IPFire作为家庭路由器的研究进展

IPFire是一个Linux发行版,它专注于带有Web界面的路由器和防火墙解决方案的起点。它可以做到这么多,但它可能不是归属网络的需求。

在本次审查中,我不会进入性能测试,因为这将根据您的硬件而有所不同。您可以使用至少两个以太网端口的任何x86_64(或armv5tel)系统。如果要使用外部无线接入点而不是配置要与IPFire的框作为访问点,则可能需要第三个以太网端口。

安装

您需要了解使用IPFire的本地网络管理和服务的基础知识。除此之外,您还需要熟悉IPFire标准网络区域的不寻常名称:红色、绿色、蓝色和橙色w,,WLAN, 和DMZ分别。

These colored network zone names can be a bit confusing and they’ve standard rules applied to them, and can’t be used interchangeably. During setup, you’re presented with the following screen with no context or explanation:

IPFIRE安装程序:彩色网络区域

这里要求您选择要使用多少个区域,以及稍后要分配给每个区域的网络接口以及应该如何配置它们。在不知道哪个区域是什么颜色的情况下,您可能会有点迷茫,最终导致设置无法正常工作。

初始安装和设置过程的其余部分如果您之前已配置了网络,则不会包含任何其他伟大的神秘处。完成初始设置后,您应该具有基本工作网络和工作Web管理界面。

The colored zone names also leads to some confusing user interfaces in the web administration interface. The below is a screenshot from the main status page. Despite “Internet” being showed with a red background, a color that’s normally used to signal that there’s something wrong, the red network/the internet interface is working just fine.

IPFire’s main status overview

To make matters worse, the web interface sometimes transmits the page up to and including the red “Internet” label, while the rest of the page takes a few seconds longer to load in the web browser. The page is partially transmitted by the web server on the router, which reinforces the oddity of choosing a red/error background color in this part of the user interface.

我发现很有趣的一点是,您不能从web界面重新分配或更改已配置的网络接口或区域。您可以使用setup命令,但这是web界面rally应该能够处理的任务。

无线的

你可以安装霍斯塔普德通过Web界面包装,它添加了一个名为WLAnap的新菜单条目,以在IPFire框上配置无线接入点。WLANAP支持配置2,4 GHz或5,2 GHz网络 - 但不同时。您必须在较旧的频率范围内选择设备兼容性,或具有更高速度的更新范围。

不允许任何设备在WLAN上连接,因为IPFire默认使用名为“Blue Access”页面下的MAC allow列表。您可以通过添加带有空MAC地址的允许列表条目来禁用此功能。没有暗示这应该起作用,事实上恰恰相反,但这就是禁用它的方式。

IPFire将MAC添加到允许列表

或者,您可以将专用无线接入点连接到WLAN区域/接口。单独的客户网络接入点可以连接到DMZ区域/接口。

这两种方法可能会导致您的行为,我将在“获取本地设备交谈”部分中的更多细节中。

如果您只希望无线网络在家庭使用情况下工作,那么在被动接入点模式(无DHCP广播)下配置无线接入点,并将其连接到您的LAN区域。

Getting local devices talking to each other

What is a router but a bridge between your home network and the public network? Well, it can be an appliance that can wall off some portions of your network from each other. In the default configuration, devices on the LAN and WLAN can’t talk to each other. Devices in the DMZ can’t talk to any zone other than the internet.

如果您不需要将数据从移动设备或笔记本电脑传输到有线LAN上的任何设备,则此默认区域配置效果很好。如果您想将视频从笔记本电脑流到您的以太网绑定色调或者让设备和服务自动发现工作,你就麻烦了。IPFire不希望您在两个网络之间传递多播广播包。

首先,您不能使用Web界面中使用的任何方法在LAN和WLAN之间具有多播数据包。您可以在LAN和WLAN区域之间来回通过TCP / UDP流量。

但是,两个网络都需要在彼此的网络范围内,从其分配的子网范围自动计算,以用于DHCP广播。您可以以其分配不同的子网范围和网络掩码的方式配置网络,这些网关将允许多播广播包在两个网络之间旅行。

Such a setup can’t, unfortunately, be configured in the firewall to allow traffic to pass between them as to the firewall they’ll appear with the same network profile (netmask + subnet). You’ll then also run in to trouble with WLAN clients as they can’t communicate with the default route, which is located on the LAN network.

上述问题是区域如何在IPFIRE中构建的副作用。你显然不是在两个网络之间传递流量。

您的下一个最佳选择是将绿色和蓝色-我的意思是局域网和无线局域网-网络组合成一个网络。您可以通过将外部无线接入点的网络连接从指定的蓝色网络接口移动到绿色,或移动到绿色网络上的交换机后面来完成此操作。但是,如果您已经将ipfirebox配置为您的访问点,那么您需要更具创造性。

IPFire论坛和wiki包含一个脚本,您可以使用它来组合这两个网络。蓝色网络将只是绿色网络的另一部分。但是,web界面不会反映此更改,您在web界面中所做的更改可能会在没有警告的情况下中断WLAN区域。它不是一种受支持的配置模式,而且会将您从web管理界面中带出来进行配置。

为了获得TCP,UDP和组播,您可以更好地为LAN区域添加无线接入点。

Getting external things talking to your services

端口转发和其他传统网络配置是微风。您可以在配置界面中运行到一些奇怪的单词选择,但如果您在消费级路由器中配置了这一点,您将很好地进入。

Automatically configuring port allocations for your games, apps, and services — best known as通用即插即用 — isn’t supported by IPFire out of the box. You can add support by installing the小型NPD包裹。默认情况下,此服务的默认配置不安全,不会根据您的网络配置文件自动进行调整,并且自中引入此服务以来从未工作过.

您可以在终端中修复配置文件,因为它没有用于它的Web管理界面,如果您熟悉Miniupnpd配置(谁是?),则可以很容易地运行UPnP。我已将修补程序提交到IPFire,以至少在安装后默认使服务工作。但是,UPnP应该只是您在Web管理中打开网络区域的选项 - 它不应该需要的任何配置而不是该配置。

什物

到目前为止,它开始对我来说清楚,IPFire不是为家庭用户意味着。至少不是今天的现代家园,需要大量的设备需要互相交谈。这是一系列赔率,并且在我向最终绘制更完整的结论之前结束:

好的:

  • 服务质量(QoS)开箱即用。只需指定您的确切带宽约束,它确实很好。这是非常不寻常的,因为路由器通常需要一个月的一个配置,并反复殴打以表现。
  • 图形和统计数据很棒。我希望带宽使用的每个主机统计数据,但总的来说,您可以在Web界面中整齐地呈现您所需的所有信息。
  • 易于配置透明的HTTP web缓存。

坏人:

  • web界面可能会很混乱。E、 你可以提交一个表格,将一个条目添加到某个列表中,一旦提交,表格会稍微改变,以允许你更新刚刚添加的条目。没有确认它是否已添加,并且您键入的值仍在您添加它们的位置。在许多地方,没有人确认是否添加了任何内容,我甚至在那里坐了一段时间,等待它提交并清除表格,结果发现已经添加了一段时间。若要添加其他条目,则必须重新加载页面以重置表单。
  • web管理界面对移动设备不友好。它不仅没有针对移动设备进行优化,而且我认为它对移动设备非常不友好。IPFire的基于表格的布局(sic)很难在移动设备上以合理的尺寸显示,而悬停驱动的菜单几乎不可能用触摸屏来浏览。
  • 不幸的是,您必须阅读web界面的源代码才能进行任何故障排除。许多错误信息含糊不清到了毫无意义的地步。它们通常不会解释问题,相同的错误消息会在不同的情况下重复使用。
  • IPFire在其2.x发行版分支上看到定期的安全更新、发行版和开发活动。在,发布了ipfire3.0alpha版本。这个版本将是IPFire的完全重写。然而,从最初发布到现在已经8年了。我相信我们可以断定它实际上是蒸气。

结论

IPFire can be a good starting point for a router for a home or small office network. It does require prior knowledge of networking services, but I assume you already have some if you’ve read this far.

如果你想要一个基于Linux的、带有内置web管理界面的开源防火墙,那么IPFire在一个疲软的市场中是一个强有力的竞争者。

我想我可以得出结论ipfire是不适合家庭网络。它需要太多摆动,以便在网络基础上提升和运行,如LAN和WLAN之间的组播工作,并配置UPnP。

IPFire可以填补这个角色,但它不是purpose built for it. You’re required to know a lot about the software that runs the services you want to use. In the end, you could have just as well configured any general-purpose Linux distribution to provide this services without IPFire getting in the way.

IPFire should be treated as a generic Linux server in terms of security. The development team behind IPFire have a good track record with security updates to the services they bundle. However, your network security needs may be better served by being backed by a larger distribution with a dedicated security team such as Fedora, Debian, or Ubuntu.

你希望你的家庭网络只是工作,而这并不是IPFire的开箱即用。它甚至可能不是你在几个小时的配置后所拥有的。