Manapság, az IP alapú Internet, és intranetek korában az egyes hálózatokat összekötő router-ek kulcsfontosságú szerephez jutnak már a hálózat tervezésekor. Ezek az eszközök arról híresek, hogy egy korrekt beállítás után akár évekig hozzájuk se kell nyúlni, feltéve ha elkerüli őket a hardware-es hiba.

A router – mint a neve is mutatja – az egyes hálózatok, illetve csatlakozási felületek közötti kapcsolatot képes megteremteni, a soros vonaltól az G703-ig szinte minden felületen, illetve minden protokollal. Ezen készülékek a TCP-n kívül X.25 illetve IPX/SPX protokollokat is támogatnak, konfigurációtól, illetve upgrade-től függően. Sok helyen támasztanak igényt VPN-ek (virtuális alhálózat egy hálózaton belül) kialakítására, illetve az adott vonali kapcsolat titkosítására. Ez utóbbira a legelterjedtebb az IP-SEC, amelyet szinte minden router támogat, persze használatához az alapfelszereltségnél komolyabb processzor igényeltetik. Sok helyen az Internet kapcsolat alapvető biztonsági elemeit (port-ok engedélyezése/tiltása, címek maszkolása) is router-re bízzák, és csak a védelem második vonalába kerülnek bele a tűzfalak. A router-ek operációs rendszere elsősorban hálózati és üzembiztonsági szempontok szerint készül, a felhasználói felület parancssori – bár aki sűrűn használja nagyon megfelelőnek tartja – és filozófiája jelentősen eltér mind a Unix, mind a Windows világban megszokottól. Persze például a Cisco router-ek IOS nevű operációs rendszere ezen ‘hiányosság’ ellenére is naponta többmillió helyen bizonyítja üzemképességét az egész hálózati világegyetemben, a pécéktől szokatlan megbízhatósággal, és nagyon kevés biztonsági hibájával…

Viszont ezek az eszközök igen drágák, és konfigurációjuk is komoly szakértelmet igényel. Szerencsére – mint a számítástechnikában mindenre – erre is van alternatíva, még ha a szakértők egy része nem is fogadja el a Linux alapú router-eket egyenlő félnek például egy Cisco-val való küzdelemben. Pedig, köszönhetően a sok lelkes fejlesztőnek ezek a software-es router-ek igen komoly fejlődésen esnek át hétről hétre, és sokak szerint már ma is méltó ellenfelei – persze ha az üzemeltetésükről megfelelően gondoskodnak, illetve hosszabb távon is megbízhatóan működő hardware-re installálják – a ‘valódi’ eszközöknek.

Az alternatívák között megtalálhatók az 1-2 floppy-s router-ek (Freesco, LinuxRouter Project), a termináls szerverek (LTSP), a hálózati használatra kihegyezett OS-ek (NetLinOS), illetve a kommersziális programok és disztribúciók közül is egyre többen jelentkeznek ilyen megoldásokkal (Astaro, SuSE).

A floppy-s megoldások közül említésre méltó a Freesco project, amely egy alap Cisco router-t valósít meg egy minimális konfigurációjú (i386, 6 MB RAM, 1.44 MB Floppy drive) pécén, támogatva az Arcnet, Ethernet, illetve a modem kártyákat is. Ezeken kívül képes Bridge mode-ra, tűzfal és NAT (Network Address Translation) funkciókra, DNS, DHCP, HTTP, Telnet, és nyomtató szerver és modemes behívó szerver funkciókat is ellát néhány megabyte-nyi merevlemez integrálása esetén…

A Freesco-hoz hasonló a LinuxRouter Project is, viszont itt semmi kötődés nincs a Cisco IOS-hez, a cél egy biztonságos Linux kernel-re épülő minimális erőforrás- és hely igényű disztribúció elkészítése. Támogatja az IPX, Token Ring, Tunneling, Crypto protokollokat, képes VPN-t létrehozni illetve integrálva van a Traffic Shaper is a kernelbe (korlátozza a használható sávszélességet). Az LRP-t a VA Linux szponzorálja, úgyhogy hamarosan várható lesz pénzes verzió is belőle.

A piaci verziók közül kettőt próbáltunk ki, a SuSE cég Firewall On CD, illetve az Astaro 2.0-t. Az előbbiről csak annyit, hogy funkcióját tekintve egy router/tűzfal párosítás, aminek az érdekessége, hogy nem kell hozzá harddisk, a konfigurációját egy floppy-n tárolja, és a disztribúcióban található Live CD-ről boot-ol. A konfigurációs floppy elkészítéséhez viszont szükséges egy komplett SuSE installáció, mert az adminisztrátori felület csak így futtatható.

A másik csomag az Astaro Internet Security cég terméke, amely az eddig kipróbált megoldások közül felhasználói / beállító felületét tekintve magasan vezet. Az installációhoz itt szükség van harddisk-re, egy 50 megabyte-os distribúció letöltése, majd CD-re írása után erről a lemezről indítva a gépet elindul az automatikus telepítés, amely néhány jelszón, és egy IP címen kívül nem nagyon terheli a rendszergazdát kérdésekkel. A distribúció telepítésével együtt elkészülnek a partíciók a jail-be zárt programok, a Squid és SMTP proxy-k számára, illetve a naplófileok számára is, külö-külön. Ezt, a kb. 10 perces procedúrát követően már kész is van a tűzfal, az összes további konfiguráció egy WEB-es felületen történik. Ez a WEB-es felület (secure http) egy nagyon átgondolt, és igen szépen dizájnolt arcot kapott, ahol – szinte – minden beálítható a Packet Filter-től kezdve a Proxy-kon keresztül a mentésekig. Azért csak szinte, mert egyik hiányosságként meg kell említeni, hogy a Squid majdnem száz beállító paraméteréből mindössze nyolc kapott helyet a felületen, és sajnos az olyan korlátozásokat, mint például a belső hálózatból engedélyezett IP címek listája csak kézzel (vi szövegszerkesztővel a konzolon) a squid.conf-ba írva valósítható meg. Az SMTP, a DNS és a SOCK proxy-kkal kapcsolatban elégségesnek bizonyult a beállítási lehetőséget tárháza… Érdekessége az Astaro-nak, hogy a Backup (mentés) rendszer nagyon egyszerű, a szó legjobb értelmében. Van lehetőség napi/het/havi backup-ok e-mail-en keresztüli továbbítására is. Volt szerencsénk kipróbálni azt az esetet, amikor is a már felinstallált, backup-olt, működő rendszert egy kis baj érte, és újra kellett telepíteni nulláról. Az egész procedúra, a Restore-ral együtt kevesebb mint negyed órát vett igénybe…

A programba automatikus és/vagy kézzel indítható upgrade funkciót is építettek, amely képes az Astaro site-járól adott időközönként a biztonsági frissítéseket telepíteni a gépre. Ezek lehetnek az adott modulok, service-ok frissítései, vagy a regisztrált verzióban az SMTP proxy vírus ellenőrzőjéhez a vírus adatbázis újabb verziói.

Az Astaro természetesen támogatja a VPN-t, illetve ezen belül az IP-SEC-et is, méghozzá – köszönhetően a WEB-es interface tervezőinek – olyan egyszerűen beállítható módon, hogy aki még sose konfigurált tűzfalat, annak is csak néhány percébe kerül egy működő beállítás létrehozása. Ez a megállapítás vonatkozik az összes menüre, a Packet Filter-től az NAT-ok (SNAT, DNAT) beállításokig. Nagyon jó online help is segíti a felhasználót, rövid, és érthető modon magyarázza el az adott menüpontra vonatkozó beállítási lehetőségeket.

Mindent összevetve, szerencsére igen széles az alternatív router-ek tárháza, mindenki kiválaszthatja a pénztárcájának, tudásának, elvárásainak megfelelő verziót, és nyugton bizhat abban, hogy a fejlesztés nem áll meg. Ezek a software-ek mind-mind a sokak által istenített, és szerencsére egyre kevesebb ember által elutasított Linux és Free/OpenBSD irányvonalból nőnek ki, biztosítva minket arról, hogy a tudás nem mindig pénz függvénye, és egy szabad forráskódú rendszer igenis fel tudja venni a dollármilliókból fejlesztett és lobby érdekekből erőszakosan terjesztett más rendszerekkel a versenyt…

Freesco – http://www.freesco.com/
LinuxRouter Project – http://www.linuxrouter.org
NetLinOS – http://www.linux-router.org
Linux Terminal Server Project – http://www.ltsp.org
Astarto – http://www.astaro.com
SuSE – http://www.suselinux.hu

---