1.1, Аноним (1), 11:25, 31/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Отличный проект! Удачи и развития ему. Долго думал перенести на него vpn кластер, да никак не могу отказаться от консоли, плюс вместо pf использую ipfw
| |
1.3, Аноним (3), 12:14, 31/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –16 +/– |
Слабый пакетный фильтр. Надо переходить на nftables. Во FreeBSD пакетный фильтр практически не развивается.
| |
|
2.4, Аноньимъ (ok), 13:05, 31/01/2021 [^] [^^] [^^^] [ответить]
| +12 +/– |
Слабый и недостаточно высокий. Другое дело nftables, сильный и круглый.
| |
|
3.6, Аноним (6), 14:00, 31/01/2021 [^] [^^] [^^^] [ответить]
| +5 +/– |
А мне нравится, когда фильтр красный и с лёгкими нотками кофе.
| |
|
4.8, Аноньимъ (ok), 14:29, 31/01/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
> А мне нравится, когда фильтр красный и с лёгкими нотками кофе.
Вот поэтому я ipfw использую.
| |
|
|
2.5, OpenEcho (?), 13:18, 31/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Если быть чуть более внимательней, то можно увидеть что nftables уж очень обезьяничает "Слабый пакетный фильтр" pf
| |
|
3.26, Аноним (-), 21:14, 06/02/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Вот ещё этого наркоманкой поделив не хватало.
Не пишите под веществами на форумы. Вместе с вашей наркоманкой.
| |
|
2.10, Ivan_83 (ok), 02:05, 01/02/2021 [^] [^^] [^^^] [ответить]
| +5 +/– |
Надо переходить к состоянию системы когда никакие фильтры и фаирволы не нужны в принципе.
Я не про открытую всем желающим систему, а про систему где by design фильтрация не требуется.
Все локальные сервисы генерируют ответы только с ttl=1 и они дальше роутера не улетают, а публичные достаточно надёжны чтобы не было необходимости как то ограничивать к ним доступ фаерволом.
Я это пишу потому, что у меня при политике "запретить всё кроме нужного" и при политике "разрешить всё кроме вот этого мусора" получаются довольно внушительные списки правил, и с годами они только увеличиваются.
Уже сейчас я понимаю что пора начать документировать правила, потому что я не помню нафига нужны все те порты что я разрешил, и что там у меня за подсети прописаны.
И это у меня дома.
В огранизациях ситуация должна быть ещё хуже, либо там одмин развёл помойку которая живёт своей жизнью и он реально ничего ни то что не контролирует но и не подозревает.
Что касается фаеров, у меня pf.
Функционал от ipfw отличается не так чтобы сильно.
Чего бы там в nftables не было, это всего лишь ещё один синтаксис для описания правил и не более того.
Развивать там нечего, сети за последние 20 лет не изменились принципиально.
| |
|
3.11, Аноньимъ (ok), 02:16, 01/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
Поддерживаю направление мысли.
Но тема сложная.
И корнями уходит в ip протокол и плохой дизайн многих сетевых приложений (вроде использования разных портов для данных и управления)
И сложно уже что-то с этим поделать сегодня.
| |
|
|
1.12, pofigist (?), 09:29, 01/02/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Вот интересно - опенсорс дозреет когда-нибуть до нормального фаервола а-ля Cisco ASA?
Идея - проста, незатейлива и вообще-то гениальна же...
| |
|
2.13, tonys (??), 10:05, 01/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не дозреет. Где есть деньги не проблема купить киску, а где нет денег нет и задач с которыми не справится opnsence и иже с ними.
| |
2.15, Ivan_83 (ok), 11:52, 01/02/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ещё бы знать что там такого особенно в вашей киске, чтобы это стоило потом тащить куда то ещё.
| |
|
3.16, наме (?), 12:51, 01/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
ей можно управлять при помощи аааайфооона. сам видел. (они пока еще не нашли на этом гаджете браузер, чтобы что-то, помимо UI asa, открывать)
| |
3.17, pofigist (?), 18:35, 01/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ну возьми GNS3 и посмотри - образы Cisco ASA для нее есть готовые. Благо это не MIPS, а старый добрый х86...
Кратко - в кошках есть:
1. Офигенная документация. Вот реально - лучшая.
2. Офигенно удобный язык управления. Простой, логичный и интуитивно понятный - для тех кто изучил конфигурируемый протокол.
3. Их сертификация - единственная из полезных. Ибо учат работать с сетью, а не с оборудованием.
4. Гадкий, глючный и дырявый веб-интерфейс, который можно и нужно отключить в первую очередь.
5. Одно из лучших соотношений цена/качество. Есть железо и дешевле, но г-но (например микротык), есть железо и лучше, но существенно дороже...
6 Конкретно ASA ещё интересна тем, что это NAT-device (не путать с недо-NAT-ом в мыльницах!) и соответственно целые классы атак, хорактерные для классических фаерволов, на ней не работают в принципе
| |
|
4.19, Аноним (19), 12:25, 03/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
>4. Гадкий, глючный и дырявый веб-интерфейс, который можно и нужно отключить в первую очередь.
Это не тот, которым рекомендуют пользоваться на официальных курсах по подготовке к пункту 3?
>2. Офигенно удобный язык управления. Простой, логичный и интуитивно понятный - для тех кто изучил конфигурируемый протокол.
Какая версия лучшая то? До того, как они её полностью поменяли или после?
| |
|
5.20, pofigist (?), 14:11, 03/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ну согласен - я смешал в одну кучу всех кошек, ASA, ISR, Catalist... Много их - факт.
ADSM - пользавать можно и нужно, та херня, что ставится на ISR-ы и каталисты - не нужна.
Старый язык управления асой - давно пора забыть, это тяжёлое наследство пиксов. Ты ещё вспомни изначальный язык управления каталистами...
| |
|
6.21, Аноним (19), 15:46, 03/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
>та херня, что ставится на ISR-ы и каталисты
Фублин! А вдруг я за едой это читаю?!
>Старый язык управления асой - давно пора забыть
Почти во всех мануалах по ASA есть настройки до и после 8.3
| |
|
7.22, pofigist (?), 19:31, 03/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
Кстати последние варианты уже гораздо лучше - не требуют жабы и ie5... И конфиги генерят не такие страшные...😁
Не ну серьезно - уже почти работают. Ещё лет 20... Хотя конечно это не отменит их ненужности.
Мне вот интересно - а вообще-то остались асы с 8.3, которые ещё не End of Life?
| |
|
|
|
4.23, Ivan_83 (ok), 08:34, 04/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
В том то и дело что я не хочу трогать кошатину, мажевельщину или прочие поделия.
1. В опенсорсе есть и документация и исходный код, для тяжёлых и не понятных случаев.
2. И этот ваш сектансткий язык никому за пределами не нужен и не понятен.
3. Учат может и работать с сетью, но опять же на своём сектанстком языке всё называют.
4. Те даже вебморду не осилили сделать? :)
5. Хз, в сортах и ценах каках не разбираюсь :)
6. NAT - давай досвидания, IPv6 уже тут, /64 на рыло каждому!
Опять же, эти все атаки - в основном в головах маркетологов, которые эту кашатину впаривают.
Я уже писал раньше - достаточно поставить ттл=1 на локальные сервисы и можно вообще больше ничего не фильтровать, а вы всё про чудонат впариваете.
Мокротики мне тоже не нравятся, если что, в основном своими адептами - фонатиками, превозносящими их до небес, впрочем тут от фонатов других вендоров отличий нет.
| |
|
5.24, pofigist (?), 11:20, 04/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
То есть ты не хочешь знать сети и уметь с ними работать. Твои проблемы, уволен! :)
1. Это было давно и неправда. На данный момент опенсоурсные продукты обычно не имеют приличной документации от слова совсем.
2. Этот язык - стандарт де факт в управлении сетевыми устройствами.
3. Еще раз - других нормальных языков управления и конфигурирования сетевых устройств просто нет. И быть не может.
4. Веб-морда - не нужна. Нормально написанный конфиг на нормальном языке - более понятен и нагляден.
5. То что ты не разбираешься в сетях - очевидно.
6. БЛИН!!!! Тебе ламеру сказали - не путай не недоNAT-ом из китайских мыльниц под линаксом!
> Я уже писал раньше - достаточно поставить ттл=1 на локальные сервисы и можно вообще больше ничего не фильтровать, а вы всё про чудонат впариваете.
Ламар - он и есть ламер. :) Твое решение местами работает только в плоской сети, которую используют только одиночный ларек, торгующей шавермой. Если это хотя бы два ларька - оно уже не работает! Более того - такая "защита" обходится на раз-два ибо защитой - не является.
Учи матчать! Сдай хотя бы CCNA чтоб не нести такую чущь.
| |
|
6.25, Ivan_83 (ok), 16:41, 06/02/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Так я не одмин, я со стороны вендоров, кто наваливает админам работы :)
1. Дело в том, что тот же PF за последние 10+ лет почти не изменился, документации там всякой простой навалом. Аналогичное другие опенсорсные фаеры.
2. Я про терминологию, у кошатников многие вещи называются своми словами, которые как минимум у других вендоров или имеют другой смысл или вещь называется по другому.
3. Понятно-понятно, у фонатов всегда так.
4. Вебморда нужна, потому что не все мутанты-кошатники обмазанные сертификатами. Я вот купил свич управляемый и клал я с прибором на вендора с его кли и прочим, я это даже за доплату знать не хочу.
Я хочу взять и настроить с гуя базовый функционал.
5. Да да, совсем-совсем не разбираюсь.
6. Божественный нат от кошки...ммм :) ну да, конечно.
У схемы с ттл=1 конечно есть свои недостатки, но как минимум в случае TCP вам всё равно потребуется искать прокси уже внутри сети, чтобы подключится, или ломать девайс который фаером и завставлять его проксировать или переписывать ттл.
Нет, мне ваши кошачьи знания даром не нужны, я не собирался и не собираюсь кошкам хвосты крутить за зарплату.
| |
|
7.27, pofigist (?), 14:53, 08/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
1. Это ты называешь документацией?! Это так - свалка заметок на манжетах, а не доки.
2. Нет дорогой, терминология кошки - стандартная для сетевых вещей. Это у линуксоидов с ней бардак.
3. То есть возразить - ничего не можешь. Понятно.
4. Веб-морда - не нужна, более того - она вредна. Ибо позволяет всяким неучам лазить в железо, а потом разбирайся что они там с QoS наворотили от полного непонимания как оно работает. Управлять сетью - это вам не код писать, тут ламерам не место.
5. Да не разбираешься. И это - очевидно.
6. То есть ты просто не знаешь что такое NAT, как он работает и для чего нужен и судишь о нем по его калечной реализации в китайских мыльницах под линаксом. Почитай доки для начала.
> У схемы с ттл=1 конечно есть свои недостатки
Самый главный из которых - она просто не работает. Скачай, сделай сеть, проверь и убедись сам - https://github.com/GNS3/gns3-gui/releases
> Нет, мне ваши кошачьи знания даром не нужны, я не собирался и не собираюсь кошкам хвосты крутить за зарплату.
Если ты не работаешь в ИТ - то да, не нужны.
| |
|
6.29, пох. (?), 15:23, 08/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
> 1. Это было давно и неправда. На данный момент опенсоурсные продукты обычно
никогда не было. Ты просто опоздал родиться и не застал истеричных воплей л@...нувыпонели разработчиков в адрес автора lartc. Что он все неправильно и непонял, и пусть перепишет и им с поклоном подаст.
Разумеется, сами они ничего не написали вообще.
> 2. Этот язык - стандарт де факт в управлении сетевыми устройствами.
какой, с-ка, из пяти?!
> 3. Еще раз - других нормальных языков управления и конфигурирования сетевых устройств
> просто нет. И быть не может.
мне почти нравился huawei. Правда, я ни разу не видел их фиревола - а он у них, меж тем, есть. И, кажется, ng. Не удивлюсь, если там совсем другой cli.
> 4. Веб-морда - не нужна. Нормально написанный конфиг на нормальном языке -
вебморда для другого нужна. Там была пара очень интересных графиков. Снимать которые внешней мониторилкой будет немного сложно.
Отдельно расскажи как собрался управлять каким-нибудь ssm20 без вебморды. У него вообще-то тоже есть cli, но такой, что лучше б его не было.
> Учи матчать! Сдай хотя бы CCNA чтоб не нести такую чущь.
и чем ему зазубренные на память маски от /2 до /31 помогут не нести чушь?
| |
|
7.30, pofigist (?), 16:03, 08/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
1. Ну скажем так - одно время коммерсы вообще забивали на документацию, а опенсоурсники - что-то писали.
2. Ты что считаетешь что коммутаторы и маршрутизаторы имеют разный язык? Про ХЕ - это просто развитие языка управления, следующая версия если хочешь. :) А так - они все настолько просты и схожи, что имхо не стоит того чтоб заморачиваться различиями. "Оригинальные" версии языков каталистов и пиксов - давай не будем поминать, ок?
3. Да он другой на уровне отличия pascal-modula-oberon, разница конечно есть, но если знаешь один - знаешь их все.
4. Мониторинг - ок. А вот то что фаерволами и прочими IDS/IPS без гуя управлять тяжело - факт. Но тут проблема немного в другом.
> и чем ему зазубренные на память маски от /2 до /31 помогут не нести чушь?
Зазубренные - ничем. А вот если он их начится быстро считать в уме - другое дело, не будет путаться на ровном месте. :)
| |
|
8.31, пох. (?), 21:56, 08/02/2021 [^] [^^] [^^^] [ответить] | +/– | мифы и легенды опеннета, том хз какой я считаю что ты в цисках практически не ш... текст свёрнут, показать | |
|
|
10.36, пох. (?), 14:46, 09/02/2021 [^] [^^] [^^^] [ответить] | +/– | я что-то не вижу ответа И да, на всякий случай, это серия switchfabric там в н... большой текст свёрнут, показать | |
|
|
8.32, пох. (?), 21:59, 08/02/2021 [^] [^^] [^^^] [ответить] | +/– | Не научится, не дают на ccna exam времени считать в уме Надо сразу помнить, ина... текст свёрнут, показать | |
|
|
10.35, пох. (?), 14:09, 09/02/2021 [^] [^^] [^^^] [ответить] | +/– | распределите адреса 179 12 192 0 на семь приблизительно равных подсетей, выбрав ... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
2.28, пох. (?), 15:16, 08/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Вот интересно - опенсорс дозреет когда-нибуть до нормального фаервола конца 90х годов прошлого
> века а-ля Cisco ASA?
поправил, не благодарите. К сожалению, он его уже перезрел - был у нас почти такой, в те самые поздние 90е, ipchains называлсо. Некоторых приятных мелочей не хватало, но в общем уже не особо страдали им пользуясь.
> Идея - проста, незатейлива и вообще-то гениальна же...
расскажите, почему генитальная идея старательно калечит соединения по https на высокие порты? Причем каким-то образом ухитряясь в него влезть без каких либо явных и неявных указаний это делать.
(то есть помогает только полиси с _явным_ запретом вообще любых fixup'ов - а это непросто и неудобно, потому что глобальная политика у нас только одна, и она может быть уже чем-то занята)
Я видел эту проблему в 2007м, с версией хорошо если не 6, я видел эту проблему в 2016м с версией 9, я уверен что увижу ее если где-то украду и самую распоследнюю версию.
Ну и точно ли "нормальна" простыня правил без иерархии и с permit задом-наперед ?
Я вот не могу даже сказать, от чего больше блевать тянет - от циски с ее простыней и dnat задом-наперед, или от недоделанных iptables, где чего ни хватишься, ничего не доделано и уже не будет.
Ну, понятно, то и другое - прошлый век. В циске сегодня моден firepower, у л@п4-тых (запрещенные на опеннете безграмотные истерички) какой-то вообще нечеловекочитаемый трэшак непонятно для чего и кого.
bsd как всегда позади планеты всей, застряв не в 90х а где-то в 80х, откуда родом их ужасный синтаксис и простыни без структуры (но смотри не перепутай порядок правил!) - во всех трех возможных вариантах.
| |
|
|