各機能の検証が済んだので自宅LANに導入してみました。
導入前
導入後
現在のブログのドメインはBUFFALOのBBRに紐付いておりこれを撤去することができない。(いい加減、固定IP&ドメイン取得すべきか、、結構安いし)なのでSophosUTMから見るとGWが2つに見えるので戻りルートはこんな感じでPBRを書きました。Default GWは右側になってるので曲げたいルートだけ追記。
あれ、SophosってPBR書けるんだっけ?と設計が終わってから気づいていや~、実装できて助かりましたww
■はまりどころ
1.WAFでWordpressログインを誤検知するので除外リストに登録する。
2.LANから内部WEBサーバに対するWEBフィルタ除外
WEBフィルタリングのポリシーで許可URLに書いたり、
ローカルサイトで定義(レピュテーションは信頼で)したんだけど、
どうしても表示できなくて(タイムアウトになる)、
仕方ないのでここで除外しました。
3.セグメント分割したらセグメント間のWindows7通信がめっちゃ遅くなった
前回の記事参照。NICの詳細設定でオフロード系全部無効で回避
4.PBRの順番
LAN内PCからWEB1に対してアクセスするんだけど、優先準備を高くして
ホストルートでPBR登録。
5.Sophos home editionは50IP認識したらライセンス切れになる
DHCPは念のため静的化し、MACとIPのヒモ付を各端末で定義する
6.クライアントファイアウォールのポリシー変更
セグメント分割したことによる修正。(地味にめんどくさい)
7.PCにインストールしているESXi VMware vSphere Clientで”
DMZセグにいるゲストOSのコンソール”表示がくそ遅い
直してないけどたぶんこれ。
Large Receive Offload(LRO)をESXi 4.x-5.xで無効にする方法
VMWare 環境における TCP セグメンテーション オフロード (TSO) と Large Receive Offload (LRO) について (2092912)
Sophosをいれたことによるオーバーヘッドはほとんどありません。
ナイスです。SophosUTMがパフォーマンスもいいし、安定してるし、操作も分かりやすいのでそろそろドメイン移行すべきかと最近思い始めてます。あとUTM全機能を有効にしてますが、メモリ、結構食います。
3.2GB割当で常時65%。
2 thoughts on “09 SophosUTM 自宅LAN導入編”