| |
| 2.3, dannyD (?), 00:11, 01/02/2024 [^] [^^] [^^^] [ответить]
| –6 +/– | |
не поверите:
её меньше долбают (проверяют) на ошибки и субъективно кажется что их нет, она надёжней и всё такое прочее.
| | |
| |
| 3.14, Аноним (14), 11:51, 01/02/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Собственно, а что именно в ней должно быть менее надёжно? OpenSSL, OpenSSH, nginx, apache которые те же самые?
| | |
|
| 2.5, anonymous (??), 00:45, 01/02/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Субъективно pf и ipfw имеют гораздо более понятный и человекочитаемый синтаксис в отличие от iptables. Впрочем, новомодный nft в Линуксе тоже неплох в этом плане.
Из объективного - фряшечные фаерволлы меньше ресурсов требуют на ту же ширину канала. На этом вроде всё, лет 20-30 назад фряшечные фаерволлы превосходили линуксовый примерно во всём. Сейчас линуксовые точно не хуже.
| | |
| |
| 3.15, User (??), 12:20, 01/02/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну, пока чего-нибудь сколько-нибудь сложного не попробуешь сделать - все хорошо, да. Плоская простыня со skipto на нескольких интерфейсах быстро начинает вымораживать даже создателя, а трафик флоу в случае ната и шейпинга прям не тривиален, поддержка протоколов, опять же... на тот же ftp (мир праху его) - эпичный костыль торчал.
С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип - во времена оны в однопоточку жОско упирался, а фрибыздышный в этом плане как бы не полностью расшит - но с "апстримом" основательно так разошелся уже лет не вспомню, сколько назад, что может вызывать изрядное жжение пониже спины.
КМК в простых случаях сильно лучше, что ip, что nf-tables, что даже ufw с firewalld, но все, что сколько-нибудь сложнее - "бегите, глупцы!!!"
| | |
| |
| 4.16, крокодил мимо.. (-), 16:05, 01/02/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип -
> во времена оны в однопоточку жОско упирался...
obsd's pf до сих пор однопоточный, но "упирается" он, как правило, не в CPU.. в 99% случаев причина затыка - прокладка меж стулом и монитором с клавиатурой..
c nft не работал плотно.. если сравнивать pf с iptables, то pf выигрывает из-за statefull inspection.. и, субъективно, с pf легче разбирать тэгированный траффик, vlan-ы и т.п..
| | |
| |
| 5.29, User (??), 09:05, 02/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип -
>> во времена оны в однопоточку жОско упирался...
> obsd's pf до сих пор однопоточный, но "упирается" он, как правило, не
> в CPU.. в 99% случаев причина затыка - прокладка меж стулом
> и монитором с клавиатурой..
Да хрен знает - на том археотеке на котором я его лет 10 назад последний раз щупал - с процом очень не очень было. Впрочем, на прямизну рук и тогда-то не претендовал ).
| | |
|
| 4.20, Аноним (20), 18:09, 01/02/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
nft новомодный упирается в производительность человеческого мозга, а так как он не для людей делался, то тут в обязательном порядке нужен какой-нибудь смузи-девопсо-хикикомори без личной жизни вообще, который будет этот линуксячий бред разгребать.
| | |
| |
| 5.25, Аноним (25), 21:19, 01/02/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да просто пишется обвяз, генерирующий правила nft из высокоуровневых абстракций. Задача уровня бакалавра CS. Обычно же хватает «стандартного» firewalld и изредка приходится самому программировать, но так или иначе уход от императивного плоского синтаксиса к декларативным структурам данных был правильным шагом в нужном направлении. Прокладка между приложением и железом должна быть во всех аспектах программируемой на высоком уровне, что в общем-то и происходит с Линуксом: сетевые неймспейсы, контейнеризация, eBPF, NFT, XDP, программируемый сторадж и так далее.
| | |
| |
| 6.32, нах. (?), 11:56, 02/02/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
и когда что-то идет не так - "бакалавр CS" разводит руками. Он бы в принципе и с обычным iptables руками развел и ушами похлопал, но с обычным вместо него нормальный админ бы разобрался довольно быстро.
А тут с десятком прослоек и прокладок нескучно во всех аспектах - плюнет и уйдет.
> был правильным шагом в нужном направлении
угу, запутать все до такой степени, что уже вообще никто не разберет что там нах..верчено.
Хорошее направление, нужное. Бакалаврам от CS, не умеющим ничего полезного.
А потом даже такую тривиальщину как пакетный фильтрик мы будем ставить на базе bsd, потому что там кривенько-убогонько но примитивные задачи решает и можно починить если сломается.
| | |
| |
| 7.42, Аноним (25), 18:47, 04/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
Что ж ты такой безрукий и безмозглый, чио у тебя всё постоянно само по себе ломается и починить не можешь? Ты точно профессией не ошибся? Ой-ой, бакалавр что-то накодил, а «умудрённый» «опытом» «системный» «администратор» не может в элементарном коде разобраться, ведь у него лапки.
| | |
| |
| 8.43, нах. (?), 22:08, 04/02/2024 [^] [^^] [^^^] [ответить] | –1 +/– | если твое г-но у другого человека ломается, стоит тебе отвернуться - вероятно пр... текст свёрнут, показать | | |
| |
| |
| 10.48, нах. (?), 20:11, 05/02/2024 [^] [^^] [^^^] [ответить] | +/– | Легко выкину - принесу списочек про долбов по вине твоего софта или твоей неаде... текст свёрнут, показать | | |
|
|
|
|
|
| 5.28, User (??), 08:28, 02/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
> nft новомодный упирается в производительность человеческого мозга, а так как он не
> для людей делался, то тут в обязательном порядке нужен какой-нибудь смузи-девопсо-хикикомори
> без личной жизни вообще, который будет этот линуксячий бред разгребать.
Да оссспыди, не будет его никто разбирать - вот что там нагенерируется каким доскером или там фуриволлды - то и будет, разбор\писево этого месива руками не предполагается...
| | |
| |
| 6.31, нах. (?), 11:51, 02/02/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
а когда оно навернется - как чинить будем? А, знаю - если ресет не помог, то надо переустановить, вот!
| | |
| |
| 7.33, User (??), 12:42, 02/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
> а когда оно навернется - как чинить будем? А, знаю - если
> ресет не помог, то надо переустановить, вот!
Ты знал! Ты знал! Т.е. для начала конечно попробуем перезагрузить, плейбук перенакатить - может вот фары протрем, по скатам попиннаем, двери откроем-закрозакроем - ну, ты знаешь, да? Если не поможет, то вот АКС соберем, по итогам совместного повторения вышеуказанных пунктов - на деревню вендору письмо напишем - но унутрь не полезем. Нууу... официально. Если Уасю или там Петю это все достаточно задолбает - он залезет и может даже починит - но официально конечно же не признается.
| | |
| |
| 8.37, Аноним (37), 20:16, 02/02/2024 [^] [^^] [^^^] [ответить] | +/– | Что, тоже с современными Фордами сталкивался там еще в одном из ритуалов оживле... текст свёрнут, показать | | |
| 8.38, нах. (?), 21:21, 02/02/2024 [^] [^^] [^^^] [ответить] | +/– | ну я вот уже не полезу А чо я, лысый что-ли Я блей-пук перенакатил, по колесу ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.13, beck (??), 08:41, 01/02/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Не лучше. Во фре меньше, скажем так, не относящегося к задаче, поэтому на фре легковеснее и проще в обслуживании.
| | |
| 2.17, нах. (?), 16:22, 01/02/2024 [^] [^^] [^^^] [ответить]
| –2 +/– | |
патамушта кто-то осилил запилить для нее вебмордочку monowall а на линукс только невменозный редхатовский cockpit.
В остальном они всем хуже, если надо что-то чуть сложнее совсем тривиального.
Хотя со времен впиндюривания нечеловекочитаемого nft уже, пожалуй, "оба хуже".
А бушная 5520 всего 5 тыщ ржублей между прочим.
| | |
| |
| 3.18, beck (??), 17:01, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Моновол вообще гениальная вещь. Она проста как две копейки и содержит всё необходимое. Я его частенько использовал.
А вот дальнейшие пф и опн сенсы стали слишком развесисты и фичасты. Иной раз всё это не нужно, а нет, давай конфигури, иначе не взлетит.
| | |
| |
| 4.19, нах. (?), 17:35, 01/02/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
зато у меня ее девляпсы воткнули в качестве - будешь ржать - dhcp server. Ну да, не ослышался - файрвол им не нужен и она вообще ничего не фильтрует. dhcp с пойнт-нд-клац интерфейсом.
Я не стал мешать.
| | |
| |
| 5.23, User (??), 18:20, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
Дык а что там с относительно вменяемыми альтернативами-то кроме вот майкрософта и майкрософта?
Пердолить голыми руками без сизов bind10 не предлагать)
| | |
| 5.27, beck (??), 08:04, 02/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Дык ведь та же задача. Чтобы клац клац и в продакшн.
Я как-то на monowall поднимал nat с пробросом из сети в сеть в Кении на одном проекте.
Приехал мигрировать сервера с отсюдова туда. А новые которые "туда" в другом сегменте. И выход в wan им недоступен. Пока сетевики пробрасывали концы, поднял на "старых" серверах виртуалки с моноволом и вот так завёл. Протестировали, щапустили, а там и сетевики подтянулись.
| | |
|
| 4.41, pfil (?), 18:15, 04/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
monowall шикарен тем, тем не менее....
Так как в нём используется ipfilter для фильтров, а ipfw только для NAT, нет, соответственно, таблиц и правил с ними не сделать.
Вообще, современный ipfw с именованными таблицами и возможностью record-state без check-state стал ещё интереснее.
Жаль, что нет встроенной возможности автоматически удалять IP из таблицы по таймауту. Приходится использовать внешний софт. Пожалуй, это единственная вещь из мира iptables, вызывающая некоторую зависть.
| | |
| |
| 5.44, нах. (?), 00:41, 05/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Так как в нём используется ipfilter для фильтров
ну увы, когда его писали - лучшего не было.
А сегодня... в общем, хрен его знает, но ту коробку вчера принесли на почту. Посмотрим что там с лицензией (на крайняк, конечно же, есть генератор). На мой век ее точно хватит.
| | |
|
|
| 3.26, Аноним (26), 07:13, 02/02/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>а на линукс только
Приятно видеть "профессионала" за работой. Sophos Firewall и Untangle на линуксе. И это те, про которые я хотя бы слышал.
| | |
| |
| 4.30, нах. (?), 09:18, 02/02/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Приятно видеть эксперта опеннета, который тщательно подсчитывает что там на линуксе из того что даже не увидит никогда.
Я тебе больше скажу - та самая коробка за пять тыщ бу (и я все же решил купить пока их раздают почти бесплатно - так, чисто поностальгировать, пользы от нее сегодня ноль) - тоже линукс, и на него неленивым и рукастым даже удавалось взглянуть изнутри... только вот от линукса там - драйверы сетевух. Поскольку для пакетного фильтра это, мягко говоря, неглавное. А дальше запускается огромный бинарник, который и делает всю магию. Без участия линуксного ведра, которое используется только как халявный загрузчик.
А то о чем мы тут - использует штатные средства операционной системы (которой linoops разумеется не является) и представляет собой просто удобные (не очень, но лучшего на халяву не найти) пользовательские интерфейсы к ним. А почему для вашей их нет - спроси у себя, ты ж эксперт.
| | |
| |
| 5.45, Аноним (26), 08:06, 05/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Я тебе больше скажу - та самая коробка за пять тыщ
Котроая нихрена не умеет и проигрывает по функциям какому-нибудь микротику за 2.000? Или ты где-то asa-x за пять косарей нашел? Не будем про "особенности" синтаксиса, применяемого в ASA...
Напомню (ты, похоже, забыл уже) - ты начал разговор с того, что сказал, что для линукса нет "вебмордочек" к файрволу. Те два примера, которые я привёл, - это что тогда?
| | |
| |
| 6.46, нах. (?), 09:14, 05/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Котроая нихрена не умеет
мнение эксперта опеннета очень неважно для нас.
Да, проигрывает - не становится внезапно attack relay, не образует неожиданного гейта в твою сеть с удобным набором для э... "пентестинга", и даже если вдруг случится страшное и васян попадет прямо в шелл - ничего не поймет и ничего не добьется - "синтаксис" вишь ли ни разу не похож на firewalldрянь. Но куда вероятней он попадет в шелл таки на некротик-за-2000.
А, ну да, ну да - еще ее разработчикам было незнакомо "етот ваш фетепе ниправильный и нимодный и работать через наше чюдо был и недолжен" - в те годы с таким подходом даже в уборщицы бы не взяли, а вот у афтырей pf палучилася.
Хе мне для дома без надобности, да и пользы от краденого хека ровно ноль.
> Напомню (ты, похоже, забыл уже) - ты начал разговор с того, что сказал, что для линукса нет
> "вебмордочек" к файрволу. Те два примера, которые я привёл, - это что тогда?
Про второй не знаю, первый - такой же "линукс" как и asa. Или даже меньше, поскольку он все же ng firewall, хоть и уродец, а значит сетевые драйверы линукса ему тоже без надобности. От линукса он не использует ровно ничего (потому что оно - г-но) кроме загружалки-запускалки бинарников. Ну не самим же еще и это писать, когда вон бесплатное взятьвзять, и неважно какое - на раз в два года загрузиться. Вебморда у него ни разу не к линуксу, она _своим_ софтом управляет.
| | |
|
|
|
|
|
| 1.7, _hide_ (ok), 01:34, 01/02/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Обновление пугающе долгое, если через WEB. Теперь есть по умолчанию Wireguard. Подхватил все конфиги и вроде все ОК
| | |
| 1.21, Mr.Who (?), 18:14, 01/02/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Если нужен pf, разумнее будет использовать OpenBSD. Благо поднять роутер на ней сможет даже человек далёкий от сетей, ибо гайдов и мануалов по этой теме вагон и маленькая тележка.
| | |
| 1.24, Аноним (24), 18:22, 01/02/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кривое обновление, которое ломает предыдущую установку. Только устанавливать за ново 24.1.
| | |
|
