Transparentny FW z FreeBSD

Vilém Kebrt vilem.kebrt at gmail.com
Thu Mar 8 14:30:54 CET 2018

Previous message (by thread): Transparentny FW z FreeBSD
Next message (by thread): Vhodny Filesystem pre viac serverov
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Ahoj.
> No, a to je prave to, co budes na FreeBSD s existujicimi nastroji 
> dosahovat jen tezko. Tohler bysis musel napsat ...
>
> A nevim o tom, ze by to nekdo nabizel jako open source.
Open WRT myslim podporuje multivlaknovou ipsku zalozenou na suricate, 
pokud se nemylim. A pokud vim to je FreeBSD based :)
>
>> Zde si dle mého názoru můžeš urychlit rozhodovací procesy skrze 
>> binary match tables
>
> 'tables' v IPFW jsou implementovany jako b-strom (tim se 'table' 
> vyznamne lisi od seznamu IP adres oddelenych carkami).
>
Tak tohle jde trochu mimo me :)
>> Jako další příklad si můžeš vzít hloupyho mikrotika
>
> No prave - na ty jsem pri tomhle hodne myslel ;-)
>
> Jsou typickym zastupcem zarizeni, ktere 'wirespeed' casto nezvlada.
>
> Zminena RB600 mela tri gigabitove fullduplexni porty, ale pokud vim, 
> tak plny tok ze dvou portu do tretiho tedy 1Gbps (prakticky priklad 
> dve stanice + uplink) to uswitchovat nedokazalo ani nahodou. Jako 
> border-router asi prijatelny (a tak jsi to taky pouzival), ale jako 
> gigabitovy intra-switch nic moc.
>
Na RB600 nebyl HW switch, od rb1200 nahoru uz hw switche jsou (napriklad 
moje 2011 doma ho ma), tam je to reseny na hw ktery je ovladany z routerosu.
> Myslim totiz na Wokna v domene pri prihlasovani nebo odhlasovani 
> uzivatele (kdyz se synchronizuje uzivatelsky profil). U toho je 
> "rozdil, ktery citite" jestli mas pul gigabitu, nebo jen petinu.
>
> Proto mi nedela problem mit neco "zpomalujiciho" jako border-router, 
> ale na switch mi to nezni lakave. A bojim se, ze FreeBSD bude v 
> naznacene roli vykazovat prave tuhle neprijemnou "Mikrotikovost".
>
O tom zadna.
>
> Me takovehle zadani vede na samostatne LAN s privatnimi IP v 
> jednotlivych lokalitach, ty vzajemne routovane (propojene nejakou 
> formou VPN) a smerem ven prekladane.
>
> Konkretni verejne adresy, ktere jsou k dispozici jen v HQ, se podle 
> potreby 1:1 mapuji na adresy vnitrni, kde uz do "spravne pobocky" 
> doputuji po te vnitrni routovane siti.
>
> Tohle vsechno je relativne "normalni topologie" a zvladne ji "bezne" 
> nabusene FreeBSD (samozrejme zalezi take na celkovych datovych tocich).
>
Tady si dovolim prudce souhlasit s Danem, bud routovane VPN, nebo jak 
jsem psal z mobilu, ipsec policy VPNky vicemene delaji to same :)
> Celkove, to co popisujes bych (ja) zacal zvazovat teprve pote co bych 
> vyloucil vsechna "normalnejsi" reseni.
>
> Pripoustim, ze muj odpor nejspis dost souvisi s tim, ze skoda 
> souvisejici s nefunkcni vnitrofiremni komunikaci se uz tehdy blizila 
> dost stovkam tisic za pulden vypadku. Pokud jsi ve vyrazne jine 
> hladine, pak te "velmi specialni topologie site" samozrejme nemusi 
> strasit zdaleka tak jako me ...
>
> Jen sdilim zkusenosti. Vyber si z toho co je ti mile ;-)
>
>
> Dan
>

Vilem

Previous message (by thread): Transparentny FW z FreeBSD
Next message (by thread): Vhodny Filesystem pre viac serverov
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list