Sophos UTM9 Selfmade Appliance

Nach diversen Ausflügen zu „anderen“ Firewall-Distributionen habe ich mich entschlossen, doch wieder bei der bekannten Sophos UTM zu „landen“. Die Software bekommt man ja als Home-User immer noch kostenlos (mit praktisch vollem Funktionsumfang), lediglich eine neue Hardware musste her.

Aus den Erfahrungen der letzten Installationen wollte ich auf keinen Fall an der Performance sparen, damit die Appliance zum einen zukunftssicher und zum anderen für nahezu jede Lebenslage genügend „Schub“ hat.

Die Auswahl ist (trotz Einschränkung auf die zwei – nicht erweiterbaren – Netzwerkinterfaces) auf einen Shuttle Barebone DS61 gefallen. Bestückt mit einer 64GB SSD und einem Celeron G1610 Prozessor bekommt man das gute Stück für ca. 270EUR (2x2GB SO-DIMM hatte ich im Bastelvorrat).

Möchte man mehr als ein internes LAN-Interface betreiben (etwa für eine DMZ), so besteht die Möglichkeit, einen VLAN-fähigen Switch an das interne Interface zu stecken. Die Konfiguration ist etwas aufwendiger als wenn man „sofort“ drei NICs verwendet – man muss über das externe Interface auf die Admin-GUI zugreifen, sonst kann man das interne nicht für VLAN’s konfigurieren.

Die Installation der Hardware lief problemlos – einzig ein externes CD Laufwerk ist zu „leihen“, ggf. funktioniert ein bootbarer USB Stick für die Installation.

Hier noch ein paar Hintergrundinfos:

Netzwerkkarten-Features (VLAN wird lt. Treiber unterstützt):01-NIC

CPU-Last (diese wird von der UTM auf 1,6GHz runtergetaktet) liegt bei durchschnittlich unter 1%, kurze Peaks sind bei maximal 20% Last.

„lspci -v“ für die Netzwerkkarte:

05:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168B PCI Express Gigabit Ethernet controller (rev 06)
        Subsystem: Holco Enterprise Co, Ltd/Shuttle Computer Device 8001
        Flags: bus master, fast devsel, latency 0, IRQ 46
        I/O ports at d000 [size=256]
        Memory at f0004000 (64-bit, prefetchable) [size=4K]
        Memory at f0000000 (64-bit, prefetchable) [size=16K]
        Capabilities: [40] Power Management version 3
        Capabilities: [50] MSI: Enable+ Count=1/1 Maskable- 64bit+
        Capabilities: [70] Express Endpoint, MSI 01
        Capabilities: [b0] MSI-X: Enable- Count=4 Masked-
        Capabilities: [d0] Vital Product Data
        Capabilities: [100] Advanced Error Reporting
        Capabilities: [140] Virtual Channel
        Capabilities: [160] Device Serial Number 57-00-00-00-68-4c-e0-00
        Kernel driver in use: r8169
        Kernel modules: r8169

/proc/cpuinfo:

processor       : 1
vendor_id       : GenuineIntel
cpu family      : 6
model           : 58
model name      : Intel(R) Celeron(R) CPU G1610 @ 2.60GHz
stepping        : 9
microcode       : 0x15
cpu MHz         : 1600.000
cache size      : 2048 KB
physical id     : 0
siblings        : 2
core id         : 1
cpu cores       : 2
apicid          : 2
initial apicid  : 2
fpu             : yes
fpu_exception   : yes
cpuid level     : 13
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 popcnt tsc_deadline_timer xsave lahf_lm arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms
bogomips        : 5188.22
clflush size    : 64
cache_alignment : 64
address sizes   : 36 bits physical, 48 bits virtual
power management:

Fazit: Tolle Hardware, die die Möglichkeit zum Bau einer günstigen und sehr sehr kleinen Firewall Appliance bietet! Besonders der grosse Leistungsumfang der Sophos Home-Version beeindruckt nachhaltig (Endpoint Security, Webfilter, Mailfilter, Virenscanner, caching Proxy, …). Einziger Wehrmutstropfen ist die Beschränkung auf zwei Netzwerkinterfaces, vielleicht legt da Shuttle nochmal etwas großzügigeres nach!

Alternativ käme noch eine Shuttle DS47 in Frage, welche mit einem sparsameren und weniger leistungsfähigen Celeron847 ausgeliefert wird.

Kommentar schreiben

2 Kommentare.

  1. Hallo

    guter Bericht
    Ich baue mit gerade den DS61 zusammen
    bzw. ein ebay Händler verkauft die fertig,
    wie man sie haben will
    ich lasse den Celeron G1620T einbauen
    Die T Variante kostet 5,- mehr aber hat weniger TDW
    (35w)

    Gruß Ingo

    und mit den USB Lan Karten ist gut zu erweitern
    für DSL/VDSL reicht es allemal
    oder um wlan anzubinden
    ich hatte schon ein usb/lan mit einem atom rechner laufen, der weniger Leitung hatte

  2. Sophos UTM9 – USB NIC | missioncritical - pingback on 12. Oktober 2013 um 18:10

Kommentar schreiben


Hinweis - Du kannst dies benutzenHTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Trackbacks und Pingbacks: