.

Souhlasim s tim, ze mala krabicka za 500–1500 vyhovi vetsine BFU. Nicmene, mala krabicka nema treba transparetni proxy (a tu neumi ani m0n0wall!), mala krabicka nemusi umet nektere vychytavky specializovaneho reseni, treba denni statistiky prenesenych dat (pokud nemate FUD, tak to nepotrbebujete…), mala krabicka neumi vytvaret VPN, k male krabicce nepripojite teplomer (IPcop umi kreslit mimo jine krasne grafy tepolty a vlhkosti), pro IPcop existuje specialni modul pro cachovani DEB, RPM a CAB balicku, coz ocenenite pokud mate v siti vice PC, atd, atd. K nekterym malym krabickam zase pripojite analogovy telefon a muzete pouzivat VoIP, coz zase neumi tyto specializovane distribuce (a neumi to ani Mikrotik); nicmene, kouzelna krabicku (SIP adapter) lze poridit zvlast… Take je fakt, ze je zde trend presouvat routery do virtualizovanych stroju. Napadlo Vas, ze IPfire muze bezet jako jednen virtuani stroj na ESXi serveru? Pak Vam staci jen vyhrazena sitova karta pro RED rozhrani a externi ADSL/WiFi/4G/UM­TS modem…

Zrovna něco podobného potřebuju, ale musí to umět:
* stahovat poštu z dom. koše + rozházet pro jednotlivé uživatele podle adresy (jeden mail může jít více uživatelům) -smtp server nechci, použije se providerův
* nějaký antispam a antivirus (aspoň pro základní protřídění)
* přístup k té poště pomocí imap
* openvpn a ssh pro přístup z venčí (pouze s certifikáty)
* proxy s nutností přihlašování uživatelů, blokování adres (mám jich desetitisíce, takže import, ne zadávat jednotlivě přes nějaký web formulář, ideálně podpora rozdělení do skupin)
* možnost blokovat přístup na web časově + podle uživatelů, ip a mac adres
* jednoduchá statistika (dny/týdny/měsíce) podle uživatelů – přenesená data, nejnavštěvovanější stránky
* virtuální vnitřní síťovka na jiném poolu, aby se pc s adresou v tomto poolu nedostaly do „hlavní“ vnitřní sítě, vůbec nijak je neomezovat v tom co mohou tahat, ale dělat statistiky přenesených dat (teoreticky by asi měli být na jiné síťovce, ale je fyzicky nemožné je připojit jinak než na vnitřní síť)
* jednoduchá záloha nastavení a pošty
* stabilita a dlouhodobá podpora (chtěl jsem to „bastlit“ z CentOSu)

Nebo doporučíte nějakou takovouhle „klikací“ distribuci? Ze screenshotů co jsem procházel jsem měl vždy pocit, že brzo narazím, např. ta virt. síťovka..

Mozna by se Vam libil ClearOS (byvaly ClarkConnect)…

Díky za tip, vypadá to zajímavě, stahuju, hodím do virtuálu a uvidíme.

Astaro

Já již pár let používám IPCop a nemohu si stěžovat. Jak tu někdo psal, že doba samostatných strojů je pryč, že je jednodušší jedna krabička, protože je to neekonomické, tak se s tím dá souhlasit, leč máme virtuální stroje, takže tyto distribuce rozhodně nejsou za zenitem.

Pokud tomu dobre rozumim, tak IPfire vznikl z IPcop, autorovi chybela podpora kernelu 2.6 v IPcop, tak navrhl IPfire s jadrem 2.6. Pro IPcop exituje mnoho balicku, ale z clanku jsem nezjistil, zda jdou pouzit i v IPfire; asi ne. Vlastne mi chybi prime srovnani s IPcop, ktery znam dobre; treba by jsem potom uvazoval o migraci z IPcop na IPfire… ;-) IPcop je uz dost dlouho v nejakem strnulem stavu.

Neni ve strnulem stavu, uz je nova verze 2.0 ktera podporuje jadro 2.6
IPcop je vyborne reseni pro dedikovany FW, pouzivam jej od verze 0.1.1 jiz nekolik let u mnoha zakazniku a i na nekolika wifi sitkach s poctem kliosu do 70ti u te nejobsazenejsi. u nej je vyhoda ze se opravdu da upravit jiz predudelanejma modulama, nebo proste udelanim sveho. Tenhle IPfire je asi fajn, jak jsem koukal, tak spoustu z nich integruje, jako na sambu a QoS od Markuse Hoffmana apod. Osobne doufam, ze kluci s IPcopam pohnou a ze tyhle moduly budou i pro novou verzi case predelany. Osobne si zatim na jadru 2.4 vystacim, je to fakt totalne odladenej system a to ze nejsou dlouho updaty mi neva, aspon mam pres rok uptime:) Navic mi prijde malinkato kravina, kdyz nekdo pise ze se zameruje na velice vysokou bezpecnost zaroven s velikym poctem moznosti, to me uplne polejva horko, protoze to potom je IE8 nejuzasnejsi prohlizec vsech dob :))) Cim vic tam toho nacpu, tim hure budu hlidat diry. Na IPCopu se mi prave libi, ze tam neni skoro nic a clovek si fakt muze rozmyslet co kdo opravdu potrebuje nez to tam da. Kazdopadne IPfire preji vse nejlepsi, ma spickove zaklady, na kterych muze smele stavet a co vic, nadchl i meho kamose zaprisahleho windowsaka, tak za to ma muj obdiv o to vetsi :)

konecne clanek o necem praktickem a k zivotu… to by si mel precist nejmenovanej ucitelskej… diky, ke vsemu je to jak pro profiky tak i pro laiky, oba typy lidi to pochopi velice lehce, zadny slozity okecavacky a hloupy blaboleni. Clanek ma ucel, myslenkovou rovinu a je faktograficky. Diky diky…

Já si myslím že je to slušná distribuce a své uživatele si najde.
Osobní ji používám na vpn (net-to-net) a funguje bazvadně a smožností vytvořit vlastní backup soubory je opětovné zprovoznění hračka.