[mikk36]

vaegkuulja, mis "bugid" sul siis välja tulid ja mis ei töötanud?

[vaegkuulja]

[Drake]

[mikk36]

vaegkuulja, 5a tagasi sai pfSense alles alguse, ei imesta et siis veel probleemseid kohti oli ja 2006 oktoober (3 aastat tagasi) tuli alles 1.0 reliis välja.
Pre-release põhjal bugide/featurede arvustamine on tõesti asjalik.

[Osiris]

Küsiks kas kellelgi on olnud kogemust kas ZyWALL USG 300 või ZyWALL USG 1000 seadmega.

Hetkel pakuti selliseid seadmeid - pole aimugi mida nad endast kujutavad.

Juhendit võin ju lugeda - aga ega seal kasutajate kogemused ja probleemid kirjas pole.

[Etz]

Ise soovitaks ikkagist Juniperi SNetscreen SSG140 , peaks antud ülessandega hakkama saama ja support on kah täitsa toimiv...
Hinna mkohalt oskab ehk High-Q

[vaegkuulja]

[mikk36]

vaegkuulja, port forwardil on mille jaoks vaja source ip'd ? Selle piirangud määrad ju tulemüürist?

Ehk siis selgitusena et port forward ilma vastava lubava tulemüüri reegliga ei lase endast mitte midagi läbi.

[vaegkuulja]

[mikk36]

Kui niipidi võtta, siis jah, tuleb nõus olla.

[Angrist]

http://en.wikipedia.org/wiki/Router
http://en.wikipedia.org/wiki/Network_address_translation
http://en.wikipedia.org/wiki/Port_address_translation

[sadamson]

Mis RIISTVARALISEST TULEMÜÜRIST siin jutt käib? WatchGuard X550e näiteks on tavaline 1,7 GHz CELERON 512 MB RAM (PC133) ja 128 MB FLASH mälu IDE liideses.
Tarkvara on modifiteeritud LINUX.
Bait omab viisakad tuge, aga kui RIP, OSPF, BGP kohta küsisin, siis nende tehnik dünaamiliste routing protokollidega tegelenud polnud.

Kas keegi võiks siin Foorumis tuua tulemüüride võrdluse.

[kpihus]

[High-Q]

digifesti võrgupeol sai uut Juniperi SRX platvormi testitud. põmst tegu UTM tüüpi purgiga, millel JunOS peal istub. hind ei ole väga kange, meil oli mudel SRX210, listahind veidi üle 1K USD.
kasutajaid (lõpphoste) oli taga u 200 (dhcp tables figureeris mingi aeg arv 228, aga osa staatilistest aadressitest polnud kasutuses) või sutike rohkem. mängis DCHP-d, kergelt müüris (ei olnud aega peensüübimiseks), jagas netti/NAT-itas, forwardis porte HLTV-le. juniperi taga istus üks HP Procurve gigabit switch, mis siis väiksemaid switche agregeeris. võrgukoormus oli rets, ma kardan, et vähesed tänapäeva eesti firmad või ametid suudavad ühe võrgu piires samaaegselt sellist koormust tekitada. nett oli 100m elioni optikaühendus (ja see oli reaalselt toimiv 100mbps mõlemas suunas ), seega võite arvata, kui palju noorte leecherite abuse'i pidi see purk saama. laupäeval vaatasin switchi veebiliidese logides, et uplink pordi trafficut oli kogunenud kümnetes GB-des (alla 24h möödudes).
väljast sisse oli vahepeal jõhker 600+ connectionit (sisemine HLTV proxy töötas), kui eesti synck ja soomlaste woosai cs-i tagusid.

IDP pidin disablema, kardan, et muidu poleks see purk sellist trafficut üle elanud.
kõik töötas nagu vonks (idp välja arvatud, kuigi see oli rohkem eeldamise peale disabletud), kuigi isegi broadcast oli tublisti paska täis; kasutasime laudadel odavamaid rubytech switche (tegelikult sellel on päris advanced haldusliides, aga ei olnud lihtsalt aega neid konfida, käisid defaultkonfil) ja lõuna-saldejumside maalt (loe: leedu) toodud viirused roomasid sisevõrgus (mida ruuteriga eriti ei ole võimalik piirata) ka reede õhtul veidi ringi.

müst maha selle purgi jõudluse ees, et suutis kogu seda kräppi auga läbi närida. CPU usage oli u 70-80%.
küll on aga purgiga üks suur häda: selle haldamine läbi veebi on tõsine hambaravi läbi kanniaugu. liides on ebapädev, masendavalt ebaloogiline, rämeaeglane: iga väiksem liigutus tähendab 30-45 seki "applying changes.." ootamist. ühe ainsa portforwardi tegemiseks, kasutades korralikku step-by-step manuaali, läks ligikaudu pool tundi ja teise forwardi pidin veel ka tegema, st tund aega sellisele asjale. lisaks: leidke mulle purk, mis buudiks 4-5 minutit?

Seega verdict: tehniliselt pädev ja võimas purk, mis on totaalselt pekki keeratud oma elumasendaivama veebiliidesega. CLI töötab kiiresti ja hästi ja on üsna loogiline (vähemalt lihtsamateks taskideks nagu interfaced vms), naguke meenutab progemist (oma loogiliste sulgudega, taanetega ja alamosadega).

oleks tahtnud tegelt SSG seeria purki kasutada (screen-osiga), aga kontoris oli demona ainult nõrgem SSG-5 ja see poleks äkki säärast abuse'i ära talunud.

[netmaster]

testisin lätlaste RB1000'det, mis on selles teemas minuarust teenimatult vähe tähelepanu pälvinud. ~9Keek hinna juures on see kindlasti üks parimaid seadmed omas klassis. Esimest korda elus nähtud CLI kallal paar tundi eeltööd teinud ja katsetanud, kulus mul tegelikuks konfimiseks kümmekond minutit. See oli vist esimene ruuter, mis tegi ka tegelikult kõike kohe nii nagu ma tahtsin. Üles boodib alla 10 sekundi. NAT'i ei tee, paarkümmend fitreerimise reeglit, natuke ruutimisekeemiat, kolm gigabit liidest kasutusel. CLI konfiridu kogunes umbes 60 või nii. Taga umbes 5000 arvutit, välisühenduse tipud UL/DL summaarselt ~290Mbps, umbes 300000 samaaegset ühendust, prosekasutus 50-75%. Isegi paari L7 filtri lisamine sellise koormuse juures, ei suurendanud prosekoormust märkimisväärselt. Olles eelnevalt samas kohas korduvalt maadelnud pfSense'ga, oli see igatahes suht meldiv kogemus. Ma arvan, et kui teine igaks juhuks tagavaraks osta, siis võib täitsa kasutada.

miinusteks olekski mitte just eriti usaldusväärne disain, eriti toite osas (12V tavaline umbsest plastikust kestaga plokk), firmware uuenduste tegemine suht keeruline ja aeganõudev, kuuldavasti on mõned (pooled ) fw. versioonid ka üsna bugised ja konfi ei saa mõningatel juhtudel salvestada otse teise riista viskamiseks.

[High-Q]

mul on selle mikrotiki routerboard suhtes omad kahtlused
ei paista kuidagi väga enterprise välja ja ei saa kunagi kindel selle jätkusuutlikkuses olla.

[Andrus Luht]

High-Q, samas kui neid saab kuidagi HA mode's käima ajada kasvõi active/passive cluster'ina siis vahet ju pole...

[netmaster]

[kurask]

netmaster, millise Eesti firmaga sa suhtled neil teemadel?

[netmaster]

[Etz]

Spoiler

High-Q kirjutas:

digifesti võrgupeol sai uut Juniperi SRX platvormi testitud. põmst tegu UTM tüüpi purgiga, millel JunOS peal istub. hind ei ole väga kange, meil oli mudel SRX210, listahind veidi üle 1K USD. kasutajaid (lõpphoste) oli taga u 200 (dhcp tables figureeris mingi aeg arv 228, aga osa staatilistest aadressitest polnud kasutuses) või sutike rohkem. mängis DCHP-d, kergelt müüris (ei olnud aega peensüübimiseks), jagas netti/NAT-itas, forwardis porte HLTV-le. juniperi taga istus üks HP Procurve gigabit switch, mis siis väiksemaid switche agregeeris. võrgukoormus oli rets, ma kardan, et vähesed tänapäeva eesti firmad või ametid suudavad ühe võrgu piires samaaegselt sellist koormust tekitada. nett oli 100m elioni optikaühendus (ja see oli reaalselt toimiv 100mbps mõlemas suunas ), seega võite arvata, kui palju noorte leecherite abuse'i pidi see purk saama. laupäeval vaatasin switchi veebiliidese logides, et uplink pordi trafficut oli kogunenud kümnetes GB-des (alla 24h möödudes). väljast sisse oli vahepeal jõhker 600+ connectionit (sisemine HLTV proxy töötas), kui eesti synck ja soomlaste woosai cs-i tagusid. IDP pidin disablema, kardan, et muidu poleks see purk sellist trafficut üle elanud. kõik töötas nagu vonks (idp välja arvatud, kuigi see oli rohkem eeldamise peale disabletud), kuigi isegi broadcast oli tublisti paska täis; kasutasime laudadel odavamaid rubytech switche (tegelikult sellel on päris advanced haldusliides, aga ei olnud lihtsalt aega neid konfida, käisid defaultkonfil) ja lõuna-saldejumside maalt (loe: leedu) toodud viirused roomasid sisevõrgus (mida ruuteriga eriti ei ole võimalik piirata) ka reede õhtul veidi ringi. müst maha selle purgi jõudluse ees, et suutis kogu seda kräppi auga läbi närida. CPU usage oli u 70-80%. küll on aga purgiga üks suur häda: selle haldamine läbi veebi on tõsine hambaravi läbi kanniaugu. liides on ebapädev, masendavalt ebaloogiline, rämeaeglane: iga väiksem liigutus tähendab 30-45 seki "applying changes.." ootamist. ühe ainsa portforwardi tegemiseks, kasutades korralikku step-by-step manuaali, läks ligikaudu pool tundi ja teise forwardi pidin veel ka tegema, st tund aega sellisele asjale. lisaks: leidke mulle purk, mis buudiks 4-5 minutit? Seega verdict: tehniliselt pädev ja võimas purk, mis on totaalselt pekki keeratud oma elumasendaivama veebiliidesega. CLI töötab kiiresti ja hästi ja on üsna loogiline (vähemalt lihtsamateks taskideks nagu interfaced vms), naguke meenutab progemist (oma loogiliste sulgudega, taanetega ja alamosadega). oleks tahtnud tegelt SSG seeria purki kasutada (screen-osiga), aga kontoris oli demona ainult nõrgem SSG-5 ja see poleks äkki säärast abuse'i ära talunud.

Perfi poolest oleks 3750/3550 Catalyst kah hakkama saanud, miks just siis SRX210?
Tuim ruutimine oli ju, nagu ma aru saan?

Hind? te ju seda "purki" ei ostnud

[High-Q]

no 3750 port forwardingut ega NATi siiski ei tee.
L3 switch ei ole päris selleks otstarbeks.

ei ostnud jah, kasutasin oma ettevõtte demoseadmete ressursse. selleks need ongi, et katsetada ja demoda.

[Etz]

[vaegkuulja]

Soovitaks sellist veel - iptables põhist "Firewall Builder" - http://www.fwbuilder.org/#
.....ja pole olemas protseduure mida sellega teha ei saa.

[Drake]

Tundub olevat üks väga funky alternatiiv kõigele muule. Peab testima. Tänud.

d.