Sammanfattning
Här sammanfattas mina personliga åsikter och erfarenheter kring att skapa sin egen brandvägg med PC-maskinvara och programvara som Pfsense, Ipfire och liknande. Vad som är rätt för just dig kan självklart skilja sig rätt rejält till följd av dina behov och personliga preferenser.
Resultatet av att kombinera Pfsense med BRIX IoT utrustad med en Intel Core i3-7100U (15 W) är från ett rent tekniskt perspektiv lysande. Även med funktioner som Snort och VPN aktiverade klarar man att fylla 1 Gbit/s när det handlar om normal bulktrafik, det vill säga att varje paket har maximal storlek.
Skulle man ha mer extrema behov klarar samma maskinvara att fylla 1 Gbit/s även i värsta tänkbara scenario, 64 byte stora paket, om ett operativsystem baserat på en modern Linux-kärna används.
Alternativa brandväggar
För ett par år sedan var dessa hemmaroutrar i princip helt låsta, men flera modeller som finns idag tillåter användaren att lägga in egen mjukvara. Att lägga in egna program är inte speciellt komplicerat då de flesta hemmarouters kör någon form av Linux. Beroende på modell och tillverkare kan det krävas lite arbete i text-läge via det så kallade "skalet" (eng. shell) i Linux.
En fördel med att använda x86-baserad maskinvara är att det medför en liten mindre tröskel för att sätta upp en utvecklingsmiljö. Men dels har flera hemmarouters redan möjlighet till installation av färdigbyggda paket via webbgränssnittet, och dels är det inte speciellt mycket svårare att bygga egen programvara för ARM eller MIPS (som är vad man hittar i hemmarouters) jämfört med x86.
För att ta ett konkret exempel. Ubiquiti EdgeRouter X går att hitta från cirka 600 kronor. Den kör ett Debian-baserat system och under huven återfinns en MIPS-baserad tvåkärnig CPU med SMT, för totalt fyra CPU-trådar, på 880 MHz.
Sett till mängden RAM och rå CPU-kraft är självklart denna enhet inte ens i närheten av Atom-baserade PC-system. Men om målet enbart är en brandvägg får du fem Ethernet-portar och en maximal kapacitet på 260 000 NAT:ade paket per sekund då systemkretsen har hårdvaruacceleration för just detta.
Breddad horisont
Gigabyte BRIX IoT är i sig ändå en väldigt trevlig produkt. Det är ett väldigt gediget bygge som tack vare den eminenta passiva kylningen passar perfekt som kompakt server eller varför inte HTPC då VESA-fäste ingår. Systemet är helt ljudlöst under drift. Kompakta datorer likt Gigabyte BRIX och motsvarande produkter från andra tillverkare fungerar lysande som brandväggar. De drar alla lite ström och tar lite plats.
Om systemet också används för lite andra saker, till exempel med hjälp av virtualisering, går det väsentligt lättare att motivera prislappen då CPU-kraft, RAM-kapacitet samt rejält med utrymme i form av SSD ger möjligheter som dedikerade hemmaroutrar inte mäktar med.
Sist, men absolut inte minst, att bygga något själv ger väldigt ofta en bättre förståelse för den underliggande tekniken. För datorentusiasten kan det mer vara målet snarare än själva slutprodukten!
Jag kan därför med varm hand rekommendera alla intresserade att testa att bygga sin egen brandvägg, i princip vilken PC som helst från de senaste 15 åren bör räcka till så länge som det finns minst två Ethernet-anslutningar.
