ESXi虚拟机体验SOPHOS和OPNSense防火墙~

summerq

我也用过骚护士，简单的说它性能不行，不如pfsense或者opnsense，同时它免费版只支持4核心cpu，多余的被限制了不能使用

summerq

防火墙的cpu选择在国外基本上都是低频多核，因为功耗性能比是很重要的因素。c3558跑千兆路由还可以，防火墙就不够。j4125就够了，我以前发过贴。
网上还有一种说法，是说由于现代网站都是https了，因此在路由器里添加防火墙的作用越来越低，趋势是在客户端上添加防火墙。

summerq

nn1122 发表于 2024-2-15 13:30
现在新一代防火墙都是路由和防火墙二合一了，同时作为一个NAT网关进行地址转换，当然以后纯IPv6组网的话N ...

防火墙核心是对加密数据包进行解密，再过滤内容。这样本质上就是一种中间人攻击。防火墙的瓶颈是加密解密的速度。这也是为什么商业防火墙都有asic来做加速。家用软防火墙受制于加解密速度，吞吐量不能做到很高，譬如10g就遥不可及，因此我才说未来软防火墙的作用越来越低。至于nat，pppoe等，就像你说的一样，终究是要被ipv6淘汰掉的。

summerq

nn1122 发表于 2024-2-15 18:05
说法很片面，是对所有数据包的分析控制，即使解密加密数据包，也需要防火墙上加载相应的根证书才行，SSL ...

其实加解密这块 我还尝试过。ipsec加密用了qat 8970，ipsrc能跑满10g，但是这么多年下来，最终我还是选择买了硬路由，不用防火墙就完事了。

summerq

leonqin 发表于 2024-2-15 18:17
请问下层主现在用的哪个硬路由？看你帖子里说是TP全家桶了，是ER2260T之类的吗？ ...

我在海外 用er8411，但实际上体验跟er2206t没差别。万兆都能跑满。
ac控制器海外是oc200，国内是ac100，ap这部分我用了5个EAP670，带2.5g网口，类似于国内的ax5400这一档产品。地下室有一个室外ap，型号是eap650-outdoor，它是千兆poe，也是支持ax 5g 160MHz。频率方面都不支持6g，但是5g信道从36一直连续到165。核心路由器是tplink-sx3206hpp，4万兆电口加2万兆sfp+光口，这路由器是支持PoE++的。目前就这个样子，wifi7我就先不上了，因为移动终端也不支持，以后需要再逐步升级就好了。tp全家桶用商业方案，很稳定，平时不操心

summerq

coolbo 发表于 2024-2-15 18:49
哎，平台不统一引入的问题也挺多的，尤其是家用和企业级混用情况，这就是我遇到的问题。PFsense倒是完全兼 ...

这么巧，我也是四地mesh。我是用wg来组网，香港家里是一个pfsense，新加坡家里是tplink的er8411自带的wg，美国是运营商的光猫开端口转发，用了一个debian主机来组网。最后还有个vps在美国用来收bgp表，debian里面装了wg和bird。wg的mesh组网我用了一个小工具来管理配置文件，叫做wgx，在github上开源的工具。

summerq

nn1122 发表于 2024-2-16 10:21
就web shell这个，我确实笑了，没有web shell就SSH登陆操作嘛，这证明你确实对这些基本操作不熟。我也是 ...

论坛强调分享。可你每一次回复，都先贬低别人，然后再讲你说掌握的经验，这样别人听起来是不是就不那么顺耳呢

summerq

coolbo 发表于 2024-2-16 10:36
你自己去opnsense社区看看有多少人请求增加这个功能，如果ssh方便那些企业级路由器防火墙加web shell是为 ...

opnsense跟pfsense比起来还是有很多不足的。除了webshell之外，比较重要的包括wg的ipsec-mb加速，openv pn的DCO offload，qat加速，最新的freebsd14等都是没有的

summerq

leonqin 发表于 2024-2-16 11:07
刚去pfsense官网下载了ISO打算esxi先体验一下，不过官网现在最新版的DVD ISO下载后存在解压错误，只能下U ...

https://pfchina.org/
里面有国内可用的网盘 有pfsense plus版本下载

summerq

coolbo 发表于 2024-2-16 11:27
有防火墙需求商业的就有钱玩paloalto没钱玩fortigate就行了，别的别考虑了

untangle也可以体验体验

untangle我用过 以前在论坛里也发过贴。综合性能还是很棒的。只不过它家庭版需要每年50刀的费用。底层是debian，可以自己随便折腾

summerq

leonqin 发表于 2024-2-16 11:34
so，专业防火墙厂商里，Sophos竟然是最厚道的咯。。

说真的 除非你有刚需，否则不如买硬路由 做端口转发就完事了。你经历的这些，其实我在4年前都试过了。那时候困在家里也不能出去，天天研究这些。后来我换了硬路由，生活变得很简单，业余时间也都花在健身旅游上面了

summerq

pdvc 发表于 2024-2-16 14:21
个人用户折腾防火墙基本都是伪需求，最多上个ROS都够了😂

有没有一种可能 折腾不是有刚需 而是一种爱好。譬如说老头子爱钓鱼，并不意味着老头只能钓鱼吃，老头只是喜欢吊的感觉啊 哈哈

summerq

iroi_1984 发表于 2025-2-21 20:06
4核心CPU正常说跑2000是绰绰有余的

那我就直接点说 它内核还是linux 4.x……一开ips ids就卡到死