Ciao a tutti,
è da un sacco di tempo che non scrivo nulla, principalmente perché la vita universitaria si è rivelata più monotona del previsto. Studia questo, studia quello, fai l'esame e nel frattempo non costruisci nulla degno di nota, limitandoti a formattare pc con windows 10 e a maledire Microsoft per le sue malefatte in forma di licenze e aggiornamenti. Siccome mi sento in colpa mi sono sentito di rimediare, giusto per dare soddisfazione ai server di spam russi che provavano continuamente ad invaccarmi i commenti (ora disattivati).
Pensandoci e ripensandoci, mi sono chiesto su cosa potrei scrivere e mi è venuto in mente che in questo tempo ho provato alcuni firewall opensource. Eccovi quindi una breve descrizione dei sistemi con tanto di pro e contro.

IPCOP
Questo è il primo firewall che io abbia mai usato. E' abbastanza vecchio e non viene più aggiornato da un po' di tempo (dal 2015 per l'esattezza), ma fa bene il suo mestiere. La sua interfaccia è semplice da gestire ed incorpora molti servizi: dhcp server, dns server, vpn e altri servizi minori importanti per un firewall. Nonostante tutto funziona bene anche in pc datati ed esiste solamente in versione 32bit.

IPFIRE
E' molto simile ad ipcop, sia nella struttura, sia nell'interfaccia grafica, sia nei servizi offerti. Nonostante ciò dispone di un sistema di gestione dei pacchetti per poter installare i moduli aggiuntivi che ritenete utili (ad esempio un server ntp locale) e può essere installato anche su piattaforma arm, quindi può essere installato anche su raspberry pi se si hanno poche pretese. Personalmente ho provato questa configurazione e ho riscontrato lentezza nella gestione dell'interfaccia grafica e nella fase di configurazione, mentre nel fornire i servizi (se non c'è eccessivo carico) se la cava abbastanza bene. Non è molto efficiente nella gestione della cifratura in quanto richiede un po' di potenza di calcolo.
A differenza di ipcop viene tuttora mantenuto e vengono rilasciate nuove release; purtroppo non vengono più supportate le nuove versioni di raspberry pi in quanto si deve ricorrere a schede di rete usb che, per loro natura, non sono molto veloci.

NethServer (o NethSecurity)
Si tratta di una distribuzione linux basata su CentOs di generazione nuova rispetto ai due precedenti, che non si ferma al semplice firewall. Infatti è modulare ed è possibile installare quello di cui si ha bisogno: Server di posta, server di dominio, server di chat... Ha un'interfaccia grafica esteticamente più bella, ma a mio avviso un po' più complessa. Nella gestione delle connessioni vpn, ad esempio, la creazione degli utenti che dovranno collegarsi è separata dalla pagina del server openvpn. Questa cosa è dovuta alla modularità ed alle dipendenze che esistono tra i vari moduli. Esiste solo in versione x64 ed alcune funzionalità sono disponibili solo nella versione enterprise (come ad esempio il QoS).

pfSense
Questa è l'ultima distribuzione che tratterò in questo articolo. E' più complessa ed articolata di NethServer, ma in compenso permette una configurazione molto più dettagliata. Anche questa è modulare e l'installazione dei moduli è semplice. L'interfaccia grafica è un po' più spartana di quella di NethSecurity ma comunque utilizzabile. Non la consiglio a chi si approccia per la prima volta a queste distribuzioni perché anche solo per aprire una porta bisogna capire come fare. Degli utenti un po' esperti potranno sicuramente apprezzarne l'elevata versatilita'.

Considerazioni finali
Per provare tutte queste distribuzioni mi sono affidato spesso a vecchi portatili (come quello che e' installato ora, grazie Iaia <3)  ma con l'avvento della fibra cio' non sara' piu' possibile (o quantomeno adeguato), ne' sara' possibile utilizzare un Raspberry Pi. Questo perche' praticamente sempre per trasformare un portatile in un firewall c'e' bisogno di collegare una scheda di rete usb. L'USB 2.0 ha una massima banda passante di 25 MB/s, quando la piu' scarsa delle fibre ormai arriva almeno a 50 MB/s. Cio' trasformerebbe il firewall in un collo di bottiglia, che non e' proprio il massimo. Pertanto le soluzioni sono due: o ci si affida ad un pc vecchio ma fisso (con doppia scheda di rete Gigabit) oppure si comprano dei minipc detti "barebone" che, come dice il nome, non sono altro che scheda madre, processore e cabinet ridotto (ram a discrezione e fornitura del compratore). Anche in questo caso controllare che il barebone abbia due schede di rete Gigabit oppure una o piu' porte usb3 alle quali collegare una scheda di rete Gigabit sempre usb3.