09 SophosUTM 自宅LAN導入編 2


各機能の検証が済んだので自宅LANに導入してみました。

導入前

1

導入後

2

現在のブログのドメインはBUFFALOのBBRに紐付いており
これを撤去することができない。(いい加減、固定IP&ドメイン取得すべきか、、結構安いし)

なのでSophosUTMから見るとGWが2つに見えるので戻りルートは
こんな感じでPBRを書きました。Default GWは右側になってるので曲げたいルートだけ追記。

GW-20150907-052149

あれ、SophosってPBR書けるんだっけ?と設計が終わってから気づいて
いや~、実装できて助かりましたww

■はまりどころ
1.WAFでWordpressログインを誤検知するので除外リストに登録する。

2.LANから内部WEBサーバに対するWEBフィルタ除外
 WEBフィルタリングのポリシーで許可URLに書いたり、
 ローカルサイトで定義(レピュテーションは信頼で)したんだけど、
 どうしても表示できなくて(タイムアウトになる)、
 仕方ないのでここで除外しました。
 
33

 

3.セグメント分割したらセグメント間のWindows7通信がめっちゃ遅くなった
 前回の記事参照。NICの詳細設定でオフロード系全部無効で回避

4.PBRの順番
 LAN内PCからWEB1に対してアクセスするんだけど、優先準備を高くして
 ホストルートでPBR登録。

5.Sophos home editionは50IP認識したらライセンス切れになる
 DHCPは念のため静的化し、MACとIPのヒモ付を各端末で定義する

6.クライアントファイアウォールのポリシー変更
 セグメント分割したことによる修正。(地味にめんどくさい)

7.PCにインストールしているESXi VMware vSphere Clientで”
 DMZセグにいるゲストOSのコンソール”表示がくそ遅い

 直してないけどたぶんこれ。
 Large Receive Offload(LRO)をESXi 4.x-5.xで無効にする方法
 VMWare 環境における TCP セグメンテーション オフロード (TSO) と Large Receive Offload (LRO) について (2092912)

Sophosをいれたことによるオーバーヘッドはほとんどありません。
ナイスです。

SophosUTMがパフォーマンスもいいし、安定してるし、操作も分かりやすいので
そろそろドメイン移行すべきかと最近思い始めてます。

あとUTM全機能を有効にしてますが、メモリ、結構食います。
3.2GB割当で常時65%。


Yuya Sadasue にコメントする コメントをキャンセル

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

2 thoughts on “09 SophosUTM 自宅LAN導入編