Посоветуйте firewall

[Mike33]

Нам необходимо организовать доступ специализированных терминалов сбора данных с помощью WI-FI-сети к определенному программному приложению, работающему на одном компьютере.

Так как терминалы не поддерживают современные уровни шифрования WI-FI (WPA/WPA2 не поддерживается, а поддерживается только WEP), то необходимо защитить этот компьютер от WI-FI-сети с помощью firewall-а.
В компьютере для данной WI-FI-сети установлена отдельная сетевая карточка.

Меня интересует два варианта:

1) Простейший аппаратный firewall, который бы имел два Ethernet-порта (внешний и внутренний), который бы позволил отбрасывать все сетевые пакеты (входящие и исходящие) кроме например следующих:
- Входящий TCP например на порт 1024
- Входящий TCP например на порт 10100
- Исходящий ICMP Type 8 (ping request)
- Входящий ICMP Type 0 (ping reply)

WI-FI-сеть в этом случае будет организовываться любой сторонней обычной точкой доступа.

При этом нужно, чтобы устройство поддерживало проброс портов с компьютера на внешний Ethernet-порт (нужно чтобы терминалы сбора данных и IP-адрес программы, с которой работают терминалы, находились в одной IP-подсети), и при этом, соответственно, NAT.

Например в правилах IPFW FreeBSD это выглядело бы так:

add allow all from any to any via eth1
add allow tcp from 192.168.100.0/24 to me 1024,10100 in via eth2 setup keep-state
add allow icmp from any to 192.168.100.0/24 out via eth2 keep-state icmptypes 8
add deny all from any to any

Так же хотелось бы иметь возможность управлять firewall-ом через командную строку (для пакетной загрузки настроек, правил и т.п.).


2) Этот же firewall, но объединенный с точкой доступа WI-FI (соответственно внешний Ethernet-порт заменяется точкой доступа WI-FI).
При этом:
- нужна максимальная мощность радио-сигнала WI-FI, разрешенная на территории РФ;
- в качестве дополнительной защиты хотелось бы иметь возможность фильтрации доступа WI-FI-устройств по MAC-адресу;


Никаких дополнительных требований к подобному устройству нет, поэтому хотелось бы увидеть самые простейшие и недорогие варианты.

[gmx]

Хотя вы много писали, но ничего не написали про количество клиентов и максимальный трафик, но в самом первом приближении вам будет достаточно
http://mikrotik.ru/katalog/katalog/mars ... rboard-750


По второму варианту http://mikrotik.ru/katalog/katalog/mars ... -951g-2hnd

Помните, что реальное количество беспроводных клиентов ограничено пропускной способностью и здравым смыслом - 16-20 максимум.
Мощность передатчика регулируется.

[Mike33]

Хотя вы много писали, но ничего не написали про количество клиентов и максимальный трафик

Количество клиентов: постоянно - 2, иногда может доходить до десяти.
Трафик небольшой (многие клиенты вообще могут соединяться только на 802.11b).
Клиенты - специализированные терминалы сбора данных (http://ru.cipherlab.com/catalog.asp?CatID=7&SubcatID=7)

[podarok66]

Вам бы еще описать, насколько большую зону Вы собрались покрыть. Склад в 8000 кв. м. Вам одной точкой не прикрыть, какая бы мощная она не была.

[iSupport]

Кстати на такие полщади интересным решением будет Юнифай

[Mike33]

Вам бы еще описать, насколько большую зону Вы собрались покрыть. Склад в 8000 кв. м. Вам одной точкой не прикрыть, какая бы мощная она не была.

У нас будет достаточно одной точки доступа. Нужно обеспечить связью относительно небольшую зону.
Но конечно хотелось бы иметь оборудование, которое обладало бы мощностью сигнала максимально разрешенной в России.

[simpl3x]

насколько я помню, внутри помещений нет регламентации о мощности передатчиков. ограничения появляются только на улице.