Опубликован выпуск дистрибутива для создания маршрутизаторов и межсетевых экранов IPFire 2.29 Core 186. IPFire отличается простым процессом установки и организацией настройки через интуитивно понятный web-интерфейс, изобилующий наглядными графиками. Размер установочного iso-образа составляет 421 МБ (x86_64, AArch64)...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61368
Пфсесн бест. И ядро православное.
Опнсенс бестее.
>Опнсенс бестее.В чем Вы видите принципиальную разницу?
Одни под нетгейт, вторые под десисо.Это если о религиозной стороне. Если о прикладной, сказать конкретно не готов, юзал пфсенс, все устраивало. Опнсенс не щупал.
> Пфсесн бест.Был, теперь маркетологи там рулят. Попробуй ка скачай ИСО, без предоставления мыла и выкачки нетгейтовского сетевого инсталятора. Прямые линки на загрузку спрятали, но пока еще можно с них качать
Тут смотря, что нужно. Если ты "неуловимый джо" и никто тебя специально не DDoS'ит. И правила меняются не каждую минуту, то конечно pf выигрывает в силу простого синтаксиса в котором сложно ошибиться. Если у тебя есть потребность налету(меньше чем за секунду) менять правила фаервола, то тут конечно пингвины с их netfilter побеждают. Впрочем, смотрю я на проприетарные системы установленные системы у провайдеров и поражаюсь. Ладно, вы там сцуко на внешнем периметре отражаете ниебические атаки. Но зачем вы используете кривые правила, которые говорят, что если пользовательский роутер для вас "закрыт" или его трафик аномально спрятан. Например VPN, то нужно регулярно рвать соединения и всячески давить этот трафик. Так что лучше бы они сидели на фре, и меняли правила раз в час. В итоге проработать сутки без разрыва уже проблема а иногда и по несколько раз в час.
Не пойму что-то зачем это. Для работы есть железные МСЭ, для подкроватных войнов есть nftables. Для кого эти дистрибутивы?
Для кого конкретно эти дистрибы сам не понимаю. Чтобы запустить в виртуалке православный пф?! Но это же оверхэд.
МСЭ для работы бывают не всегда выгодны. Для какого-нить офиса в 50 раб мест, например. Циско/хуавей дорого, а микротика уже маловато. Да и полит обстановка знаете ли...
Хз, микротик подходящий будет стоить 30к (а на торрентах со скидкой раздают routeros x86 для виртуалок). Если есть чуть поболе, можно взять подержанную Асу. Если хочется отечественного - Элтексы вроде умеют МСЭ. Короче непонятно.
Полагаю, что микротик за 30к просядет уже после 20+ овпн тоннелей, что для всякой там удаленки так себе.
Бу аса - кот в мешке + с апдейтами гемор.
Микротик под описанную выше задачу стоит нонче около 200к. Вообще микротику рядом с пфсенс в таком конфиге место тоже есть, для вафли например.
На 50 сотрудников микрота за 30 потянет (про тоннели речи не было - 20+ это по тоннелю на сотрудника, лол?). Если что-то более мощное - Клауд роутер за сотку точно пойдет.
Аса кот в мешке это забавно. А что тогда не кот в мешке?
Вафля в микроте - это традиционно слабое место, под вафлю берут другие решения.
Если ты не разбираешься - не лезь плиз в разговор.
>На 50 сотрудников микрота за 30 потянетРечь шла о 50 раб местах. Раб место не равно сотрудник.
>про тоннели речи не было - 20+ это по тоннелю на сотрудника, лол?)
Зачем про тоннели речь, если сейчас это обьективная реальность. У меня это было реальностью задолго до локдауна.
Туннели же бывают сайт ту сайт, сайт ту мультисайт. Вот такой вот лол.
Ок. Попробуйте на микроте за 30к овпн одновременно 20+ клиентов с нормальным шифрованием в рамках сайт -мультисайт. Вывод топа в студию.>Аса кот в мешке это забавно. А что тогда не кот в мешке?
И почему лолирующие индивиды никогда не могут внимательно прочитать? Риторический вопрос.
Там написано: БУ аса. Сиречь бывшая в употреблении.>Вафля в микроте - это традиционно слабое место, под вафлю берут другие решения.
Чем слабое? Какие решения берут? Юбиквити?
Берут обычно то, что валяется в серверной и/или куплено кем-то, кто пыжился и не осилил, приводя похожую аргументацию.>Если ты не разбираешься - не лезь плиз в разговор.
Да я уже понял, что Вы разбираетесь! Отче, просветите еще!
>Речь шла о 50 раб местах. Раб место не равно сотрудник.То есть у тебя за несколькими армами работают несколько людей параллельно и у них у каждого по тоннелю офис, верно? Причем все это одновременно. Чел, ты где работаешь? В смехопанораме?
>Туннели же бывают сайт ту сайт, сайт ту мультисайтКоллективу в 50 рыл жизненно необходимо иметь 100 тоннелей в Хабаровский филиал. Для справки - если ты про клиентские подключения, то 50 одновременных vpn сессий тебе любой современный роутер в диапазоне 50-100к прожует играючи. Возьми калькулятор посчитай.
>Попробуйте на микроте за 30к овпн одновременно 20+ клиентов с нормальным шифрованием в рамках сайт -мультисайт.Огласи сначала сетевой конфиг. А то у тебя сперва 50 юзеров, потом какие-то мультисайты вылезают. Определись какую задачу ты решаешь.
>БУ аса. Сиречь бывшая в употреблении.Кашмар. Рассказать на каком оборудовании вот прям щас живет твой банковский аккаунт?
>Чем слабое? Какие решения берут? ЮбиквитиНапример. Слабое тем, что не тянет по полосе пропускания по причине каличного железа. У них только точка-точка релейки норм были.
>Отче, просветите еще!Просвящаю - если тебе в моменте платят больше слесаря, то это не значит, что так будет продолжаться вечно. Если и дальше будешь на уровне админчика на 50 рыл, то пойдешь заворачивать бургеры в 40 лет. Вместо комментов на сайтиках - бегом учиться, нарабатывать опыт своими шишками и смотреть за старшими. Поменьше гонору - побольше усердия в учебе!
>То есть у тебя за несколькими армами работают несколько людей параллельно и у них у каждого по тоннелю офис, верно? Причем все это одновременно. Чел, ты где работаешь? В смехопанораме?Я вообще не работаю. Мне даже слово это не очень нравится.
Слышал, что сейчас за одним армом может быть закреплено несколько стафов. Причем они могут практически никогда не сидеть физически за этим арм.>50 одновременных vpn сессий тебе любой современный роутер в диапазоне 50-100к прожует играючи.
Никогда такого не было и вот опять. теплое с мягким. Ранее говорили не про 100, а про 30к. За 100к да, прожует. Не то чтобы играючи, но прожует. Если мы о нормальном шифровании.
>Огласи сначала сетевой конфиг. А то у тебя сперва 50 юзеров, потом какие-то мультисайты вылезают. Определись какую задачу ты решаешь.
Все оглашено трижды. Вы невнимательно читали. Трижды же поправлял Вас.
>Кашмар. Рассказать на каком оборудовании вот прям щас живет твой банковский аккаунт?
Поберегите плз мою психику. Надеюсь я не являюсь клиентом того банка. Хотя знаю да, что все плохо.
>Слабое тем, что не тянет по полосе пропускания по причине каличного железа.
Какое конкретно железо слабое и точно оно сильно отличается от того же юбика? Приведите конкретные номенклатуры.
>Просвящаю - если тебе в моменте платят
>бегом учиться
>побольше усердия в учебе!"О сколько нам открытий чудных
Готовят просвещенья дух
И Опыт, [сын] ошибок трудных,
И Гений, [парадоксов] друг,
[И Случай, бог изобретатель]"Это для тех, кто поймет.
Ну а о насущном, Вам бы повнимательнее быть. Не набрасывать сразу, а читать полностью текст. Конспиративное исполнение - это так себе.
Даже если предположить, что Ваш пассаж был бы релевантен, я писал, что успешные одминчики одминят таких организаций не одну, что автоматически множит 50, как Вы выразились рыл, на Х организаций.
Овпн туннели для удалёнки.. Акстись уже.
А что сейчас в моде? Неужели вг?
перевел на вг весь офис, уже как год - забыл про впн вообще... Никаких танцев с сертификатами и конфигами, из-за просрочки или залетной сраной обновы, никаких тупоголовых звонков от кудахтеров... Настроил и забыл.
Всё крутиться на опнсенсе на старом шпишном корыте.
>Никаких танцев с сертификатами и конфигами
>Настроил и забыл.Аналогично. Настроил году в 2012. Все работает. Что я делаю не так?
> Что я делаю не так?Лжёшь на анонимном форуме. Первый релиз WG был в 2015.
>Никаких танцев с сертификатами и конфигами, из-за просрочки или залетной сраной обновы,Что там в обновах у Вас ломает ума не приложу.
Так же не знаю как в опнсенс дела обстоят, но в пфсенс все хорошо, мануал прилагаю. Если вдруг завтрашний день принесет Вам задачи, с которыми вг не справится.https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-r...
Как поживают 3-4 разных wg на одной железке?
Как реализованы механизмы разрешения доступа людей по конкретным url адресам?
Как боретесь с блокировками ркн которые wg первыми покосили?
Как wg поживает на м3?
Что там с дружбой с AD?
В моде здравый смысл, как всегда.
Согласен. И мой здравый смысл как бы говорит мне: не мешай технике работать.
Да и даже если варианты выше не подходят - поставь Альму с nftables, в чем проблема? Зачем дистриб от Василия?
Проблема в нфтаблес:)
От Васяна не надо, согласен.
От нетгейт вполне корпоративненько. Так сказать за лоу прайс.
Я не знаю, что такое нетгейт. Если у тебя 20 юзеров - ставишь блин обычный линукс с обычным фильтром - готово. Нафига голову ломать? Будущий админчик тебе спасибо скажет, что не впендюрил netsupermegagate от Василия.
>Я не знаю, что такое нетгейтКомментом выше Вы говорили, что все знаете.
>Если у тебя 20 юзеров
В описании задачи было сказано: 50 раб мест. Одновременно 20+ подключений. Откуда Вы взяли 20 юзеров?
>ставишь блин обычный линукс с обычным фильтром - готово. Нафига голову ломать? Будущий админчик тебе спасибо скажет, что не впендюрил netsupermegagate от Василия.
Не, ну лет цать назад, когда линукс еще не истек жиром, пипитаблес был человеческим, а груди женские в основной массе были от 1.5, можно и нужно было накатывать гейт без гуя, повышая чсв в глазах руководства и бухгалтерии.
Сейчас, когда у средне успешного одмина в удаленном рулении таких организаций не одна, смысла в чистой ос на гейте нет. Таки убобнее визуализировать процессы. Меньше времени уходит, больше денег приходит.
Лет так много назад webmin ставишь практически на чистый linux. Минимальный набор модулей и т.д.
Там мегабайт 40-50 загоняешь в RAM и рули себе с гуем в свое удовольствие.У меня так лет 15 проработал сервак.
Потом раскошелился директор на чекпойнт.
>Лет так много назад webmin ставишь практически на чистый linux
>Потом раскошелился директор на чекпойнт."Из огня, да в полымя".
В пору вебмина я религиозно был против, юзал чистый.
Потом постарел, видимо. Пришло и понимание относительно полноценной ос.Раз спустя годы директор таки расчехлился, значит Вас и организацию можно поздравить!
Религия - опиум для народа.
Имхо: чекпоинт не панацея.
>чекпоинт не панацея.Согласен! Панацея лишь опиум для народа.
Кто твой "обычный линукс" будет настраивать, если срочно понадобиться что-то поменять, пока ты у бабушке на даче? Как там с экспортом/импортом конфигурации? Как там, хотя бы, с просмотром текущей конфигурации?
Если на чекпойнт денег нет, всегда можно воспользоваться альтернативой.
По мне так и iptables годный на небольшой парк.
> Циско/хуавей ... микротикаСоветуешь?
Нет. Недружественное оно. Но многие продолжают колоться и вкушать кактус.
Обходить ограничения ака причинять себе боль за свои же деньги - для истинных ценителей.
На микроте ограничений и глюков хватает, а при ддос не живёт не минуты
> Циско/хуавей дорогоЗачем в палатке с шаурмой циска?
> Данные из списка блокировки Spamhaus eDROP (Extended
> Don’t Route Or Peer) объединены со списком DROP.А так то идея - если забанить весь интернет, интрудеры точно обломаются. Спамхаус это очень даже умеет.