forum.opennet.ru - "Выпуск дистрибутива для создания межсетевых экранов OPNsense 24.1" (40)

"Выпуск дистрибутива для создания межсетевых экранов OPNsense 24.1"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск дистрибутива для создания межсетевых экранов OPNsense 24.1"	+/–
Сообщение от opennews (?), 31-Янв-24, 23:26
Сформирован релиз дистрибутива для создания межсетевых экранов OPNsense 24.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (443 МБ)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60532
Ответить \| Правка \| Cообщить модератору

Оглавление

а почему межсетевые экраны на FreeBSD лучше, чем на Linux , Швондик (?), 23:26 , 31-Янв-24, (1) +2

не поверите её меньше долбают проверяют на ошибки и субъективно кажется что их, dannyD (?), 00:11 , 01-Фев-24, (3) –6

Собственно, а что именно в ней должно быть менее надёжно OpenSSL, OpenSSH, ngin, Аноним (14), 11:51 , 01-Фев-24, (14) +2

а в ядре ничего нету , dannyD (?), 18:19 , 01-Фев-24, (22) –1

в ядре ничего нет расходимся, спим спокойно , dannyD (?), 18:41 , 02-Фев-24, (36)

Субъективно pf и ipfw имеют гораздо более понятный и человекочитаемый синтаксис , anonymous (??), 00:45 , 01-Фев-24, (5) +2

Ну, пока чего-нибудь сколько-нибудь сложного не попробуешь сделать - все хорошо,, User (??), 12:20 , 01-Фев-24, (15) +1

obsd s pf до сих пор однопоточный, но упирается он, как правило, не в CPU в , крокодил мимо.. (-), 16:05 , 01-Фев-24, (16) –2

Да хрен знает - на том археотеке на котором я его лет 10 назад последний раз щуп, User (??), 09:05 , 02-Фев-24, (29)

nft новомодный упирается в производительность человеческого мозга, а так как он , Аноним (20), 18:09 , 01-Фев-24, (20) +1

Да просто пишется обвяз, генерирующий правила nft из высокоуровневых абстракций , Аноним (25), 21:19 , 01-Фев-24, (25) –1

и когда что-то идет не так - бакалавр CS разводит руками Он бы в принципе и с, нах. (?), 11:56 , 02-Фев-24, (32) –1

Что ж ты такой безрукий и безмозглый, чио у тебя всё постоянно само по себе лома, Аноним (25), 18:47 , 04-Фев-24, (42)

если твое г-но у другого человека ломается, стоит тебе отвернуться - вероятно пр, нах. (?), 22:08 , 04-Фев-24, (43) –1

Ну это уж как начальство прикажет Прикажет копаться 8212 будешь копаться Пр, Аноним (25), 19:47 , 05-Фев-24, (47)

Легко выкину - принесу списочек про долбов по вине твоего софта или твоей неаде, нах. (?), 20:11 , 05-Фев-24, (48)

Да оссспыди, не будет его никто разбирать - вот что там нагенерируется каким дос, User (??), 08:28 , 02-Фев-24, (28)

а когда оно навернется - как чинить будем А, знаю - если ресет не помог, то над, нах. (?), 11:51 , 02-Фев-24, (31) –1

Ты знал Ты знал Т е для начала конечно попробуем перезагрузить, плейбук перен, User (??), 12:42 , 02-Фев-24, (33)

Что, тоже с современными Фордами сталкивался там еще в одном из ритуалов оживле, Аноним (37), 20:16 , 02-Фев-24, (37)
ну я вот уже не полезу А чо я, лысый что-ли Я блей-пук перенакатил, по колесу , нах. (?), 21:21 , 02-Фев-24, (38)

Не лучше Во фре меньше, скажем так, не относящегося к задаче, поэтому на фре , beck (??), 08:41 , 01-Фев-24, (13) +2
патамушта кто-то осилил запилить для нее вебмордочку monowall а на линукс только, нах. (?), 16:22 , 01-Фев-24, (17) –2

Моновол вообще гениальная вещь Она проста как две копейки и содержит всё необхо, beck (??), 17:01 , 01-Фев-24, (18)

зато у меня ее девляпсы воткнули в качестве - будешь ржать - dhcp server Ну да,, нах. (?), 17:35 , 01-Фев-24, (19) –1

Дык а что там с относительно вменяемыми альтернативами-то кроме вот майкрософта , User (??), 18:20 , 01-Фев-24, (23)
Дык ведь та же задача Чтобы клац клац и в продакшн Я как-то на monowall подним, beck (??), 08:04 , 02-Фев-24, (27)

monowall шикарен тем, тем не менее Так как в нём используется ipfilter для фи, pfil (?), 18:15 , 04-Фев-24, (41)

ну увы, когда его писали - лучшего не было А сегодня в общем, хрен его знает,, нах. (?), 00:41 , 05-Фев-24, (44)

Приятно видеть профессионала за работой Sophos Firewall и Untangle на линуксе, Аноним (26), 07:13 , 02-Фев-24, (26) –1

Приятно видеть эксперта опеннета, который тщательно подсчитывает что там на лину, нах. (?), 09:18 , 02-Фев-24, (30) +1

Котроая нихрена не умеет и проигрывает по функциям какому-нибудь микротику за 2 , Аноним (26), 08:06 , 05-Фев-24, (45)

мнение эксперта опеннета очень неважно для нас Да, проигрывает - не становится в, нах. (?), 09:14 , 05-Фев-24, (46)

Обновление пугающе долгое, если через WEB Теперь есть по умолчанию Wireguard П, _hide_ (ok), 01:34 , 01-Фев-24, (7) +1
Если нужен pf, разумнее будет использовать OpenBSD Благо поднять роутер на ней , Mr.Who (?), 18:14 , 01-Фев-24, (21) –2
Кривое обновление, которое ломает предыдущую установку Только устанавливать за , Аноним (24), 18:22 , 01-Фев-24, (24)

Отнюдь Недотерпел Оно там долго обновляет , Аноним (20), 12:43 , 02-Фев-24, (34)
Le classique, aname (?), 14:36 , 02-Фев-24, (35)

Есть ли у него дистрибутивы для ARM , Аноним (39), 19:26 , 03-Фев-24, (39)

https forum opnsense org index php topic 22262 15 я уже видел , Аноним (39), 19:54 , 03-Фев-24, (40)

Сообщения [Сортировка по времени | RSS]

1. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +2 +/–

Сообщение от Швондик (?), 31-Янв-24, 23:26

а почему межсетевые экраны на FreeBSD лучше, чем на Linux?

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –6 +/–

Сообщение от dannyD (?), 01-Фев-24, 00:11

не поверите:
её меньше долбают (проверяют) на ошибки и субъективно кажется что их нет, она надёжней и всё такое прочее.

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +2 +/–

Сообщение от Аноним (14), 01-Фев-24, 11:51

Собственно, а что именно в ней должно быть менее надёжно? OpenSSL, OpenSSH, nginx, apache которые те же самые?

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –1 +/–

Сообщение от dannyD (?), 01-Фев-24, 18:19

а в ядре ничего нету?

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от dannyD (?), 02-Фев-24, 18:41

в ядре ничего нет.
расходимся, спим спокойно.

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +2 +/–

Сообщение от anonymous (??), 01-Фев-24, 00:45

Субъективно pf и ipfw имеют гораздо более понятный и человекочитаемый синтаксис в отличие от iptables. Впрочем, новомодный nft в Линуксе тоже неплох в этом плане.
Из объективного - фряшечные фаерволлы меньше ресурсов требуют на ту же ширину канала. На этом вроде всё, лет 20-30 назад фряшечные фаерволлы превосходили линуксовый примерно во всём. Сейчас линуксовые точно не хуже.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

15. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +1 +/–

Сообщение от User (??), 01-Фев-24, 12:20

Ну, пока чего-нибудь сколько-нибудь сложного не попробуешь сделать - все хорошо, да. Плоская простыня со skipto на нескольких интерфейсах быстро начинает вымораживать даже создателя, а трафик флоу в случае ната и шейпинга прям не тривиален, поддержка протоколов, опять же... на тот же ftp (мир праху его) - эпичный костыль торчал.
С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип - во времена оны в однопоточку жОско упирался, а фрибыздышный в этом плане как бы не полностью расшит - но с "апстримом" основательно так разошелся уже лет не вспомню, сколько назад, что может вызывать изрядное жжение пониже спины.
КМК в простых случаях сильно лучше, что ip, что nf-tables, что даже ufw с firewalld, но все, что сколько-нибудь сложнее - "бегите, глупцы!!!"

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –2 +/–

Сообщение от крокодил мимо.. (-), 01-Фев-24, 16:05

> С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип -
> во времена оны в однопоточку жОско упирался...
obsd's pf до сих пор однопоточный, но "упирается" он, как правило, не в CPU.. в 99% случаев причина затыка - прокладка меж стулом и монитором с клавиатурой..
c nft не работал плотно.. если сравнивать pf с iptables, то pf выигрывает из-за statefull inspection.. и, субъективно, с pf легче разбирать тэгированный траффик, vlan-ы и т.п..

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от User (??), 02-Фев-24, 09:05

>> С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип -
>> во времена оны в однопоточку жОско упирался...
> obsd's pf до сих пор однопоточный, но "упирается" он, как правило, не
> в CPU.. в 99% случаев причина затыка - прокладка меж стулом
> и монитором с клавиатурой..
Да хрен знает - на том археотеке на котором я его лет 10 назад последний раз щупал - с процом очень не очень было. Впрочем, на прямизну рук и тогда-то не претендовал ).

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +1 +/–

Сообщение от Аноним (20), 01-Фев-24, 18:09

nft новомодный упирается в производительность человеческого мозга, а так как он не для людей делался, то тут в обязательном порядке нужен какой-нибудь смузи-девопсо-хикикомори без личной жизни вообще, который будет этот линуксячий бред разгребать.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

25. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –1 +/–

Сообщение от Аноним (25), 01-Фев-24, 21:19

Да просто пишется обвяз, генерирующий правила nft из высокоуровневых абстракций. Задача уровня бакалавра CS. Обычно же хватает «стандартного» firewalld и изредка приходится самому программировать, но так или иначе уход от императивного плоского синтаксиса к декларативным структурам данных был правильным шагом в нужном направлении. Прокладка между приложением и железом должна быть во всех аспектах программируемой на высоком уровне, что в общем-то и происходит с Линуксом: сетевые неймспейсы, контейнеризация, eBPF, NFT, XDP, программируемый сторадж и так далее.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –1 +/–

Сообщение от нах. (?), 02-Фев-24, 11:56

и когда что-то идет не так - "бакалавр CS" разводит руками. Он бы в принципе и с обычным iptables руками развел и ушами похлопал, но с обычным вместо него нормальный админ бы разобрался довольно быстро.
А тут с десятком прослоек и прокладок нескучно во всех аспектах - плюнет и уйдет.
> был правильным шагом в нужном направлении
угу, запутать все до такой степени, что уже вообще никто не разберет что там нах..верчено.
Хорошее направление, нужное. Бакалаврам от CS, не умеющим ничего полезного.
А потом даже такую тривиальщину как пакетный фильтрик мы будем ставить на базе bsd, потому что там кривенько-убогонько но примитивные задачи решает и можно починить если сломается.

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от Аноним (25), 04-Фев-24, 18:47

Что ж ты такой безрукий и безмозглый, чио у тебя всё постоянно само по себе ломается и починить не можешь? Ты точно профессией не ошибся? Ой-ой, бакалавр что-то накодил, а «умудрённый» «опытом» «системный» «администратор» не может в элементарном коде разобраться, ведь у него лапки.

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –1 +/–

Сообщение от нах. (?), 04-Фев-24, 22:08

> Что ж ты такой безрукий и безмозглый, чио у тебя всё постоянно
> само по себе ломается и починить не можешь? Ты точно профессией
если твое г-но у другого человека ломается, стоит тебе отвернуться - вероятно профессией ошибся именно ты.
> не ошибся? Ой-ой, бакалавр что-то накодил, а «умудрённый» «опытом»
> «системный» «администратор» не может в элементарном коде разобраться,
А мне надо в твоем дерьме копаться?
Я его просто выкину следом за тобой.

Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от Аноним (25), 05-Фев-24, 19:47

> А мне надо в твоем дерьме копаться?
Ну это уж как начальство прикажет. Прикажет копаться — будешь копаться. Прикажет полы мести — будешь мести. А вот выкидывать ты точно никого не будешь — не по чину тебе. Да и как ты меня, контратора, выкинешь? Когда я появляюсь весь в красивом, зарплатные дроны уныло идут на митинг, где им доносят простую мысль: либо делаете так, как скажет Уважаемый Контрактор За Большие Бабосы, либо обновляйте резюме. Я на таких гордых как ты за годы насмотрелся, но итог всегда один: тебе зарплатка важнее даже собственной гордости.

Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от нах. (?), 05-Фев-24, 20:11

Легко выкину - принесу списочек про..долбов по вине твоего софта или твоей неадекватной реакции  аккуартненько собранный - и усьо, контракт не продлен, гуляй уасья, тут таких красивых еще трое в очереди стоят с голодными глазами, а тебя выбрали потому что ты просто был самый дешовый.
Мне зарплатку-то именно за это и платят, не начальство ж будет мараться.
И ты будешь не первый и даже не десятый так пошедший на...й. И твое г-нецо потом веничком соберут в совочек и отправят следом - за его самодеятельный ремонт - тоже ж не заплатят.
У начальства, чтоб ты знал, премия зависит от числа отказов (а у меня, хихи, пока нет).
Вот с местными "специалистами" по модным технологиям - сложнее. Потому как чем хуже у них технологии, тем лучше скил перекладывания ответственности на кого угодно кроме себя. Но это уже как раз начальство аккуратно сливает, потому что премия, ну и вообще я на неадекватов работать бы и не пришел, это ты ж за кусок хлеба лижешь сапоги любому заказчику (и да, это называется - проекция). Хуже что когда они уходят (и не всегда подоброму) это вот остается за ними навеки. И обслуживать некому, поэтому приходят ко мне (в обход начальства, кстати, которое не одобряет поддержку чужих проектов).

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от User (??), 02-Фев-24, 08:28

> nft новомодный упирается в производительность человеческого мозга, а так как он не
> для людей делался, то тут в обязательном порядке нужен какой-нибудь смузи-девопсо-хикикомори
> без личной жизни вообще, который будет этот линуксячий бред разгребать.
Да оссспыди, не будет его никто разбирать - вот что там нагенерируется каким доскером или там фуриволлды - то и будет, разбор\писево этого месива руками не предполагается...

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

31. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –1 +/–

Сообщение от нах. (?), 02-Фев-24, 11:51

а когда оно навернется - как чинить будем? А, знаю - если ресет не помог, то надо переустановить, вот!

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от User (??), 02-Фев-24, 12:42

> а когда оно навернется - как чинить будем? А, знаю - если
> ресет не помог, то надо переустановить, вот!
Ты знал! Ты знал! Т.е. для начала конечно попробуем перезагрузить, плейбук перенакатить - может вот фары протрем, по скатам попиннаем, двери откроем-закрозакроем - ну, ты знаешь, да? Если не поможет, то вот АКС соберем, по итогам совместного повторения вышеуказанных пунктов - на деревню вендору письмо напишем - но унутрь не полезем. Нууу... официально. Если Уасю или там Петю это все достаточно задолбает - он залезет и может даже починит - но официально конечно же не признается.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от Аноним (37), 02-Фев-24, 20:16

> двери откроем-закрозакроем
Что, тоже с современными Фордами сталкивался (там еще в одном из ритуалов оживления бибики ручник, который тоже уже "на датчиках", а не механике - пару раз "поствить-снять" нужно)?

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от нах. (?), 02-Фев-24, 21:21

ну я вот уже не полезу. А чо я, лысый что-ли? Я блей-пук перенакатил, по колесу постучал, капот опломбирован, ручник вкл-выкл сделал, даже дважды, ниедет. Могу из соплей и клея сбоку замену пока приколхозить, но это - пока могу. Еще несколько лет в том же духе - и даже это станет нереально (или настолько мерзко что браться не стану)

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

13. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +2 +/–

Сообщение от beck (??), 01-Фев-24, 08:41

Не лучше. Во фре меньше,  скажем так,  не относящегося к задаче, поэтому на фре легковеснее и проще в обслуживании.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

17. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –2 +/–

Сообщение от нах. (?), 01-Фев-24, 16:22

патамушта кто-то осилил запилить для нее вебмордочку monowall а на линукс только невменозный редхатовский cockpit.
В остальном они всем хуже, если надо что-то чуть сложнее совсем тривиального.
Хотя со времен впиндюривания нечеловекочитаемого nft уже, пожалуй, "оба хуже".
А бушная 5520 всего 5 тыщ ржублей между прочим.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от beck (??), 01-Фев-24, 17:01

Моновол вообще гениальная вещь. Она проста как две копейки и содержит всё необходимое. Я его частенько использовал.
А вот дальнейшие пф и опн сенсы стали слишком развесисты и фичасты. Иной раз всё это не нужно,  а нет, давай конфигури, иначе не взлетит.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –1 +/–

Сообщение от нах. (?), 01-Фев-24, 17:35

зато у меня ее девляпсы воткнули в качестве - будешь ржать - dhcp server. Ну да, не ослышался - файрвол им не нужен и она вообще ничего не фильтрует. dhcp с пойнт-нд-клац интерфейсом.
Я не стал мешать.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от User (??), 01-Фев-24, 18:20

Дык а что там с относительно вменяемыми альтернативами-то кроме вот майкрософта и майкрософта?
Пердолить голыми руками без сизов bind10 не предлагать)

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от beck (??), 02-Фев-24, 08:04

Дык ведь та же задача.  Чтобы клац клац и в продакшн.
Я как-то на monowall поднимал nat с пробросом из сети в сеть в Кении на одном проекте.
Приехал мигрировать сервера с отсюдова туда. А новые которые "туда" в другом сегменте. И выход в wan им недоступен. Пока сетевики пробрасывали концы, поднял на "старых" серверах виртуалки с моноволом и вот так завёл. Протестировали, щапустили, а там и сетевики подтянулись.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

41. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от pfil (?), 04-Фев-24, 18:15

monowall шикарен тем, тем не менее....
Так как в нём используется ipfilter для фильтров, а ipfw только для NAT, нет, соответственно, таблиц и правил с ними не сделать.
Вообще, современный ipfw с именованными таблицами и возможностью record-state без check-state стал ещё интереснее.
Жаль, что нет встроенной возможности автоматически удалять IP из таблицы по таймауту. Приходится использовать внешний софт. Пожалуй, это единственная вещь из мира iptables, вызывающая некоторую зависть.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

44. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от нах. (?), 05-Фев-24, 00:41

> Так как в нём используется ipfilter для фильтров
ну увы, когда его писали - лучшего не было.
А сегодня... в общем, хрен его знает, но ту коробку вчера принесли на почту. Посмотрим что там с лицензией (на крайняк, конечно же, есть генератор). На мой век ее точно хватит.

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –1 +/–

Сообщение от Аноним (26), 02-Фев-24, 07:13

>а на линукс только
Приятно видеть "профессионала" за работой. Sophos Firewall и Untangle на линуксе. И это те, про которые я хотя бы слышал.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

30. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +1 +/–

Сообщение от нах. (?), 02-Фев-24, 09:18

Приятно видеть эксперта опеннета, который тщательно подсчитывает что там на линуксе из того что даже не увидит никогда.
Я тебе больше скажу - та самая коробка за пять тыщ бу (и я все же решил купить пока их раздают почти бесплатно - так, чисто поностальгировать, пользы от нее сегодня ноль) - тоже линукс, и на него неленивым и рукастым даже удавалось взглянуть изнутри... только вот от линукса там - драйверы сетевух. Поскольку для пакетного фильтра это, мягко говоря, неглавное. А дальше запускается огромный бинарник, который и делает всю магию. Без участия линуксного ведра, которое используется только как халявный загрузчик.
А то о чем мы тут - использует штатные средства операционной системы (которой linoops разумеется не является) и представляет собой просто удобные (не очень, но лучшего на халяву не найти) пользовательские интерфейсы к ним. А почему для вашей их нет - спроси у себя, ты ж эксперт.

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от Аноним (26), 05-Фев-24, 08:06

>Я тебе больше скажу - та самая коробка за пять тыщ
Котроая нихрена не умеет и проигрывает по функциям какому-нибудь микротику за 2.000? Или ты где-то asa-x за пять косарей нашел? Не будем про "особенности" синтаксиса, применяемого в ASA...
Напомню (ты, похоже, забыл уже) - ты начал разговор с того, что сказал, что для линукса нет "вебмордочек" к файрволу. Те два примера, которые я привёл, - это что тогда?

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от нах. (?), 05-Фев-24, 09:14

> Котроая нихрена не умеет
мнение эксперта опеннета очень неважно для нас.
Да, проигрывает - не становится внезапно attack relay, не образует неожиданного гейта в твою сеть с  удобным набором для э... "пентестинга", и даже если вдруг случится страшное и васян попадет прямо в шелл - ничего не поймет и ничего не добьется - "синтаксис" вишь ли ни разу не похож на firewalldрянь. Но куда вероятней он попадет в шелл таки на некротик-за-2000.
А, ну да, ну да - еще ее разработчикам было незнакомо "етот ваш фетепе ниправильный и нимодный и работать через наше чюдо был и недолжен" - в те годы с таким подходом даже в уборщицы бы не взяли, а вот у афтырей pf палучилася.
Хе мне для дома без надобности, да и пользы от краденого хека ровно ноль.
> Напомню (ты, похоже, забыл уже) - ты начал разговор с того, что сказал, что для линукса нет
> "вебмордочек" к файрволу. Те два примера, которые я привёл, - это что тогда?
Про второй не знаю, первый - такой же "линукс" как и asa. Или даже меньше, поскольку он все же ng firewall, хоть и уродец, а значит сетевые драйверы линукса ему тоже без надобности. От линукса он не использует ровно ничего (потому что оно - г-но) кроме загружалки-запускалки бинарников. Ну не самим же еще и это писать, когда вон бесплатное взятьвзять, и неважно какое - на раз в два года загрузиться.  Вебморда у него ни разу не к линуксу, она _своим_ софтом управляет.

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +1 +/–

Сообщение от _hide_ (ok), 01-Фев-24, 01:34

Обновление пугающе долгое, если через WEB. Теперь есть по умолчанию Wireguard. Подхватил все конфиги и вроде все ОК

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." –2 +/–

Сообщение от Mr.Who (?), 01-Фев-24, 18:14

Если нужен pf, разумнее будет использовать OpenBSD. Благо поднять роутер на ней сможет даже человек далёкий от сетей, ибо гайдов и мануалов по этой теме вагон и маленькая тележка.

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от Аноним (24), 01-Фев-24, 18:22

Кривое обновление, которое ломает предыдущую установку. Только устанавливать за ново 24.1.

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от Аноним (20), 02-Фев-24, 12:43

Отнюдь!
Недотерпел? Оно там долго обновляет.

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от aname (?), 02-Фев-24, 14:36

Le classique

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

39. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от Аноним (39), 03-Фев-24, 19:26

Есть ли у него дистрибутивы для ARM?

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..." +/–

Сообщение от Аноним (39), 03-Фев-24, 19:54

https://forum.opnsense.org/index.php?topic=22262.15 я уже видел.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+2 +/–
Сообщение от Швондик (?), 31-Янв-24, 23:26
а почему межсетевые экраны на FreeBSD лучше, чем на Linux?
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	–6 +/–
	Сообщение от dannyD (?), 01-Фев-24, 00:11
	не поверите: её меньше долбают (проверяют) на ошибки и субъективно кажется что их нет, она надёжней и всё такое прочее.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+2 +/–
	Сообщение от Аноним (14), 01-Фев-24, 11:51
	Собственно, а что именно в ней должно быть менее надёжно? OpenSSL, OpenSSH, nginx, apache которые те же самые?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	–1 +/–
	Сообщение от dannyD (?), 01-Фев-24, 18:19
	а в ядре ничего нету?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от dannyD (?), 02-Фев-24, 18:41
	в ядре ничего нет. расходимся, спим спокойно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+2 +/–
	Сообщение от anonymous (??), 01-Фев-24, 00:45
	Субъективно pf и ipfw имеют гораздо более понятный и человекочитаемый синтаксис в отличие от iptables. Впрочем, новомодный nft в Линуксе тоже неплох в этом плане. Из объективного - фряшечные фаерволлы меньше ресурсов требуют на ту же ширину канала. На этом вроде всё, лет 20-30 назад фряшечные фаерволлы превосходили линуксовый примерно во всём. Сейчас линуксовые точно не хуже.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	15. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+1 +/–
	Сообщение от User (??), 01-Фев-24, 12:20
	Ну, пока чего-нибудь сколько-нибудь сложного не попробуешь сделать - все хорошо, да. Плоская простыня со skipto на нескольких интерфейсах быстро начинает вымораживать даже создателя, а трафик флоу в случае ната и шейпинга прям не тривиален, поддержка протоколов, опять же... на тот же ftp (мир праху его) - эпичный костыль торчал. С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип - во времена оны в однопоточку жОско упирался, а фрибыздышный в этом плане как бы не полностью расшит - но с "апстримом" основательно так разошелся уже лет не вспомню, сколько назад, что может вызывать изрядное жжение пониже спины. КМК в простых случаях сильно лучше, что ip, что nf-tables, что даже ufw с firewalld, но все, что сколько-нибудь сложнее - "бегите, глупцы!!!"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	–2 +/–
	Сообщение от крокодил мимо.. (-), 01-Фев-24, 16:05
	> С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип - > во времена оны в однопоточку жОско упирался... obsd's pf до сих пор однопоточный, но "упирается" он, как правило, не в CPU.. в 99% случаев причина затыка - прокладка меж стулом и монитором с клавиатурой.. c nft не работал плотно.. если сравнивать pf с iptables, то pf выигрывает из-за statefull inspection.. и, субъективно, с pf легче разбирать тэгированный траффик, vlan-ы и т.п..
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от User (??), 02-Фев-24, 09:05
	>> С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип - >> во времена оны в однопоточку жОско упирался... > obsd's pf до сих пор однопоточный, но "упирается" он, как правило, не > в CPU.. в 99% случаев причина затыка - прокладка меж стулом > и монитором с клавиатурой.. Да хрен знает - на том археотеке на котором я его лет 10 назад последний раз щупал - с процом очень не очень было. Впрочем, на прямизну рук и тогда-то не претендовал ).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+1 +/–
	Сообщение от Аноним (20), 01-Фев-24, 18:09
	nft новомодный упирается в производительность человеческого мозга, а так как он не для людей делался, то тут в обязательном порядке нужен какой-нибудь смузи-девопсо-хикикомори без личной жизни вообще, который будет этот линуксячий бред разгребать.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	25. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	–1 +/–
	Сообщение от Аноним (25), 01-Фев-24, 21:19
	Да просто пишется обвяз, генерирующий правила nft из высокоуровневых абстракций. Задача уровня бакалавра CS. Обычно же хватает «стандартного» firewalld и изредка приходится самому программировать, но так или иначе уход от императивного плоского синтаксиса к декларативным структурам данных был правильным шагом в нужном направлении. Прокладка между приложением и железом должна быть во всех аспектах программируемой на высоком уровне, что в общем-то и происходит с Линуксом: сетевые неймспейсы, контейнеризация, eBPF, NFT, XDP, программируемый сторадж и так далее.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	–1 +/–
	Сообщение от нах. (?), 02-Фев-24, 11:56
	и когда что-то идет не так - "бакалавр CS" разводит руками. Он бы в принципе и с обычным iptables руками развел и ушами похлопал, но с обычным вместо него нормальный админ бы разобрался довольно быстро. А тут с десятком прослоек и прокладок нескучно во всех аспектах - плюнет и уйдет. > был правильным шагом в нужном направлении угу, запутать все до такой степени, что уже вообще никто не разберет что там нах..верчено. Хорошее направление, нужное. Бакалаврам от CS, не умеющим ничего полезного. А потом даже такую тривиальщину как пакетный фильтрик мы будем ставить на базе bsd, потому что там кривенько-убогонько но примитивные задачи решает и можно починить если сломается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от Аноним (25), 04-Фев-24, 18:47
	Что ж ты такой безрукий и безмозглый, чио у тебя всё постоянно само по себе ломается и починить не можешь? Ты точно профессией не ошибся? Ой-ой, бакалавр что-то накодил, а «умудрённый» «опытом» «системный» «администратор» не может в элементарном коде разобраться, ведь у него лапки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	–1 +/–
	Сообщение от нах. (?), 04-Фев-24, 22:08
	> Что ж ты такой безрукий и безмозглый, чио у тебя всё постоянно > само по себе ломается и починить не можешь? Ты точно профессией если твое г-но у другого человека ломается, стоит тебе отвернуться - вероятно профессией ошибся именно ты. > не ошибся? Ой-ой, бакалавр что-то накодил, а «умудрённый» «опытом» > «системный» «администратор» не может в элементарном коде разобраться, А мне надо в твоем дерьме копаться? Я его просто выкину следом за тобой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от Аноним (25), 05-Фев-24, 19:47
	> А мне надо в твоем дерьме копаться? Ну это уж как начальство прикажет. Прикажет копаться — будешь копаться. Прикажет полы мести — будешь мести. А вот выкидывать ты точно никого не будешь — не по чину тебе. Да и как ты меня, контратора, выкинешь? Когда я появляюсь весь в красивом, зарплатные дроны уныло идут на митинг, где им доносят простую мысль: либо делаете так, как скажет Уважаемый Контрактор За Большие Бабосы, либо обновляйте резюме. Я на таких гордых как ты за годы насмотрелся, но итог всегда один: тебе зарплатка важнее даже собственной гордости.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от нах. (?), 05-Фев-24, 20:11
	Легко выкину - принесу списочек про..долбов по вине твоего софта или твоей неадекватной реакции аккуартненько собранный - и усьо, контракт не продлен, гуляй уасья, тут таких красивых еще трое в очереди стоят с голодными глазами, а тебя выбрали потому что ты просто был самый дешовый. Мне зарплатку-то именно за это и платят, не начальство ж будет мараться. И ты будешь не первый и даже не десятый так пошедший на...й. И твое г-нецо потом веничком соберут в совочек и отправят следом - за его самодеятельный ремонт - тоже ж не заплатят. У начальства, чтоб ты знал, премия зависит от числа отказов (а у меня, хихи, пока нет). Вот с местными "специалистами" по модным технологиям - сложнее. Потому как чем хуже у них технологии, тем лучше скил перекладывания ответственности на кого угодно кроме себя. Но это уже как раз начальство аккуратно сливает, потому что премия, ну и вообще я на неадекватов работать бы и не пришел, это ты ж за кусок хлеба лижешь сапоги любому заказчику (и да, это называется - проекция). Хуже что когда они уходят (и не всегда подоброму) это вот остается за ними навеки. И обслуживать некому, поэтому приходят ко мне (в обход начальства, кстати, которое не одобряет поддержку чужих проектов).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от User (??), 02-Фев-24, 08:28
	> nft новомодный упирается в производительность человеческого мозга, а так как он не > для людей делался, то тут в обязательном порядке нужен какой-нибудь смузи-девопсо-хикикомори > без личной жизни вообще, который будет этот линуксячий бред разгребать. Да оссспыди, не будет его никто разбирать - вот что там нагенерируется каким доскером или там фуриволлды - то и будет, разбор\писево этого месива руками не предполагается...
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	31. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	–1 +/–
	Сообщение от нах. (?), 02-Фев-24, 11:51
	а когда оно навернется - как чинить будем? А, знаю - если ресет не помог, то надо переустановить, вот!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от User (??), 02-Фев-24, 12:42
	> а когда оно навернется - как чинить будем? А, знаю - если > ресет не помог, то надо переустановить, вот! Ты знал! Ты знал! Т.е. для начала конечно попробуем перезагрузить, плейбук перенакатить - может вот фары протрем, по скатам попиннаем, двери откроем-закрозакроем - ну, ты знаешь, да? Если не поможет, то вот АКС соберем, по итогам совместного повторения вышеуказанных пунктов - на деревню вендору письмо напишем - но унутрь не полезем. Нууу... официально. Если Уасю или там Петю это все достаточно задолбает - он залезет и может даже починит - но официально конечно же не признается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от Аноним (37), 02-Фев-24, 20:16
	> двери откроем-закрозакроем Что, тоже с современными Фордами сталкивался (там еще в одном из ритуалов оживления бибики ручник, который тоже уже "на датчиках", а не механике - пару раз "поствить-снять" нужно)?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от нах. (?), 02-Фев-24, 21:21
	ну я вот уже не полезу. А чо я, лысый что-ли? Я блей-пук перенакатил, по колесу постучал, капот опломбирован, ручник вкл-выкл сделал, даже дважды, ниедет. Могу из соплей и клея сбоку замену пока приколхозить, но это - пока могу. Еще несколько лет в том же духе - и даже это станет нереально (или настолько мерзко что браться не стану)
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	13. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+2 +/–
	Сообщение от beck (??), 01-Фев-24, 08:41
	Не лучше. Во фре меньше, скажем так, не относящегося к задаче, поэтому на фре легковеснее и проще в обслуживании.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	17. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	–2 +/–
	Сообщение от нах. (?), 01-Фев-24, 16:22
	патамушта кто-то осилил запилить для нее вебмордочку monowall а на линукс только невменозный редхатовский cockpit. В остальном они всем хуже, если надо что-то чуть сложнее совсем тривиального. Хотя со времен впиндюривания нечеловекочитаемого nft уже, пожалуй, "оба хуже". А бушная 5520 всего 5 тыщ ржублей между прочим.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	18. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от beck (??), 01-Фев-24, 17:01
	Моновол вообще гениальная вещь. Она проста как две копейки и содержит всё необходимое. Я его частенько использовал. А вот дальнейшие пф и опн сенсы стали слишком развесисты и фичасты. Иной раз всё это не нужно, а нет, давай конфигури, иначе не взлетит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	–1 +/–
	Сообщение от нах. (?), 01-Фев-24, 17:35
	зато у меня ее девляпсы воткнули в качестве - будешь ржать - dhcp server. Ну да, не ослышался - файрвол им не нужен и она вообще ничего не фильтрует. dhcp с пойнт-нд-клац интерфейсом. Я не стал мешать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от User (??), 01-Фев-24, 18:20
	Дык а что там с относительно вменяемыми альтернативами-то кроме вот майкрософта и майкрософта? Пердолить голыми руками без сизов bind10 не предлагать)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от beck (??), 02-Фев-24, 08:04
	Дык ведь та же задача. Чтобы клац клац и в продакшн. Я как-то на monowall поднимал nat с пробросом из сети в сеть в Кении на одном проекте. Приехал мигрировать сервера с отсюдова туда. А новые которые "туда" в другом сегменте. И выход в wan им недоступен. Пока сетевики пробрасывали концы, поднял на "старых" серверах виртуалки с моноволом и вот так завёл. Протестировали, щапустили, а там и сетевики подтянулись.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	41. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от pfil (?), 04-Фев-24, 18:15
	monowall шикарен тем, тем не менее.... Так как в нём используется ipfilter для фильтров, а ipfw только для NAT, нет, соответственно, таблиц и правил с ними не сделать. Вообще, современный ipfw с именованными таблицами и возможностью record-state без check-state стал ещё интереснее. Жаль, что нет встроенной возможности автоматически удалять IP из таблицы по таймауту. Приходится использовать внешний софт. Пожалуй, это единственная вещь из мира iptables, вызывающая некоторую зависть.
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору


	44. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	+/–
	Сообщение от нах. (?), 05-Фев-24, 00:41
	> Так как в нём используется ipfilter для фильтров ну увы, когда его писали - лучшего не было. А сегодня... в общем, хрен его знает, но ту коробку вчера принесли на почту. Посмотрим что там с лицензией (на крайняк, конечно же, есть генератор). На мой век ее точно хватит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."	–1 +/–
	Сообщение от Аноним (26), 02-Фев-24, 07:13
	>а на линукс только Приятно видеть "профессионала" за работой. Sophos Firewall и Untangle на линуксе. И это те, про которые я хотя бы слышал.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору