M0n0Wall, многофункциональный роутер за 5 минут ;)

[ALEX(XX)]

2 года назад случилась у одного человека ошибочная покупка. Вместо D-link DIR-100 взяли D-Link DFL-210
Ну, взяли так взяли, что ж делать. Ну, поскольку девайс интересный, то в работу я его и запустил.
Всё бы ничего, да как-то странно он нагрузку держал. Собственно ничего сверхъестественного на его базе я не разворачивал, но сказывалась на работе девайса его страсть к нагреву, да и вообще, есть нюансы.
Сегодня вспомнился мне интересный проект, m0n0wall
Суть этого проекта состоит в том, что на базе FreeBSD (4,11 кажется, но собираются на 6.4 перевести) сделали многофункциональную ОС для роутера, заточенную именно под роутерные дела. Весит эта ОС около 20Мб. Можно её прикручивать к PC, виртуальным машинам и прошивать всяческие девайсы (дабы получить из них маленький, но очень гордый роутер).
Система хорошо продумана, есть много вкусного. Управляется всё это через web-гуй. Есть SNMP.

The m0n0wall system currently takes up less than 12 MB on the Compact Flash card (or CD-ROM), and contains
all the required FreeBSD components (kernel, user programs)
ipfilter
PHP (CGI version)
mini_httpd
MPD
ISC DHCP server
ez-ipupdate (for DynDNS updates)
Dnsmasq (for the caching DNS forwarder)
racoon (for IPsec IKE)
UCD-SNMP
choparp
BPALogin
On recent embedded platforms (like net4801 or WRAP), m0n0wall provides a WAN <-> LAN TCP throughput in excess of 50 Mbps (including NAT). Newer standard PCs can easily reach > 100 Mbps.
On an ALIX.2, m0n0wall boots to a fully working state in less than 25 seconds after power-up, including POST (with a properly configured BIOS)

Вот некоторые функции:

Stateful packet filter firewall
IPsec and PPTP VPNs
Inbound and Outbound Network Address Translation
Captive portal
Traffic shaper
Inbound and Outbound port filtering
Support for 802.1q compatible VLANs
Multiple IP addresses on LAN and WAN ports
IPS
Replacement for commercial router

Доступен мод для этой ОС, он очень актуален для работы с нашими ISP, ибо позволяет

DHCP+PPTP on WAN interface;
DHCP+PPPoE on WAN interface;
separated WAN Ethernet interface named 'WAN eth'.

Работает сие чудо шустрее нежели DFL-210 однозначно. Как-то веселее нагрузку держит. Что самое главное, позволяет развернуть роутер в считанные минуты. Допил настроек по желанию/потребностям.

Для фанатов русского языка есть форум
Для остальных тоже есть форум

Качаться здесь

И напоследок, позаимствованные с сайта разработчика картинки

[PavelA]

Интересный проект. Надо будет внимательнее почитать, а то когда в 01 ночи увидел сообщение, то понял, что не осилю.

[ALEX(XX)]

Интересный проект.

Есть ещё Mikrotik RouterOS, там на базе линя. Но оно нарушает GPL (ну то фиг с ним ) и денех стоит.

[Зайцев Олег]

Микротик хорош тем, что дружит с "дудой" (DuDe) ихнего же производства. Есть еще pfSense - http://pfsense.org/ - он вырос из m0n0wall, поддерживает баланировку каналами и отказоустойчивость в мульти-WAN среде (я разворачивал его примерно за 10-15 минут, но с корбиной и DHCP+PPTP там есть дурки, и нет мода ). у pfSense плюс в том, что она базируется на последней версии FreeBSD, а минус - редко выходят стабильные релизы.
DFL-* (210, 800 ...) же устойчивоcтью не страдают, в DFL-800 например при включенном балансировщике нагрузки и наиболее эффективной round-robin балансировке FTP обрабатывается некорректно (он начинает слушать порт не на том интерфейсе, саппорт говорит, что это нормально )

[ALEX(XX)]

DFL-* (210, 800 ...)

Когда заливал новые прошивки, читал что же сделано. Километровые доки с описанием исправленных ошибок.

Олег, а Вы m0n0wall использовали в работе?

Добавлено через 4 минуты

Вообще, у длинка неплохие задумки, но с прошивками у них вечные проблемы

[Зайцев Олег]

Олег, а Вы m0n0wall использовали в работе?

m0n0wall - нет (только тестил ее), pfSense на его основе - пробовал. Подкупает то, что он очень крайне просто ставится, графики разные рисует и довольно безглючный в работе. Плюс содержит разные чудеса типа DNS (тогда как у DLINK - просто редирект запросов DNS во внешний мир) ... но pfSense не прижился у меня ввиду кривости работы с корбиной и домолинком (мне он нужен был для балансировки нагрузки), равно как не прижилась FreeBSD - ее же руками настраивать надо, а это лениво (зато плюс в том, что на выбор любая реализация алгоритмов отказоустойчивости и балансировки, равно как любая тонкая настройка).
Мое имхо - m0n0wall/pfSense отлично пригодны для дома (в случае мульти-WAN) и небольшой конторы, его можно ставить на Atom с несколькими сетевыми карточками или использовать то, что к примеру pfSense умеет рассматривать тегированные VLAN как сетевые интерфейсы, что позволяет взять умный свитч + Atom с гигабитной сетевой карточкой и построить на нем что угодно.

Добавлено через 2 минуты

Вообще, у длинка неплохие задумки, но с прошивками у них вечные проблемы

В том-то и беда ... железо у них (особенно профессиональной серии) сделано грамотно, тот-же DFL-800 например - а вот прошивки косячные и в отличие от циски, где на каждый чих есть по три доки, доки от DLink нередко имеют вид "Большая красная кнопка. Нажмите большую красную кнопку, когда потребуется активировать действие, вызываемое большой красной кнопкой"

[ALEX(XX)]

Зайцев Олег, про Atom я тоже думал. Должно вообще интересно получиться. Попробую этот m0n0wall в работе под нагрузкой. Машин 100 через него пущу.

Добавлено через 1 минуту

циски, где на каждый чих есть по три доки,

Ну, цена разная.

Добавлено через 58 минут

Кстати, последняя версия m0n0wall на основе фряхи 6.4

Добавлено через 4 часа 45 минут

Надо будет завтра и pfsense опробовать. Допилов интересных много там.

[UFANych]

Особая прелесть m0n0 в том, что можно сделать роутер без HDD. Так и использую - cd + flash.
"Небольшая" организация, три десятка выходящих в инет. Проблем с m0n0 никаких.
Кстати, vlan оно тоже умеет.

[ALEX(XX)]

(я разворачивал его примерно за 10-15 минут, но с корбиной и DHCP+PPTP там есть дурки, и нет мода )

Готовится к выходу pfsense версия 2.0, уже сделали и без мода

Добавлено через 1 минуту

pfsense аццки рулит тем, что к нему ещё и пакеты идёт. Можно много чего навернуть

[Зайцев Олег]

Готовится к выходу pfsense версия 2.0, уже сделали и без мода

Она уже более года готовится ...

[ALEX(XX)]

Она уже более года готовится ...

Обещанного три года ждут
Ну, а вообще заценил и то, и другое. Пока что остановился на pfsense. У меня нет варианта DHCP+PPTP (слава богу).