Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск дистрибутива для создания межсетевых экранов OPNsense 24.1"	+/–
Сообщение от opennews (?), 31-Янв-24, 23:26
Сформирован релиз дистрибутива для создания межсетевых экранов OPNsense 24.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих.  Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (443 МБ)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60532
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Швондик (?), 31-Янв-24, 23:26	+2 +/–
а почему межсетевые экраны на FreeBSD лучше, чем на Linux?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #5, #13, #17

3. Сообщение от dannyD (?), 01-Фев-24, 00:11	–6 +/–
не поверите: её меньше долбают (проверяют) на ошибки и субъективно кажется что их нет, она надёжней и всё такое прочее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14

5. Сообщение от anonymous (??), 01-Фев-24, 00:45	+2 +/–
Субъективно pf и ipfw имеют гораздо более понятный и человекочитаемый синтаксис в отличие от iptables. Впрочем, новомодный nft в Линуксе тоже неплох в этом плане. Из объективного - фряшечные фаерволлы меньше ресурсов требуют на ту же ширину канала. На этом вроде всё, лет 20-30 назад фряшечные фаерволлы превосходили линуксовый примерно во всём. Сейчас линуксовые точно не хуже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #15

7. Сообщение от _hide_ (ok), 01-Фев-24, 01:34	+1 +/–
Обновление пугающе долгое, если через WEB. Теперь есть по умолчанию Wireguard. Подхватил все конфиги и вроде все ОК
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от beck (??), 01-Фев-24, 08:41	+2 +/–
Не лучше. Во фре меньше,  скажем так,  не относящегося к задаче, поэтому на фре легковеснее и проще в обслуживании.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

14. Сообщение от Аноним (14), 01-Фев-24, 11:51	+2 +/–
Собственно, а что именно в ней должно быть менее надёжно? OpenSSL, OpenSSH, nginx, apache которые те же самые?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #22

15. Сообщение от User (??), 01-Фев-24, 12:20	+1 +/–
Ну, пока чего-нибудь сколько-нибудь сложного не попробуешь сделать - все хорошо, да. Плоская простыня со skipto на нескольких интерфейсах быстро начинает вымораживать даже создателя, а трафик флоу в случае ната и шейпинга прям не тривиален, поддержка протоколов, опять же... на тот же ftp (мир праху его) - эпичный костыль торчал. С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип - во времена оны в однопоточку жОско упирался, а фрибыздышный в этом плане как бы не полностью расшит - но с "апстримом" основательно так разошелся уже лет не вспомню, сколько назад, что может вызывать изрядное жжение пониже спины. КМК в простых случаях сильно лучше, что ip, что nf-tables, что даже ufw с firewalld, но все, что сколько-нибудь сложнее - "бегите, глупцы!!!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16, #20

16. Сообщение от крокодил мимо.. (-), 01-Фев-24, 16:05	–2 +/–
> С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип - > во времена оны в однопоточку жОско упирался... obsd's pf до сих пор однопоточный, но "упирается" он, как правило, не в CPU.. в 99% случаев причина затыка - прокладка меж стулом и монитором с клавиатурой.. c nft не работал плотно.. если сравнивать pf с iptables, то pf выигрывает из-за statefull inspection.. и, субъективно, с pf легче разбирать тэгированный траффик, vlan-ы и т.п..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #29

17. Сообщение от нах. (?), 01-Фев-24, 16:22	–2 +/–
патамушта кто-то осилил запилить для нее вебмордочку monowall а на линукс только невменозный редхатовский cockpit. В остальном они всем хуже, если надо что-то чуть сложнее совсем тривиального. Хотя со времен впиндюривания нечеловекочитаемого nft уже, пожалуй, "оба хуже". А бушная 5520 всего 5 тыщ ржублей между прочим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #18, #26

18. Сообщение от beck (??), 01-Фев-24, 17:01	+/–
Моновол вообще гениальная вещь. Она проста как две копейки и содержит всё необходимое. Я его частенько использовал. А вот дальнейшие пф и опн сенсы стали слишком развесисты и фичасты. Иной раз всё это не нужно,  а нет, давай конфигури, иначе не взлетит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #19, #41

19. Сообщение от нах. (?), 01-Фев-24, 17:35	–1 +/–
зато у меня ее девляпсы воткнули в качестве - будешь ржать - dhcp server. Ну да, не ослышался - файрвол им не нужен и она вообще ничего не фильтрует. dhcp с пойнт-нд-клац интерфейсом. Я не стал мешать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #23, #27

20. Сообщение от Аноним (20), 01-Фев-24, 18:09	+1 +/–
nft новомодный упирается в производительность человеческого мозга, а так как он не для людей делался, то тут в обязательном порядке нужен какой-нибудь смузи-девопсо-хикикомори без личной жизни вообще, который будет этот линуксячий бред разгребать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #25, #28

21. Сообщение от Mr.Who (?), 01-Фев-24, 18:14	–2 +/–
Если нужен pf, разумнее будет использовать OpenBSD. Благо поднять роутер на ней сможет даже человек далёкий от сетей, ибо гайдов и мануалов по этой теме вагон и маленькая тележка.
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от dannyD (?), 01-Фев-24, 18:19	–1 +/–
а в ядре ничего нету?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #36

23. Сообщение от User (??), 01-Фев-24, 18:20	+/–
Дык а что там с относительно вменяемыми альтернативами-то кроме вот майкрософта и майкрософта? Пердолить голыми руками без сизов bind10 не предлагать)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

24. Сообщение от Аноним (24), 01-Фев-24, 18:22	+/–
Кривое обновление, которое ломает предыдущую установку. Только устанавливать за ново 24.1.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #35

25. Сообщение от Аноним (25), 01-Фев-24, 21:19	–1 +/–
Да просто пишется обвяз, генерирующий правила nft из высокоуровневых абстракций. Задача уровня бакалавра CS. Обычно же хватает «стандартного» firewalld и изредка приходится самому программировать, но так или иначе уход от императивного плоского синтаксиса к декларативным структурам данных был правильным шагом в нужном направлении. Прокладка между приложением и железом должна быть во всех аспектах программируемой на высоком уровне, что в общем-то и происходит с Линуксом: сетевые неймспейсы, контейнеризация, eBPF, NFT, XDP, программируемый сторадж и так далее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #32

26. Сообщение от Аноним (26), 02-Фев-24, 07:13	–1 +/–
>а на линукс только Приятно видеть "профессионала" за работой. Sophos Firewall и Untangle на линуксе. И это те, про которые я хотя бы слышал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #30

27. Сообщение от beck (??), 02-Фев-24, 08:04	+/–
Дык ведь та же задача.  Чтобы клац клац и в продакшн. Я как-то на monowall поднимал nat с пробросом из сети в сеть в Кении на одном проекте. Приехал мигрировать сервера с отсюдова туда. А новые которые "туда" в другом сегменте. И выход в wan им недоступен. Пока сетевики пробрасывали концы, поднял на "старых" серверах виртуалки с моноволом и вот так завёл. Протестировали, щапустили, а там и сетевики подтянулись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

28. Сообщение от User (??), 02-Фев-24, 08:28	+/–
> nft новомодный упирается в производительность человеческого мозга, а так как он не > для людей делался, то тут в обязательном порядке нужен какой-нибудь смузи-девопсо-хикикомори > без личной жизни вообще, который будет этот линуксячий бред разгребать. Да оссспыди, не будет его никто разбирать - вот что там нагенерируется каким доскером или там фуриволлды - то и будет, разбор\писево этого месива руками не предполагается...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #31

29. Сообщение от User (??), 02-Фев-24, 09:05	+/–
>> С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип - >> во времена оны в однопоточку жОско упирался... > obsd's pf до сих пор однопоточный, но "упирается" он, как правило, не > в CPU.. в 99% случаев причина затыка - прокладка меж стулом > и монитором с клавиатурой.. Да хрен знает - на том археотеке на котором я его лет 10 назад последний раз щупал - с процом очень не очень было. Впрочем, на прямизну рук и тогда-то не претендовал ).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

30. Сообщение от нах. (?), 02-Фев-24, 09:18	+1 +/–
Приятно видеть эксперта опеннета, который тщательно подсчитывает что там на линуксе из того что даже не увидит никогда. Я тебе больше скажу - та самая коробка за пять тыщ бу (и я все же решил купить пока их раздают почти бесплатно - так, чисто поностальгировать, пользы от нее сегодня ноль) - тоже линукс, и на него неленивым и рукастым даже удавалось взглянуть изнутри... только вот от линукса там - драйверы сетевух. Поскольку для пакетного фильтра это, мягко говоря, неглавное. А дальше запускается огромный бинарник, который и делает всю магию. Без участия линуксного ведра, которое используется только как халявный загрузчик. А то о чем мы тут - использует штатные средства операционной системы (которой linoops разумеется не является) и представляет собой просто удобные (не очень, но лучшего на халяву не найти) пользовательские интерфейсы к ним. А почему для вашей их нет - спроси у себя, ты ж эксперт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #45

31. Сообщение от нах. (?), 02-Фев-24, 11:51	–1 +/–
а когда оно навернется - как чинить будем? А, знаю - если ресет не помог, то надо переустановить, вот!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #33

32. Сообщение от нах. (?), 02-Фев-24, 11:56	–1 +/–
и когда что-то идет не так - "бакалавр CS" разводит руками. Он бы в принципе и с обычным iptables руками развел и ушами похлопал, но с обычным вместо него нормальный админ бы разобрался довольно быстро. А тут с десятком прослоек и прокладок нескучно во всех аспектах - плюнет и уйдет. > был правильным шагом в нужном направлении угу, запутать все до такой степени, что уже вообще никто не разберет что там нах..верчено. Хорошее направление, нужное. Бакалаврам от CS, не умеющим ничего полезного. А потом даже такую тривиальщину как пакетный фильтрик мы будем ставить на базе bsd, потому что там кривенько-убогонько но примитивные задачи решает и можно починить если сломается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #42

33. Сообщение от User (??), 02-Фев-24, 12:42	+/–
> а когда оно навернется - как чинить будем? А, знаю - если > ресет не помог, то надо переустановить, вот! Ты знал! Ты знал! Т.е. для начала конечно попробуем перезагрузить, плейбук перенакатить - может вот фары протрем, по скатам попиннаем, двери откроем-закрозакроем - ну, ты знаешь, да? Если не поможет, то вот АКС соберем, по итогам совместного повторения вышеуказанных пунктов - на деревню вендору письмо напишем - но унутрь не полезем. Нууу... официально. Если Уасю или там Петю это все достаточно задолбает - он залезет и может даже починит - но официально конечно же не признается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #37, #38

34. Сообщение от Аноним (20), 02-Фев-24, 12:43	+/–
Отнюдь! Недотерпел? Оно там долго обновляет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

35. Сообщение от aname (?), 02-Фев-24, 14:36	+/–
Le classique
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

36. Сообщение от dannyD (?), 02-Фев-24, 18:41	+/–
в ядре ничего нет. расходимся, спим спокойно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

37. Сообщение от Аноним (37), 02-Фев-24, 20:16	+/–
> двери откроем-закрозакроем Что, тоже с современными Фордами сталкивался (там еще в одном из ритуалов оживления бибики ручник, который тоже уже "на датчиках", а не механике - пару раз "поствить-снять" нужно)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

38. Сообщение от нах. (?), 02-Фев-24, 21:21	+/–
ну я вот уже не полезу. А чо я, лысый что-ли? Я блей-пук перенакатил, по колесу постучал, капот опломбирован, ручник вкл-выкл сделал, даже дважды, ниедет. Могу из соплей и клея сбоку замену пока приколхозить, но это - пока могу. Еще несколько лет в том же духе - и даже это станет нереально (или настолько мерзко что браться не стану)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

39. Сообщение от Аноним (39), 03-Фев-24, 19:26	+/–
Есть ли у него дистрибутивы для ARM?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

40. Сообщение от Аноним (39), 03-Фев-24, 19:54	+/–
https://forum.opnsense.org/index.php?topic=22262.15 я уже видел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от pfil (?), 04-Фев-24, 18:15	+/–
monowall шикарен тем, тем не менее.... Так как в нём используется ipfilter для фильтров, а ipfw только для NAT, нет, соответственно, таблиц и правил с ними не сделать. Вообще, современный ipfw с именованными таблицами и возможностью record-state без check-state стал ещё интереснее. Жаль, что нет встроенной возможности автоматически удалять IP из таблицы по таймауту. Приходится использовать внешний софт. Пожалуй, это единственная вещь из мира iptables, вызывающая некоторую зависть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #44

42. Сообщение от Аноним (25), 04-Фев-24, 18:47	+/–
Что ж ты такой безрукий и безмозглый, чио у тебя всё постоянно само по себе ломается и починить не можешь? Ты точно профессией не ошибся? Ой-ой, бакалавр что-то накодил, а «умудрённый» «опытом» «системный» «администратор» не может в элементарном коде разобраться, ведь у него лапки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #43

43. Сообщение от нах. (?), 04-Фев-24, 22:08	–1 +/–
> Что ж ты такой безрукий и безмозглый, чио у тебя всё постоянно > само по себе ломается и починить не можешь? Ты точно профессией если твое г-но у другого человека ломается, стоит тебе отвернуться - вероятно профессией ошибся именно ты. > не ошибся? Ой-ой, бакалавр что-то накодил, а «умудрённый» «опытом» > «системный» «администратор» не может в элементарном коде разобраться, А мне надо в твоем дерьме копаться? Я его просто выкину следом за тобой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #47

44. Сообщение от нах. (?), 05-Фев-24, 00:41	+/–
> Так как в нём используется ipfilter для фильтров ну увы, когда его писали - лучшего не было. А сегодня... в общем, хрен его знает, но ту коробку вчера принесли на почту. Посмотрим что там с лицензией (на крайняк, конечно же, есть генератор). На мой век ее точно хватит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

45. Сообщение от Аноним (26), 05-Фев-24, 08:06	+/–
>Я тебе больше скажу - та самая коробка за пять тыщ Котроая нихрена не умеет и проигрывает по функциям какому-нибудь микротику за 2.000? Или ты где-то asa-x за пять косарей нашел? Не будем про "особенности" синтаксиса, применяемого в ASA... Напомню (ты, похоже, забыл уже) - ты начал разговор с того, что сказал, что для линукса нет "вебмордочек" к файрволу. Те два примера, которые я привёл, - это что тогда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #46

46. Сообщение от нах. (?), 05-Фев-24, 09:14	+/–
> Котроая нихрена не умеет мнение эксперта опеннета очень неважно для нас. Да, проигрывает - не становится внезапно attack relay, не образует неожиданного гейта в твою сеть с  удобным набором для э... "пентестинга", и даже если вдруг случится страшное и васян попадет прямо в шелл - ничего не поймет и ничего не добьется - "синтаксис" вишь ли ни разу не похож на firewalldрянь. Но куда вероятней он попадет в шелл таки на некротик-за-2000. А, ну да, ну да - еще ее разработчикам было незнакомо "етот ваш фетепе ниправильный и нимодный и работать через наше чюдо был и недолжен" - в те годы с таким подходом даже в уборщицы бы не взяли, а вот у афтырей pf палучилася. Хе мне для дома без надобности, да и пользы от краденого хека ровно ноль. > Напомню (ты, похоже, забыл уже) - ты начал разговор с того, что сказал, что для линукса нет > "вебмордочек" к файрволу. Те два примера, которые я привёл, - это что тогда? Про второй не знаю, первый - такой же "линукс" как и asa. Или даже меньше, поскольку он все же ng firewall, хоть и уродец, а значит сетевые драйверы линукса ему тоже без надобности. От линукса он не использует ровно ничего (потому что оно - г-но) кроме загружалки-запускалки бинарников. Ну не самим же еще и это писать, когда вон бесплатное взятьвзять, и неважно какое - на раз в два года загрузиться.  Вебморда у него ни разу не к линуксу, она _своим_ софтом управляет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

47. Сообщение от Аноним (25), 05-Фев-24, 19:47	+/–
> А мне надо в твоем дерьме копаться? Ну это уж как начальство прикажет. Прикажет копаться — будешь копаться. Прикажет полы мести — будешь мести. А вот выкидывать ты точно никого не будешь — не по чину тебе. Да и как ты меня, контратора, выкинешь? Когда я появляюсь весь в красивом, зарплатные дроны уныло идут на митинг, где им доносят простую мысль: либо делаете так, как скажет Уважаемый Контрактор За Большие Бабосы, либо обновляйте резюме. Я на таких гордых как ты за годы насмотрелся, но итог всегда один: тебе зарплатка важнее даже собственной гордости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #48

48. Сообщение от нах. (?), 05-Фев-24, 20:11	+/–
Легко выкину - принесу списочек про..долбов по вине твоего софта или твоей неадекватной реакции  аккуартненько собранный - и усьо, контракт не продлен, гуляй уасья, тут таких красивых еще трое в очереди стоят с голодными глазами, а тебя выбрали потому что ты просто был самый дешовый. Мне зарплатку-то именно за это и платят, не начальство ж будет мараться. И ты будешь не первый и даже не десятый так пошедший на...й. И твое г-нецо потом веничком соберут в совочек и отправят следом - за его самодеятельный ремонт - тоже ж не заплатят. У начальства, чтоб ты знал, премия зависит от числа отказов (а у меня, хихи, пока нет). Вот с местными "специалистами" по модным технологиям - сложнее. Потому как чем хуже у них технологии, тем лучше скил перекладывания ответственности на кого угодно кроме себя. Но это уже как раз начальство аккуратно сливает, потому что премия, ну и вообще я на неадекватов работать бы и не пришел, это ты ж за кусок хлеба лижешь сапоги любому заказчику (и да, это называется - проекция). Хуже что когда они уходят (и не всегда подоброму) это вот остается за ними навеки. И обслуживать некому, поэтому приходят ко мне (в обход начальства, кстати, которое не одобряет поддержку чужих проектов).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема