The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск дистрибутива для создания межсетевых экранов OPNsense 21.1"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск дистрибутива для создания межсетевых экранов OPNsense 21.1"  +/
Сообщение от opennews (??), 31-Янв-21, 11:25 
Представлен новый выпуск дистрибутива для создания межсетевых экранов OPNsense 21.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих.  Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (421 МБ)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54497

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +2 +/
Сообщение от Аноним (1), 31-Янв-21, 11:25 
Отличный проект! Удачи и развития ему. Долго думал перенести на него vpn кластер, да никак не могу отказаться от консоли, плюс вместо pf использую ipfw
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +4 +/
Сообщение от Аноньимъ (ok), 31-Янв-21, 12:03 
Пользуюсь уже пару лет. Очень доволен. Гуишка постепенно дорабатывается.
Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –16 +/
Сообщение от Аноним (3), 31-Янв-21, 12:14 
Слабый пакетный фильтр. Надо переходить на nftables. Во FreeBSD пакетный фильтр практически не развивается.
Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +12 +/
Сообщение от Аноньимъ (ok), 31-Янв-21, 13:05 
Слабый и недостаточно высокий. Другое дело nftables, сильный и круглый.
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +5 +/
Сообщение от Аноним (6), 31-Янв-21, 14:00 
А мне нравится, когда фильтр красный и с лёгкими нотками кофе.
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +3 +/
Сообщение от Аноньимъ (ok), 31-Янв-21, 14:29 
> А мне нравится, когда фильтр красный и с лёгкими нотками кофе.

Вот поэтому я ipfw использую.

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +2 +/
Сообщение от OpenEcho (?), 31-Янв-21, 13:18 
Если быть чуть более внимательней, то можно увидеть что nftables уж очень обезьяничает "Слабый пакетный фильтр" pf
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –1 +/
Сообщение от псевдонимус (?), 31-Янв-21, 14:14 
Вот ещё этого наркоманкой поделив не хватало.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

26. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –1 +/
Сообщение от Аноним (-), 06-Фев-21, 21:14 
> Вот ещё этого наркоманкой поделив не хватало.

Не пишите под веществами на форумы. Вместе с вашей наркоманкой.

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +1 +/
Сообщение от sammemail (ok), 31-Янв-21, 15:55 
...и скучные правила?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

10. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +5 +/
Сообщение от Ivan_83 (ok), 01-Фев-21, 02:05 
Надо переходить к состоянию системы когда никакие фильтры и фаирволы не нужны в принципе.

Я не про открытую всем желающим систему, а про систему где by design фильтрация не требуется.

Все локальные сервисы генерируют ответы только с ttl=1 и они дальше роутера не улетают, а публичные достаточно надёжны чтобы не было необходимости как то ограничивать к ним доступ фаерволом.

Я это пишу потому, что у меня при политике "запретить всё кроме нужного" и при политике "разрешить всё кроме вот этого мусора" получаются довольно внушительные списки правил, и с годами они только увеличиваются.
Уже сейчас я понимаю что пора начать документировать правила, потому что я не помню нафига нужны все те порты что я разрешил, и что там у меня за подсети прописаны.
И это у меня дома.
В огранизациях ситуация должна быть ещё хуже, либо там одмин развёл помойку которая живёт своей жизнью и он реально ничего ни то что не контролирует но и не подозревает.

Что касается фаеров, у меня pf.
Функционал от ipfw отличается не так чтобы сильно.
Чего бы там в nftables не было, это всего лишь ещё один синтаксис для описания правил и не более того.
Развивать там нечего, сети за последние 20 лет не изменились принципиально.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Аноньимъ (ok), 01-Фев-21, 02:16 
Поддерживаю направление мысли.

Но тема сложная.
И корнями уходит в ip протокол и плохой дизайн многих сетевых приложений (вроде использования разных портов для данных и управления)

И сложно уже что-то с этим поделать сегодня.

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –4 +/
Сообщение от pofigist (?), 01-Фев-21, 09:29 
Вот интересно - опенсорс дозреет когда-нибуть до нормального фаервола а-ля Cisco ASA?
Идея - проста, незатейлива и вообще-то гениальна же...
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от tonys (??), 01-Фев-21, 10:05 
Не дозреет. Где есть деньги не проблема купить киску, а где нет денег нет и задач с которыми не справится opnsence и иже с ними.
Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +3 +/
Сообщение от Ivan_83 (ok), 01-Фев-21, 11:52 
Ещё бы знать что там такого особенно в вашей киске, чтобы это стоило потом тащить куда то ещё.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

16. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от наме (?), 01-Фев-21, 12:51 
ей можно управлять при помощи аааайфооона. сам видел. (они пока еще не нашли на этом гаджете браузер, чтобы что-то, помимо UI asa, открывать)
Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от pofigist (?), 01-Фев-21, 18:35 
Ну возьми GNS3 и посмотри - образы Cisco ASA для нее есть готовые. Благо это не MIPS, а старый добрый х86...
Кратко - в кошках есть:
1. Офигенная документация. Вот реально - лучшая.
2. Офигенно удобный язык управления. Простой, логичный и интуитивно понятный - для тех кто изучил конфигурируемый протокол.
3. Их сертификация - единственная из полезных. Ибо учат работать с сетью, а не с оборудованием.
4. Гадкий, глючный и дырявый веб-интерфейс, который можно и нужно отключить в первую очередь.
5. Одно из лучших соотношений цена/качество. Есть железо и дешевле, но г-но (например микротык), есть железо и лучше, но существенно дороже...
6 Конкретно ASA ещё интересна тем, что это NAT-device (не путать с недо-NAT-ом в мыльницах!) и соответственно целые классы атак, хорактерные для классических фаерволов, на ней не работают в принципе
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

19. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Аноним (19), 03-Фев-21, 12:25 
>4. Гадкий, глючный и дырявый веб-интерфейс, который можно и нужно отключить в первую очередь.

Это не тот, которым рекомендуют пользоваться на официальных курсах по подготовке к пункту 3?

>2. Офигенно удобный язык управления. Простой, логичный и интуитивно понятный - для тех кто изучил конфигурируемый протокол.

Какая версия лучшая то? До того, как они её полностью поменяли или после?

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от pofigist (?), 03-Фев-21, 14:11 
Ну согласен - я смешал в одну кучу всех кошек, ASA, ISR, Catalist... Много их - факт.
ADSM - пользавать можно и нужно, та херня, что ставится на ISR-ы и каталисты - не нужна.
Старый язык управления асой - давно пора забыть, это тяжёлое наследство пиксов. Ты ещё вспомни изначальный язык управления каталистами...
Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Аноним (19), 03-Фев-21, 15:46 
>та херня, что ставится на ISR-ы и каталисты

Фублин! А вдруг я за едой это читаю?!

>Старый язык управления асой - давно пора забыть

Почти во всех мануалах по ASA есть настройки до и после 8.3

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от pofigist (?), 03-Фев-21, 19:31 
Кстати последние варианты уже гораздо лучше - не требуют жабы и ie5... И конфиги генерят не такие страшные...😁
Не ну серьезно - уже почти работают. Ещё лет 20... Хотя конечно это не отменит их ненужности.

Мне вот интересно - а вообще-то остались асы с 8.3, которые ещё не End of Life?

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Ivan_83 (ok), 04-Фев-21, 08:34 
В том то и дело что я не хочу трогать кошатину, мажевельщину или прочие поделия.

1. В опенсорсе есть и документация и исходный код, для тяжёлых и не понятных случаев.
2. И этот ваш сектансткий язык никому за пределами не нужен и не понятен.
3. Учат может и работать с сетью, но опять же на своём сектанстком языке всё называют.
4. Те даже вебморду не осилили сделать? :)
5. Хз, в сортах и ценах каках не разбираюсь :)
6. NAT - давай досвидания, IPv6 уже тут, /64 на рыло каждому!
Опять же, эти все атаки - в основном в головах маркетологов, которые эту кашатину впаривают.
Я уже писал раньше - достаточно поставить ттл=1 на локальные сервисы и можно вообще больше ничего не фильтровать, а вы всё про чудонат впариваете.

Мокротики мне тоже не нравятся, если что, в основном своими адептами - фонатиками, превозносящими их до небес, впрочем тут от фонатов других вендоров отличий нет.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

24. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от pofigist (?), 04-Фев-21, 11:20 
То есть ты не хочешь знать сети и уметь с ними работать. Твои проблемы, уволен! :)

1. Это было давно и неправда. На данный момент опенсоурсные продукты обычно не имеют приличной документации от слова совсем.
2. Этот язык - стандарт де факт в управлении сетевыми устройствами.
3. Еще раз - других нормальных языков управления и конфигурирования сетевых устройств просто нет. И быть не может.
4. Веб-морда - не нужна. Нормально написанный конфиг на нормальном языке - более понятен и нагляден.
5. То что ты не разбираешься в сетях - очевидно.
6. БЛИН!!!! Тебе ламеру сказали - не путай не недоNAT-ом из китайских мыльниц под линаксом!

> Я уже писал раньше - достаточно поставить ттл=1 на локальные сервисы и можно вообще больше ничего не фильтровать, а вы всё про чудонат впариваете.

Ламар - он и есть ламер. :) Твое решение местами работает только в плоской сети, которую используют только одиночный ларек, торгующей шавермой. Если это хотя бы два ларька - оно уже не работает! Более того - такая "защита" обходится на раз-два ибо защитой - не является.
Учи матчать! Сдай хотя бы CCNA чтоб не нести такую чущь.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –1 +/
Сообщение от Ivan_83 (ok), 06-Фев-21, 16:41 
Так я не одмин, я со стороны вендоров, кто наваливает админам работы :)

1. Дело в том, что тот же PF за последние 10+ лет почти не изменился, документации там всякой простой навалом. Аналогичное другие опенсорсные фаеры.
2. Я про терминологию, у кошатников многие вещи называются своми словами, которые как минимум у других вендоров или имеют другой смысл или вещь называется по другому.
3. Понятно-понятно, у фонатов всегда так.
4. Вебморда нужна, потому что не все мутанты-кошатники обмазанные сертификатами. Я вот купил свич управляемый и клал я с прибором на вендора с его кли и прочим, я это даже за доплату знать не хочу.
Я хочу взять и настроить с гуя базовый функционал.
5. Да да, совсем-совсем не разбираюсь.
6. Божественный нат от кошки...ммм :) ну да, конечно.

У схемы с ттл=1 конечно есть свои недостатки, но как минимум в случае TCP вам всё равно потребуется искать прокси уже внутри сети, чтобы подключится, или ломать девайс который фаером и завставлять его проксировать или переписывать ттл.

Нет, мне ваши кошачьи знания даром не нужны, я не собирался и не собираюсь кошкам хвосты крутить за зарплату.

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +1 +/
Сообщение от pofigist (?), 08-Фев-21, 14:53 
1. Это ты называешь документацией?! Это так - свалка заметок на манжетах, а не доки.
2. Нет дорогой, терминология кошки - стандартная для сетевых вещей. Это у линуксоидов с ней бардак.
3. То есть возразить - ничего не можешь. Понятно.
4. Веб-морда - не нужна, более того - она вредна. Ибо позволяет всяким неучам лазить в железо, а потом разбирайся что они там с QoS наворотили от полного непонимания как оно работает. Управлять сетью - это вам не код писать, тут ламерам не место.
5. Да не разбираешься. И это - очевидно.
6. То есть ты просто не знаешь что такое NAT, как он работает и для чего нужен и судишь о нем по его калечной реализации в китайских мыльницах под линаксом. Почитай доки для начала.

> У схемы с ттл=1 конечно есть свои недостатки

Самый главный из которых - она просто не работает. Скачай, сделай сеть, проверь и убедись сам - https://github.com/GNS3/gns3-gui/releases

> Нет, мне ваши кошачьи знания даром не нужны, я не собирался и не собираюсь кошкам хвосты крутить за зарплату.

Если ты не работаешь в ИТ - то да, не нужны.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от пох. (?), 08-Фев-21, 15:23 
> 1. Это было давно и неправда. На данный момент опенсоурсные продукты обычно

никогда не было. Ты просто опоздал родиться и не застал истеричных воплей л@...нувыпонели разработчиков в адрес автора lartc. Что он все неправильно и непонял, и пусть перепишет и им с поклоном подаст.

Разумеется, сами они ничего не написали вообще.

> 2. Этот язык - стандарт де факт в управлении сетевыми устройствами.

какой, с-ка, из пяти?!

> 3. Еще раз - других нормальных языков управления и конфигурирования сетевых устройств
> просто нет. И быть не может.

мне почти нравился huawei. Правда, я ни разу не видел их фиревола - а он у них, меж тем, есть. И, кажется, ng. Не удивлюсь, если там совсем другой cli.

> 4. Веб-морда - не нужна. Нормально написанный конфиг на нормальном языке -

вебморда для другого нужна. Там была пара очень интересных графиков. Снимать которые внешней мониторилкой будет немного сложно.
Отдельно расскажи как собрался управлять каким-нибудь ssm20 без вебморды. У него вообще-то тоже есть cli, но такой, что лучше б его не было.

> Учи матчать! Сдай хотя бы CCNA чтоб не нести такую чущь.

и чем ему зазубренные на память маски от /2 до /31 помогут не нести чушь?


Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

30. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от pofigist (?), 08-Фев-21, 16:03 
1. Ну скажем так - одно время коммерсы вообще забивали на документацию, а опенсоурсники - что-то писали.
2. Ты что считаетешь что коммутаторы и маршрутизаторы имеют разный язык? Про ХЕ - это просто развитие языка управления, следующая версия если хочешь. :) А так - они все настолько просты и схожи, что имхо не стоит того чтоб заморачиваться различиями. "Оригинальные" версии языков каталистов и пиксов - давай не будем поминать, ок?
3. Да он другой на уровне отличия pascal-modula-oberon, разница конечно есть, но если знаешь один - знаешь их все.
4. Мониторинг - ок. А вот то что фаерволами и прочими IDS/IPS без гуя управлять тяжело - факт. Но тут проблема немного в другом.

> и чем ему зазубренные на память маски от /2 до /31 помогут не нести чушь?

Зазубренные - ничем. А вот если он их начится быстро считать в уме - другое дело, не будет путаться на ровном месте. :)

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от пох. (?), 08-Фев-21, 21:56 
> Ну скажем так - одно время коммерсы вообще забивали на документацию,

мифы и легенды опеннета, том хз какой.

> Ты что считаетешь что коммутаторы и маршрутизаторы имеют разный язык?

я считаю что ты в цисках практически не шаришь.

> Да он другой на уровне отличия pascal-modula-oberon, разница конечно есть, но если знаешь один
> - знаешь их все.

на уровне приблизительно разобраться в простом чужом уже написанном и работающем коде - возможно.
А посадить тебя перед ASR9000 (интересно, это "коммутатор" или "маршрутизатор"?) с полностью пустым конфигом, и не давать пользоваться гуглем - ты его просто для захода извне не сможешь настроить, вероятнее всего, чтоб потом хотя бы из дома с гуглем под рукой остальное делать. Так и будешь сидеть-моргать.
И на 903 не сможешь даже к порту подключить влан - потому что никогда не слышал про evc

Точно так же, человек никогда не видевшей асы, или, еще смешнее - видевший 7-8, и посаженный за девятку с даже и непустым конфигом, но где негде подсмотреть образчик - не сможет настроить примитивнейший acl, разрешающий заход извне на веб-сервер в защищенном сегменте за nat. Откуда ему знать, что он пишется задом-наперед? И про синтаксис nat в виде простыни global вместо привязки к конфигу интерфейса?
Или второй, совсем адский синтаксис через object, вообще ни в каком другом цискином железе не встречается. Ты его даже увидев кем-то уже написанный, не факт что сможешь сообразить что это и как работает, если до этого видел только acl'и обычного ios и интерфейсные nat команды.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от pofigist (?), 09-Фев-21, 13:34 
> я считаю что ты в цисках практически не шаришь.
> А посадить тебя перед ASR9000 (интересно, это "коммутатор" или "маршрутизатор"?) с полностью пустым конфигом, и не давать пользоваться гуглем - ты его просто для захода извне не сможешь настроить,

Ну да, конечно же! И ты утверждаешь что я ничего не понимаю в кошках, если это ты задаешь такие вопросы "это маршрутизатор или роутер"? Или думаешь меня запутать, думая что я не понимаю отличия между L3 коммутацией и маршрутизацией? :)

> Откуда ему знать, что он пишется задом-наперед?

Ох блин... а <tab> и ? уже отменили чтоль? :)

Даа... все твои вопросы только подтверждают мое утверждение - изучать надо не команды настройки, а настраиваемые протоколы... Тогда вопросов типа твоих - просто не возникает.

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от пох. (?), 09-Фев-21, 14:46 
> Ну да, конечно же! И ты утверждаешь что я ничего не понимаю в кошках, если это ты задаешь
> такие вопросы "это маршрутизатор или роутер"?

я что-то не вижу ответа. И да, на всякий случай, это серия. switchfabric там в некоторых моделях. Где-то и по две. В некоторых нету, и места для них тоже.

> Ох блин... а <tab> и ? уже отменили чтоль? :)

в каком месте tab и ? помогут тебе понять, что
nat (inside,outside) source static kms interface service ms-kms ms-kms
делает ровно обратное написанному, это не source nat вообще? И отдельно - расшифровать эти заклинания и что именно должно быть создано до этой команды заранее.

Причем знания как это работает на isrах тебе ни разу ничем не помогут, будь ты хоть каким мастером по их конфигурежу. Хотя "протокол" ты знаешь, на уровне терминологии (которая у циски отлична от общепринятой). Скорее помешают, ты будешь долго и безуспешно искать nat в интерфейсном конфиге.

Или где они тебе подскажут что после 8й версии в outside interface acl должно быть правило для этой же конструкции с реальными адресами, а до нее - с адресами после nat? ("мы косплеили как-в-линуксе, но получилась все равно нечитабельная фигня")

А на тех 9000х ты столкнешься вообще с другим подходом к конфигурированию и совершенно другой структурой конфига. (к счастью, там-то именно структура, а не простыня, но это ни разу не делает ее легкой для понимания). Зато есть встроенный vi - надеюсь, ты помнишь как из него выйти? ;-)

Опять же, никакой '?' и tab не помогут тебе банально поменять пароль локального админа, если ты не знаешь, где он сегодня спрятан. С маршрутизацией - ну может догадаешься, куда пихать свой статик, а может и нет, будешь его искать совершенно не там.

Они помогают когда ты знаешь и синтаксис, и семантику - причем конкретной железки. Забыть можно только какую-нибудь мелочь.

Для остального нужна документация. Где все правильные команды в правильном порядке и с объяснениями, что и почему. Правильных протоколов при этом можно вообще не знать.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от пох. (?), 08-Фев-21, 21:59 
>> и чем ему зазубренные на память маски от /2 до /31 помогут не нести чушь?
> Зазубренные - ничем. А вот если он их начится быстро считать в

Не научится, не дают на ccna exam времени считать в уме. Надо сразу помнить, иначе, скорее всего, не хватит времени на более сложные вопросы, где уже надо думать.

Таблицы этих масок на пять страниц в конце книжек со второго по пятое издание как бы намекают, для чего они там.

ccna - дешевый раб, которого посылают в дальние жопеня крутить гайки в стойках. Ему некогда что-то там считать, наизусть должен помнить. Понимания при этом не требуется, это следующая ступенька.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

34. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от pofigist (?), 09-Фев-21, 13:37 
> Не научится, не дают на ccna exam времени считать в уме. Надо
> сразу помнить, иначе, скорее всего, не хватит времени на более сложные
> вопросы, где уже надо думать.

Так надо считать быстро - у меня это получается автоматом. Маску вижу (число едениц), на октеты разбивается автоматом, из двоичной в десятичную - перевожу не думая. Времени не занимает от слова совсем. :)

> ccna - дешевый раб, которого посылают в дальние жопеня крутить гайки в
> стойках. Ему некогда что-то там считать, наизусть должен помнить. Понимания при
> этом не требуется, это следующая ступенька.

А вот это - факт. Но без CCNA в ИТ вообще допускать нельзя, это входная ступенька для принятия на работу в ДИТ. Не единственная, но необходимая.

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от пох. (?), 09-Фев-21, 14:09 
> Так надо считать быстро - у меня это получается автоматом.

распределите адреса 179.12.192.0 на семь приблизительно равных подсетей, выбрав две первые с минимальным количеством нулей в адресе.

Это типовое задание на экзаменах прошлых лет (за вычетом нерелевантной информации, но ничуть не утрировано - и именно нулей, это не опечатка) - последние пять я мало интересуюсь этой неведомой е-ниной, не знаю просто, до чего они еще дошли. По идее, с пропихиваемым без вазелина v6 все это знание стало ненужным, теперь надо зубрить специфические диапазоны адресов, а не масок. Про link-local точно будет задание. Причем в виде "угадай какой адрес из этих пяти к ним относится".

Самое смешное, что в реальной практике ccna никогда не столкнется с такими задачами и такими масками - ему скорее полезно помнить наизусть все представления /31-28 если работает в операторе или с операторами. Я обычно пользуюсь калькулятором, мне можно.

> А вот это - факт. Но без CCNA в ИТ вообще допускать нельзя, это входная ступенька
> для принятия на работу в ДИТ. Не единственная, но необходимая.

Ну хер знает, я как-то обошелся. Впервые эту книжку читал, будучи уже "ведущим сетевым инженером" с некоторым списком побед за спиной и без единого вендорского сертификата.
Тогда наиболее полезным в ней оказались последние странички с типами сетевых разъемов и особенностями применения - все остальное я "уже где-то видел". Но это второе, что-ли, издание, в новых такого уже нет - ccna, видимо, не доверяют их втыкать ;-)

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от пох. (?), 08-Фев-21, 15:16 
> Вот интересно - опенсорс дозреет когда-нибуть до нормального фаервола конца 90х годов прошлого
> века а-ля Cisco ASA?

поправил, не благодарите. К сожалению, он его уже перезрел - был у нас почти такой, в те самые поздние 90е, ipchains называлсо. Некоторых приятных мелочей не хватало, но в общем уже не особо страдали им пользуясь.

> Идея - проста, незатейлива и вообще-то гениальна же...

расскажите, почему генитальная идея старательно калечит соединения по https на высокие порты? Причем каким-то образом ухитряясь в него влезть без каких либо явных и неявных указаний это делать.
(то есть помогает только полиси с _явным_ запретом вообще любых fixup'ов - а это непросто и неудобно, потому что глобальная политика у нас только одна, и она может быть уже чем-то занята)

Я видел эту проблему в 2007м, с версией хорошо если не 6, я видел эту проблему в 2016м с версией 9, я уверен что увижу ее если где-то украду и самую распоследнюю версию.

Ну и точно ли "нормальна" простыня правил без иерархии и с permit задом-наперед ?

Я вот не могу даже сказать, от чего больше блевать тянет - от циски с ее простыней и dnat задом-наперед, или от недоделанных iptables, где чего ни хватишься, ничего не доделано и уже не будет.

Ну, понятно, то и другое - прошлый век. В циске сегодня моден firepower, у л@п4-тых (запрещенные на опеннете безграмотные истерички) какой-то вообще нечеловекочитаемый трэшак непонятно для чего и кого.

bsd как всегда позади планеты всей, застряв не в 90х а где-то в 80х, откуда родом их ужасный синтаксис и простыни без структуры (но смотри не перепутай порядок правил!) - во всех трех возможных вариантах.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

14. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Аноним (14), 01-Фев-21, 11:15 
Межсетевой экран это типа брандмауэр?
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +1 +/
Сообщение от MoHaX (ok), 03-Фев-21, 06:22 
Нет, это типа фаерволл.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру